Varias aplicaciones de salud femenina han estado enviando datos relacionados con el periodo de las usuarias a Facebook. Así lo ha revelado un informe de la organización Privacy International, en el cual muestran que algunas apps populares como Maya (más de cinco millones de descargas en Google Play Store y también en App Store) compartían datos como el estado de ánimo, síntomas, uso de anticonceptivos y vida sexual.
En el informe también se contemplan otras aplicaciones populares como Period Tracker, Period Tracker Flo, Calendario Menstrual y Clue Period Tracker. Ninguna de ellas lo hace actualmente, pero otras, como Maya, MIA, My Period Tracker, Ovulation Calculator y Mi Calendario, sí. El caso más destacable es el de Maya, que compartía muchísima información personal, si bien ha dejado de hacerlo tras la publicación del informe.
Apps privadas que no lo son tanto
Maya, para aquellos que no la conozcan, es una aplicación orientada al público femenino que permite controlar los ciclos menstruales, obtener una predicción de fertilidad, registrar los síntomas y el estado de ánimo y añadir notas a cada entrada, como una especie de diario. Toda esa información (y datos como el uso de anticonceptivos) era compartida con Facebook.
El motivo, esgrimen en Privacy International, es que la aplicación usaba el SDK de desarrollo de Facebook. Un SDK es un conjunto de herramientas que incluyen analítica web, registro, anuncios, botones para compartir, etc. Así, la app era capaz de informar a Facebook de cualquier movimiento dentro de la app, desde cuándo era abierta a la actividad registrada en ella. Así explica Facebook las funciones del SDK:
“Los desarrolladores pueden recibir análisis que les permiten comprender lo que disfruta la audiencia de su aplicación y mejorar sus aplicaciones con el tiempo. Los desarrolladores también pueden usar los servicios de Facebook para monetizar sus aplicaciones a través de Facebook Audience Network. Sujeto al consentimiento previo de ese usuario de Facebook, Facebook también puede usar esta información para proporcionar a ese usuario anuncios más personalizados".
Para descubrirlo, la organización interceptó los datos enviados por la aplicación y descubrió que todo se compartía con Facebook. Apuntan que la razón por la que los anunciantes pueden estar interesados en estos datos es que "comprender cuándo una persona se encuentra en un estado mental vulnerable significa que se puede apuntar estratégicamente a ella". Ponen el ejemplo de que "saber cuándo una adolescente se siente deprimida significa que un anunciante podría intentar venderle un suplemento alimenticio que se supone que la hace sentir fuerte y concentrada".
Ante la publicación del informe, Plackal Tech, empresa a cargo de Maya, emitió un comunicado afirmando que "entendemos su preocupación porque, además de proporcionar el SDK de análisis, Facebook también es una red social y una red publicitaria. Por lo tanto, hemos eliminado tanto el SDK principal de Facebook como el SDK de Analytics de Maya". La versión 3.6.7.7 ya no cuenta con este SDK y está disponible en Google Play.
A su vez, afirman que "continuamos utilizando el SDK de anuncios de Facebook" y que "Maya no comparte ningún dato de identificación personal o datos médicos con el SDK de anuncios de Facebook". Esto, de hecho, va en contra de los términos y condiciones de las herramientas para negocios de Facebook, que establecen que los desarrolladores no pueden compartir datos que "incluyan salud, información financiera, u otras categorías de información sensible (incluyendo cualquier información definida como sensible bajo cualquier ley aplicable)". Tras publicar este artículo, Facebook nos ha enviado el siguiente comunicado:
"Nuestros términos de servicio prohíben que los desarrolladores nos envíen información confidencial de salud y los aplicamos cuando nos enteramos de que son. Además, la orientación de anuncios basada en los intereses de las personas no aprovecha la información obtenida de la actividad de las personas en otras aplicaciones o sitios web".
Otra aplicación que enviaba datos personales era MIA, que no solo lo hacía con Facebook, sino también con AppsFlyer, un "servicio que permite a los propietarios de aplicaciones analizar e interpretar el desempeño de sus esfuerzos en marketing". Al iniciar la app, la usuaria tenía que indicar si estaba buscando quedarse embarazada o si solo quiere usarla como un diario del periodo. Al seleccionar la primera opción, esta era dirigida a una versión premium y, de paso, dicha información se compartía con Facebook.
Además, MIA permite registrar el consumo de cigarrillos o bebidas alcohólicas, la fecha de la última ovulación, la duración total del ciclo, la fecha de nacimiento... Todos estos datos, a priori privados, se compartían con Facebook y AppsFlyer. Con respecto al resto de aplicaciones, se ha descubierto que My Period Tracker, Ovulation Calculator y Mi Calendario informaban a Facebook de cuándo se abría la app y, en el caso de la tercera, se usaba un SDK de Facebook desactualizado, lo que podría "presentar problemas de seguridad".
En un comunicado, Facebook ha dicho que se toman "en serio las infracciones de nuestros términos y nos hemos puesto en contacto con cada una de las aplicaciones identificadas en la historia para recordarles sus obligaciones bajo nuestros términos y notificarles que los datos que comparten pueden constituir categorías de datos que les prohibimos compartir con nosotros bajo nuestras políticas y que, si este es el caso, deben dejar de enviarlos". AppsFlyer, por su parte, ha dicho que "nos hemos comunicado con el desarrollador de la aplicación y le hemos recordado esto y trabajaremos con ellos para garantizar que nuestros servicios no se utilicen para recopilar dicha información personal".
¿Y la GDPR?
Privacy International concluye que el "el amplio alcance de las aplicaciones que nuestra investigación ha analizado podría significar que los detalles íntimos de la vida privada de millones de usuarios en todo el mundo se comparten con Facebook y otros terceros sin el consentimiento libre, inequívoco e informado o explícito de esos usuarios".
Afirman que se "plantean serias preocupaciones cuando se trata de cumplir con las obligaciones de la GDPR", sobre todo en lo referente al consentimiento explícito, y que se necesitan "investigaciones efectivas y fructíferas por parte de los reguladores" de la Unión Europea, ya que "los usuarios no deben tener la responsabilidad de preocuparse por lo que comparten con las aplicaciones que han elegido".
Vía | The Next Web
Ver 4 comentarios