Tất cả ứng dụng này đều chuyển dữ liệu người dùng sang Facebook thông qua bộ công cụ phát triển phần mềm (SDK). Sẽ không có vấn đề nghiêm trọng nếu như người dùng biết và đồng ý với việc này. Tuy nhiên, bằng cách sử dụng công cụ kiểm tra, Privacy International nhận thấy có ít nhất 20 ứng dụng (61%) đã "tự động chuyển dữ liệu sang Facebook ngay khi người dùng mở ứng dụng".
Điều này vẫn được thực hiện cho dù người dùng đăng xuất khỏi Facebook, thậm chí không cài đặt tài khoản Facebook của họ lên smartphone.
Cụ thể, từ tháng 8 đến tháng 12-2018, Privacy International đã kiểm tra thử 34 ứng dụng Android và nhận thấy rằng 20 ứng dụng trong số đó đã chia sẻ dữ liệu với Facebook kể từ thời điểm bạn mở ứng dụng.
"Nếu được kết hợp, dữ liệu từ các ứng dụng khác nhau có thể vẽ nên một bức tranh chi tiết và rõ nét về các hoạt động, sở thích, hành vi và thói quen của mọi người, một số trong đó có thể tiết lộ những dữ liệu đặc biệt như thông tin về sức khỏe hoặc tôn giáo của mọi người", Privacy International tuyên bố.
Dữ liệu được gửi tới Facebook bao gồm Google advertising ID, cho phép công ty xây dựng hồ sơ người dùng bao gồm họ tên, tôn giáo, sức khỏe, giới tính, hoạt động, sở thích và thói quen. Báo cáo còn đề cập đến việc một số ứng dụng đang gửi tới Facebook nhiều thông tin cực kì chi tiết và có phần nhạy cảm. Ví dụ, ứng dụng tổng hợp giá vé máy bay Kayak đã gửi thông tin về những chuyến bay mà bạn đã tìm kiếm, các sân bay liên quan, số lượng người đi, hạng vé và nhiều hơn thế nữa. Thậm chí ngay cả khi bạn quyết định từ chối cá nhân hóa quảng cáo thì dữ liệu vẫn được gửi về cho Facebook.
Mới đây, Google đã gửi email cho Privacy International và giải thích rằng nếu người dùng vô hiệu hóa “Ads personalization” (cá nhân hóa quảng cáo) trong phần cài đặt Advertising ID trên thiết bị, thông tin người dùng sẽ không được sử dụng cho mục đích quảng cáo. Tuy nhiên, Privacy International cho biết việc này không ngăn các ứng dụng theo dõi người dùng hoặc sử dụng dữ liệu cho các mục đích không quảng cáo.
Phản hồi về vấn đề trên, Facebook cho rằng đây là trách nhiệm của các nhà phát triển ứng dụng. Hồi tháng 6-2018, công ty đã ra mắt một tính năng cho phép các nhà phát triển trì hoãn việc thu thập dữ liệu cho đến khi người dùng đồng ý. Có lẽ không phải ngẫu nhiên mà tính năng này được thêm vào 35 ngày sau khi Quy định bảo vệ dữ liệu chung (GDPR) của châu Âu có hiệu lực. Quy định này ngăn các công ty sử dụng dữ liệu cá nhân của người dùng mà không có sự đồng ý. Các công ty không tuân thủ quy tắc có thể bị phạt 4% doanh thu toàn cầu hoặc tương đương 23 triệu USD, tùy theo mức nào cao hơn.