Información extremadamente sensible, como el uso de métodos anticonceptivos, periodicidad de la actividad sexual, posibles síntomas recurrentes durante distintas etapas del ciclo menstrual como calambres o inflamaciones, están siendo compartidas con Facebook, contraviniendo la normativa vigente sobre los derechos a la privacidad de los usuarios.
Una investigación de la organización sin ánimo de lucro Privacy International, afincada en Londres, revela cómo las aplicaciones de control del ciclo menstrual más descargadas en las distintas app stores están compartiendo con Facebook, contraviniendo la normativa europea vigente sobre privacidad, datos extremadamente sensibles acerca de la salud de los usuarios. Según la investigación, estas aplicaciones comparten directamente información sensible con la popular compañía, independientemente de si el usuario tiene o no cuenta de Facebook o si está conectado a un perfil.
Estas aplicaciones se utilizan comúnmente para controlar el ciclo menstrual, pero también para definir – tal y como las propias aplicaciones anuncian – cuál es el periodo más fértil del ciclo, por lo que sería posible incluso conocer si una persona está monitorizando esta información y, por tanto, inferir si está intentando un embarazo.
En aras de definir dicho periodo de máxima fertilidad, este tipo de aplicaciones demandan a la usuaria que facilite información muy sensible, como los días concretos en los que ha mantenido relaciones sexuales, fechas de los períodos menstruales, síntomas emocionales o físicos, etcétera.
La organización Privacy International descubrió, a través de un análisis de las peticiones que estas aplicaciones realizaban, que se estaba compartiendo información no sólo con Facebook sino con más servicios de terceros.
La información es compartida a través del propio software de kit de desarrollo (SDK) de las aplicaciones y es utilizada, entre otras cosas, para generar ingresos a través del posterior desarrollo de anuncios personalizados en función de la información recogida.
El informe, que puede leerse en este enlace, muestra cómo el consentimiento para el uso de estos datos es extremadamente ambiguo, desinformado o no explícito. Desde un punto de vista jurídico, esto podría implicar la concurrencia de la figura legal del consentimiento viciado. La condición de consentimiento viciado puede resolverse con la nulidad del consentimiento, que invalidaría a su vez los términos del contrato y supondría la reparación civil a los usuarios damnificados y el inicio de un proceso penal si se determina la existencia de un delito contra el derecho a la privacidad.
«La confidencialidad se encuentra tan en el corazón de la deontología y la ética médicas que, tradicionalmente, los países que han legislado la protección de datos han legislado como un régimen aparte todo aquello que tenía que ver con datos relativos a la salud, por considerarlos datos especialmente sensibles que requerían un tratamiento especializado y más restrictivo.
Nuestra investigación pone de manifiesto que las aplicaciones auditadas están en graves apuros respecto de sus obligaciones legales para con la legislación europea (GDPR), especialmente en lo tocante a consentimiento y tansparencia»
Informe Técnico de International Privacy, al que aludíamos anteriomente en el enlace proporcionado.
Las aplicaciones que han estado compartiendo información sensible – algunas no han contestado a las preguntas de Privacy International- son las siguientes:
- Maya – propiedad de la empresa india Plackal Tech, 5 millones de descargas.
- MIA Fem: Ovulation Calculator – por la empresa chipriota Mobapp Development Limited, 1 millón de descargas.
- My Period Tracker – propiedad de Linchpin Health, 1 millón de descargas
- Ovulation Calculator: propiedad de PinkBird, más de 500.000 descargas
- Mi Calendario: por Grupo Familia, con más de 1 millón de visitas.
Al respecto, Maya ha confirmado a Privacy International que su aplicación ya ha eliminado completamente las funcionalidades relativas al núcleo del SDK de Facebook y las analíticas. Además, han actualizado su versión de la aplicación a la 3.6.7.7, que ya está disponible en la app store. Por su parte Pink Bird ha declarado que investigarán si se están recopilando datos privados de usuarios y que, de ser así, los eliminarán inmediatamente.
Facebook se escuda en que sus términos exigen a cada desarrollador que interactúe con su plataforma, que sea extremadamente claro con el propósito y metodología en la recogida y tratamiento de datos de usuario. Recuerdan además que sus términos prohíben – pese a que han estado aprovechando la recolección de estos datos durante años – compartir información relativa a la salud o el estado financiero de los clientes.