‘Una invasión masiva de la privacidad’ pero sin sanciones para Tim Hortons

Una forma de averiguar cuán profundamente Tim Hortons está entretejido en la estructura de Canadá es una comparación transfronteriza. Si McDonald’s, quizás su análogo más cercano en los Estados Unidos, quisiera tener el mismo alcance per cápita en ese mercado que Tim Hortons tiene en Canadá, tendría que triplicar aproximadamente sus más de 13,000 puntos de venta americanos.

A pesar de ser de propiedad extranjera desde 2014, Tim Hortons todavía ondea la bandera canadiense tan vigorosamente como puede. Pero la semana pasada, un mordaz informe del comisionado federal de privacidad y tres de sus homólogos provinciales expuso con gran detalle cómo Tim Hortons ignoró una amplia gama de leyes para espiar a los canadienses, creando “una invasión masiva de la privacidad de los canadienses”.

“Como sociedad, no aceptaríamos que el gobierno quisiera rastrear nuestros movimientos cada pocos minutos de cada día”, dijo el comisionado federal de privacidad, Daniel Therrien, en su última conferencia de prensa oficial. “Es igualmente inaceptable que las empresas privadas piensen tan poco en nuestra privacidad y libertad que puedan iniciar estas actividades sin pensarlo más que un momento”.

El vector del espionaje a gran escala de Tim Hortons, según el informe, fue su aplicación para teléfonos móviles, que se descargó 10 millones de veces en los tres años posteriores a su presentación en 2017. Al principio, la aplicación tenía funciones típicas de venta minorista que implicaban pagos, puntos de fidelidad y realización de pedidos.

Pero los comisionados de privacidad descubrieron que en 2019, Tim Hortons introdujo una nueva característica. Con la ayuda de Radar, una empresa de software de geolocalización con sede en los Estados Unidos, convirtió los sistemas GPS de los teléfonos de los clientes en una herramienta de espionaje corporativo. Muchas aplicaciones, por supuesto, solicitan permiso a los usuarios para acceder al GPS de sus teléfonos mientras están usando activamente las aplicaciones para funciones potencialmente útiles, como ubicar la tienda más cercana, un banco o un restaurante.

Sin embargo, la aplicación de Tim Hortons fue mucho más allá, rastreando a los usuarios las 24 horas del día en cualquier parte del mundo, incluso cuando la aplicación estaba cerrada. Registraba no solo su ubicación geográfica, sino también si esa ubicación era una casa, fábrica u oficina e incluso, en muchos casos, el nombre del edificio en el que se encontraban. Incluso, según el informe, registraba si estaban apareciendo en rivales cafeterías. El seguimiento continuo tuvo lugar a pesar de que se les dijo a los usuarios que solo serían rastreados mientras usaban la aplicación.

Originalmente, según el informe, Tim Hortons tenía la intención de que el sistema rastreara a las personas para enviarles promociones específicas, como cupones para un puesto de Tim Hortons si estuvieran, por ejemplo, en una arena para un partido de hockey. Abandonó ese plan para monitorear a las personas, pero usó los datos, en forma agregada, para buscar patrones y cambios en dónde y cuándo los canadienses recogieron sus dobles-dobles.

El informe continúa detallando una amplia gama de otras deficiencias, como la protección inadecuada de los datos que la aplicación estaba recopilando y los engaños en las declaraciones de privacidad.

El sistema de seguimiento solo se cerró en junio de 2020 después de que comenzara la investigación de privacidad conjunta. Fue motivado por un artículo en The National Post de James McLeod, quien descubrió que la aplicación documentaba constantemente su paradero, incluso cuando estaba de vacaciones en el extranjero.

Cuando se publicó el informe, el Sr. Therrien y los otros comisionados de privacidad dejaron en claro que Tim Hortons había violado la privacidad de los canadienses en un grado extraordinario.

“Los datos de geolocalización son increíblemente sensibles porque pintan una imagen muy detallada y reveladora de nuestras vidas”, dijo, y agregó que “los riesgos relacionados con la recopilación y el uso de la información de ubicación siguen siendo altos, incluso cuando están ‘desidentificados’, ya que a menudo se puede volver a identificar con relativa facilidad”.

Si bien hay algunas acciones colectivas en curso contra Tim Hortons, la empresa no ha sido multada ni sancionada en virtud de las leyes de privacidad federales o provinciales.

La aplicación sigue estando disponible para su descarga en teléfonos iPhone y Android. (Le pregunté a Apple y Google si el software de seguimiento violaba las políticas de su tienda de aplicaciones o si habían tomado alguna medida contra Tim Hortons. Ninguna de las compañías me respondió).

En un correo electrónico, Tim Hortons dijo que comenzó su propia revisión de privacidad en 2020 y está implementando todas las recomendaciones del informe de la comisión de privacidad.

“Hemos fortalecido nuestro equipo interno que se dedica a mejorar las mejores prácticas en lo que respecta a la privacidad y continuamos enfocándonos en garantizar que los huéspedes puedan tomar decisiones informadas sobre sus datos cuando usan nuestra aplicación”, dijo la compañía.

El Sr. Therrien y expertos externos han argumentado durante mucho tiempo que las leyes de privacidad de Canadá, o su sistema para hacerlas cumplir, necesitan una revisión sustancial. Fue necesario que un periodista descubriera lo que estaba haciendo Tim Hortons, la investigación oficial se prolongó durante casi dos años y, finalmente, no hubo sanciones. Actualmente, solo la oficina de privacidad de Quebec tiene el poder de imponer multas, pero la pena máxima que podría haber impuesto a Tim Hortons, cuya matriz corporativa tuvo ventas de $ 2 mil millones en 2020, es de 10,000 dólares canadienses.

“Las leyes no tienen dientes”, dijo Jill Clayton, comisionada de información y privacidad de Alberta, en la conferencia de prensa.

El Sr. Therrien dijo que el caso de Tim Hortons no es un ejemplo aislado, es solo el que se expuso.

“Está claro que lo que sucedió en Tim Hortons también está sucediendo en otras partes del ecosistema de recopilación de información”, dijo. “¿Hay suficientes garantías? Claramente no.”


Nativo de Windsor, Ontario, Ian Austen se educó en Toronto, vive en Ottawa y ha informado sobre Canadá para EqPlayers durante los últimos 16 años. Sígalo en Twitter en @ianrausten.


¿Cómo vamos?
Estamos ansiosos por conocer su opinión sobre este boletín y los eventos en Canadá en general. Envíelos a [email protected]

¿Te gusta este correo electrónico?
Reenvíalo a tus amigos y hazles saber que pueden registrarse aquí.