Información extremadamente sensible,
como el uso de métodos anticonceptivos, periodicidad de la actividad sexual,
posibles síntomas recurrentes durante distintas etapas del ciclo menstrual como
calambres o inflamaciones, están siendo compartidas con Facebook,
contraviniendo la normativa vigente sobre los derechos a la privacidad de los
usuarios.
Una investigación de la organización
sin ánimo de lucro Privacy International, afincada en Londres, revela cómo las
aplicaciones de control del ciclo menstrual más descargadas en las distintas
app stores están compartiendo con Facebook, contraviniendo la normativa europea
vigente sobre privacidad, datos extremadamente sensibles acerca de la salud de los
usuarios. Según la investigación, estas aplicaciones comparten directamente
información sensible con la popular compañía, independientemente de si el
usuario tiene o no cuenta de Facebook o si está conectado a un perfil.
Estas aplicaciones se utilizan comúnmente
para controlar el ciclo menstrual, pero también para definir – tal y como las
propias aplicaciones anuncian – cuál es el periodo más fértil del ciclo, por lo
que sería posible incluso conocer si una persona está monitorizando esta
información y, por tanto, inferir si está intentando un embarazo.
En aras de definir dicho periodo de
máxima fertilidad, este tipo de aplicaciones demandan a la usuaria que facilite
información muy sensible, como los días concretos en los que ha mantenido
relaciones sexuales, fechas de los períodos menstruales, síntomas emocionales o
físicos, etcétera.
La organización Privacy International
descubrió, a través de un análisis de las peticiones que estas aplicaciones
realizaban, que se estaba compartiendo información no sólo con Facebook sino
con más servicios de terceros.
Fuente: thehackernews.com
La información es compartida a través
del propio software de kit de desarrollo (SDK) de las aplicaciones y es
utilizada, entre otras cosas, para generar ingresos a través del posterior
desarrollo de anuncios personalizados en función de la información recogida.
El informe, que puede leerse en este
enlace, muestra cómo el consentimiento para el uso de estos datos es
extremadamente ambiguo, desinformado o no explícito. Desde un punto de vista
jurídico, esto podría implicar la concurrencia de la figura legal del
consentimiento viciado. La condición de consentimiento viciado puede resolverse
con la nulidad del consentimiento, que invalidaría a su vez los términos del
contrato y supondría la reparación civil a los usuarios damnificados y el
inicio de un proceso penal si se determina la existencia de un delito contra el
derecho a la privacidad.
«La confidencialidad se encuentra tan
en el corazón de la deontología y la ética médicas que, tradicionalmente, los
países que han legislado la protección de datos han legislado como un régimen
aparte todo aquello que tenía que ver con datos relativos a la salud, por
considerarlos datos especialmente sensibles que requerían un tratamiento especializado
y más restrictivo.
Nuestra investigación pone de
manifiesto que las aplicaciones auditadas están en graves apuros respecto de
sus obligaciones legales para con la legislación europea (GDPR), especialmente
en lo tocante a consentimiento y tansparencia»
Informe Técnico de International
Privacy, al que aludíamos anteriomente en el enlace proporcionado.
Las aplicaciones que han estado
compartiendo información sensible – algunas no han contestado a las preguntas
de Privacy International- son las siguientes:
·
Maya – propiedad de la empresa india
Plackal Tech, 5 millones de descargas.
·
MIA
Fem: Ovulation Calculator
– por la empresa chipriota Mobapp Development Limited, 1 millón de descargas.
·
My
Period Tracker –
propiedad de Linchpin Health, 1 millón de descargas
·
Ovulation
Calculator: propiedad
de PinkBird, más de 500.000 descargas
·
Mi
Calendario: por Grupo
Familia, con más de 1 millón de visitas.
Al respecto, Maya ha confirmado a
Privacy International que su aplicación ya ha eliminado completamente las
funcionalidades relativas al núcleo del SDK de Facebook y las analíticas.
Además, han actualizado su versión de la aplicación a la 3.6.7.7, que ya está
disponible en la app store. Por su parte Pink Bird ha declarado que
investigarán si se están recopilando datos privados de usuarios y que, de ser
así, los eliminarán inmediatamente.
Facebook se escuda en que sus términos
exigen a cada desarrollador que interactúe con su plataforma, que sea
extremadamente claro con el propósito y metodología en la recogida y
tratamiento de datos de usuario. Recuerdan además que sus términos prohíben –
pese a que han estado aprovechando la recolección de estos datos durante años –
compartir información relativa a la salud o el estado financiero de los
clientes.
Más información:
Fuente: Hispasec