Cuando tu móvil sabe demasiado: la demanda contra Google que afecta a 37 millones de usuarios de Android en España

La sensación es familiar. Comentas en voz alta que necesitas unas zapatillas nuevas y, poco después, tu teléfono te muestra anuncios de calzado deportivo. Ni es paranoia ni te pasa solo a ti: es el resultado de una arquitectura digital que, según el nuevo caso judicial que hemos conocido ahora, podría haber cruzado unas cuantas líneas rojas en materia de privacidad.

La Asociación de Usuarios de la Comunicación (AUC) ha llevado a Google ante los tribunales españoles por lo que califica como una recopilación masiva y no consentida de datos personales de hasta 37 millones de usuarios de Android en España: qué aplicaciones abren, a quién llaman, dónde se mueven, cuándo hacen ejercicio.

Si se confirman las acusaciones, estaríamos ante el mayor caso de vulneración de la privacidad digital conocido hasta la fecha en nuestro país.

Un informe abre la caja de Pandora

El caso se sustenta en un informe pericial independiente elaborado por el profesor Doug Leith, catedrático de Sistemas Informáticos en el Trinity College de Dublín y una autoridad internacional en privacidad digital.

Leith lleva años investigando las entrañas de Android y sus hallazgos han resonado más allá de los círculos académicos. En febrero de 2025 publicó su último estudio sobre cómo Google almacena cookies e identificadores en los teléfonos Android sin que los usuarios lo sepan.

Según el análisis que ahora respalda la demanda de la AUC, desde al menos 2022 Google habría tenido acceso a una cantidad extraordinaria de información sin el debido consentimiento.

No se trata solo de datos técnicos sobre el funcionamiento del dispositivo ni de las aplicaciones de Google, porque implica también a los servicios de terceros.

El informe señala que la compañía habría accedido a información capaz de revelar aspectos íntimos de la vida personal: el uso de aplicaciones religiosas, de salud, de seguimiento del embarazo, de citas o de contenido sexual; datos sobre llamadas y mensajes, incluyendo números de origen y destino, horarios y duración; información de localización precisa registrada varias veces por hora, que permite deducir el domicilio, las rutinas diarias o las visitas a hospitales; e incluso datos sobre actividad física obtenidos a través de los sensores del teléfono.

Identificadores persistentes

Todo ello, además, habría sido vinculado a cada usuario mediante identificadores persistentes como el Android ID, cookies específicas o las cabeceras de autenticación de las cuentas de correo.

Estos identificadores (que la propia Google desaconseja utilizar a los desarrolladores de aplicaciones para Android) permiten reconstruir perfiles completos y continuados de la actividad de cada persona a lo largo del tiempo. Según el informe, Google utiliza al menos seis tipos diferentes de identificadores que se envían simultáneamente, lo que permite vincularlos entre sí.

El informe revela que el 26% de las conexiones del teléfono a servidores de Google envían el ID de Android, pero esas conexiones contienen el 99% de los datos subidos, lo que demuestra que prácticamente toda la información transmitida puede vincularse directamente a la cuenta del usuario.

El estudio también detecta que Google almacena cookies de seguimiento en el teléfono sin pedir consentimiento, una práctica que está expresamente prohibida por la Directiva de Privacidad Electrónica europea en el caso de los sitios web.

La configuración inicial

Una parte clave del problema, según el informe, reside en el momento en que encendemos el teléfono por primera vez. Ahí arranca el proceso de configuración de Google Mobile Services, el conjunto de aplicaciones e interfaces que incluye Google Play Store, Maps, Gmail, Chrome, YouTube o Google Photos.

No son parte del núcleo de Android -que es código abierto-, pero están preinstaladas en prácticamente todos los dispositivos y son imprescindibles para el funcionamiento habitual del teléfono.

El análisis concluye que el proceso de configuración no garantiza un consentimiento libre, específico e informado, tal como exige el Reglamento General de Protección de Datos europeo (RGPD).

Las opciones críticas aparecen preactivadas por defecto y algunas prácticas de recopilación ni siquiera se muestran al usuario ni pueden desactivarse. Para deshabilitar las que sí lo permiten hay que sumergirse en los menús de Ajustes y navegar a través de varias pantallas, un recorrido que la mayoría de usuarios no completa.

El camino hacia los tribunales

El origen de esta investigación fue la queja de un socio de la AUC sobre los anuncios personalizados. Lo que comenzó como una preocupación individual derivó en un estudio que detectó un problema sistémico.

Ante la consistencia de las pruebas, la asociación trasladó a Google los resultados del informe pericial y solicitó la información necesaria para localizar y comunicar a los usuarios potencialmente afectados.

Tras no obtener respuesta satisfactoria de Google, la asociación presentó cuatro solicitudes de diligencias preliminares ante los Juzgados de Primera Instancia de Madrid. El objetivo: que la compañía facilite los datos de contacto de los usuarios afectados para poder informarles y, eventualmente, plantear una demanda colectiva. Hasta el momento, dos de estas solicitudes ya han sido admitidas a trámite.

El artículo 15.2 de la Ley de Enjuiciamiento Civil obliga a las asociaciones de consumidores a comunicar a todos los afectados las iniciativas judiciales planteadas para defender sus derechos. De ahí que el primer paso sea identificar a esos 37 millones de usuarios. Una vez obtenida esa información, la AUC presentará las demandas colectivas correspondientes, un proceso que podría tardar alrededor de un año.

Un frente europeo

El procedimiento iniciado en España no es un caso aislado. Organizaciones de consumidores en Países Bajos, Portugal y otras jurisdicciones han iniciado acciones similares contra Google por prácticas coincidentes.

El movimiento judicial está creciendo en toda Europa, lo que evidencia una preocupación generalizada por el alcance y la opacidad de la recopilación de datos en el ecosistema Android.

España tiene, además, un largo historial judicial con Google. En 2014, el Tribunal de Justicia de la Unión Europea dictó sentencia en el caso Google Spain -el conocido como derecho al olvido-, estableciendo que los motores de búsqueda son responsables del tratamiento de datos personales.

Años después, en 2018, la Comisión Europea impuso a Google una multa récord de 4.340 millones de euros por abuso de posición dominante con Android, al obligar a los fabricantes a preinstalar aplicaciones de Google y restringir la competencia.

Ahora, el foco está en la privacidad. El RGPD establece con claridad que el consentimiento debe ser libre, informado y específico, y que los datos especialmente sensibles -como los relacionados con ideología, salud, religión o sexo- están protegidos de forma reforzada.

Si los tribunales confirman las acusaciones de la AUC, Google podría enfrentarse a sanciones importantes y, sobre todo, a la obligación de cambiar radicalmente su forma de operar en Europa.

Android domina el mercado español

La magnitud del caso se entiende mejor si se observan las cifras. Android es el sistema operativo dominante en España, con una cuota de mercado del 76,7% con datos de enero de 2025. Eso significa que cualquier práctica discutible en Android afecta a la inmensa mayoría de usuarios de teléfonos móviles en nuestro país.

Google, por su parte, ha defendido que las acusaciones son incorrectas y ha alertado de que facilitar datos de millones de personas supondría una "intrusión masiva". La compañía subraya que la recopilación de datos es necesaria para ofrecer servicios y que los usuarios tienen herramientas para gestionar su privacidad.

Sin embargo, estudios como los de Doug Leith apuntan a que esas herramientas son insuficientes, que la mayoría de datos recabados no son necesarios para el correcto funcionamiento ni del dispositivo ni de las aplicaciones y que gran parte de la recopilación se produce sin que el usuario sea consciente de ello.

Un debate que va más allá de Google

El caso plantea cuestiones que trascienden a una empresa concreta. ¿Hasta dónde pueden llegar las compañías tecnológicas en la recopilación de datos? ¿Es realmente informado el consentimiento que damos al configurar un dispositivo nuevo? ¿Tienen los usuarios control efectivo sobre su privacidad digital?

Mientras los tribunales examinan las diligencias preliminares, la AUC ha habilitado un espacio en su web para que los usuarios interesados puedan seguir la evolución del procedimiento y, llegado el caso, sumarse a las acciones colectivas. Como señalan desde la asociación, la defensa de la intimidad y la privacidad de los datos personales requiere una participación activa por parte de los ciudadanos.

En el fondo, lo que está en juego es algo que todos sentimos pero que pocas veces podemos articular: la sensación de que nuestros teléfonos no solo nos escuchan, sino que saben demasiado de nosotros, mientras nos preguntamos si realmente les dimos permiso para ello.