Esta semana voy a hablar de una aplicación femenina que sirve para controlar el ciclo menstrual y la ovulación. La idea es saber qué días de tu calendario menstrual eres fértil, y así saber cuándo te puedes quedar embarazada, o cuándo evitarlo. Esta aplicación es “My Days”, y ha sido descargada por más de 5 millones de personas.
Muchas mujeres que quieren quedarse embarazadas, y no lo consiguen, entran en un círculo obsesivo, desgastante y, en muchas ocasiones, tóxico para ellas, que son quiénes lo sufren realmente. ¿Qué ocurre con estas aplicaciones? Pues que juegan con este hecho, y lo incentivan, creando dependencia total.
Empecemos con el análisis de esta perla: Voy a empezar con las características que incluye. Esto se puede ver en el timeline de la app. Voy a nombrar los que me parecen, de entrada, preocupantes:
1. Notificación para el próximo periodo y ovulación.
2. Agregar información personal sobre el control de la natalidad, notas, relaciones sexuales (¿perdón?), pastillas.
3. Envian por correo electrónico tu historial a ti, o a tu médico
4. Cuadro de temperatura metabólica basal
Sigamos con la info del timeline de la aplicación. Dicen que si tienes algún problema o sugerencia que escribas al siguiente email: androchris@gmail.com. ¿Cómo que Gmail.com? ¿Tú me estás contando que una aplicación que se han bajado más de 5MILL de personas el punto de contacto es una dirección de Gmail? Esto es opacidad, cero transparencia y, lo que me está contando esta introducción a esta app, es que su nivel de confiabilidad es nulo.
Permisos que dicen que piden (de los rastreadores no hay ni media pista. Muy transparente todo):
1. Acceso a Internet: para habilitar el «chat comunitario basado en la web»
2. Estado de la llamada: para desactivar los anuncios durante la llamada
3. Accesos directos: para permitir accesos directos solo después de que soliciten.
4. Ubicación: Para habilitar recordatorios inteligentes y personalizar anuncios en la versión gratuita.
Ay, mentirosillos, mentirosillos… Veamos lo que nos dice Exodus. Prepárense para el siguiente pantallazo porque se podría calificar de muy bestia:
12 rastreadores y 24 permisos, de los cuáles, 6 están considerados peligrosos.
Aclaremos términos, ¿qué son los permisos? Son acciones que una aplicación puede hacer en tu móvil, y los niveles de gravedad, o de intrusión en tu privacidad, se definen de acuerdo con los niveles de protección de Google y de Apple.
¿Qué son los rastreadores? Son softwares destinados a recopilar datos sobre los usuarios o sus usos. Esta aplicación tiene 12 rastreadores. ¿Se acuerdan de #FaceApp? Tenía 3 rastreadores y 11 permisos. Ahí lo dejo.
Me va a ser imposible ir rastreador por rastreador, permiso por permiso, y seguir con las políticas de privacidad, porque sería un hilo gigantesco, pero voy a nombrar los que me parecen más polémicos, y les invito que con la herramienta https://reports.exodus-privacy.eu.org sean ustedes quiénes investiguen.
La mayoría de rastreadores son de identificación, publicidad, analytics y de perfilado y, como no, gelocalización. Vamos, esta app está destinada a sacarle todo el jugo posible a sus usuarias.
¿Qué supone esto en una app que sabe cuál es el ciclo menstrual de más de 5MILL de mujeres? Pues que sabe en cada momento cómo les afectan las hormonas, o pueden afectarles, a su comportamiento, por lo que saben perfectamente qué días son más vulnerables, pueden ser identificadas y perfiladas, y esto es oro molido para anunciantes sin escrúpulos. El lobo vestido de cordero.
Veamos sólo un par de rastreadores y qué es lo que hacen:
1. AppLovin (MAX and SparkLabs). Analytics, perfilado, identificación y publicidad.
AppLovin es una empresa de tecnología de publicidad móvil que permite a las marcas crear campañas de marketing móvil que se alimentan de datos.
Desde su lanzamiento en 2012, AppLovin ha sido fundamental para impulsar muchos de los juegos móviles y estudios de juegos más populares del mundo. Hemos construido un increíble equipo de personas con talento que están comprometidas a ayudar a la industria de los juegos móviles a prosperar.
Un rastreador que analiza los datos alrededor de la menstruación de más de 5 millones de mujeres para la elaboración de juegos móviles.
Juzguen ustedes mismos.
2. IAB Open Measurement. Identificación y publicidad.
El Open Measurement SDK de IAB (OM SDK) ofrece código y bibliotecas comunes para facilitar el acceso de terceros a los datos de medición. Los sitios y aplicaciones que integran el OM SDK pueden enviar señales de medición a una API, la Definición de Interfaz de Medición Abierta (OMID). Los proveedores de mediciones pueden colocar etiquetas que recojan estas señales.
Mientras que Open Measurement se basa en el OM SDK y en la OMID durante su funcionamiento, el Laboratorio Técnico de IAB ofrece varios recursos para fomentar la adopción en toda la industria.
3. Placer. Analytics, perfilado y localización.
Este rastreador aporta información sobre cuántos visitantes por hora, día y mes tiene la app.
Saber de dónde vienen y van los clientes.
Identificar la demografía, los intereses y la intención de los clientes.
Detecta las áreas más importantes que generan una verdadera actividad económica.
Rastrea la rotación de clientes y comprende la evolución de los patrones de consumo.
¿Podemos acceder a esos perfiles? ¡NO! ¿Son nuestra información? ¡SÍ! pero resulta que los algoritmos propietarios (black box) y leyes como la Directiva de Secretos Comerciales y los Derechos de Propiedad Intelectual permiten a estos vampiros digitales ser opacos. Ya los he juzgado yo.
¿Y por qué me da tanta rabia? pues porque este tipo de empresas juegan con la información. Dicen: yo no hago perfiles de mis usuarios, ¡PERO BIEN QUE INSTALAS RASTREADORES QUE SÍ LO HACEN!
4. Moat. Analytics y publicidad.
Rastrea qué anuncios están viendo los usuarios.
¡Cómo no! Y así saber cómo afinar más la puntería y personalizar mis anuncios. Pero tranquila, que MyDays es una aplicación que te ayuda a ser madre.
Ahora, alguno de los permisos calificados como peligrosos:
1. Access_Coartion_Location: Acceso a la ubicación aproximada (basada en la red)
2. ACCESS_FINE_LOCATION: Acceso a la ubicación precisa (GPS y basado en red)
3. GET_ACCOUNTS: Encuentra cuentas en el dispositivo
4. READ_PHONE_STATE. Leer el estado del teléfono y la identidad
5. WRITE_EXTERNAL_STORAGE: Modificar o eliminar los contenidos de tu tarjeta SD
Vuelvo a aclarar, esto significa que la app puede realizar estas acciones, pero no sabemos si lo hace, o no.
Y quiero añadir algo más sobre los rastreadores. ¿Quién está detrás bien escondidito? Pues sí, nuestros queridos amigos: Facebook, Google, Amazon… pero nunca se les nombra.
Política de Privacidad: 25.033 palabras en un texto plano. Esto ya va en contra del principio de Transparencia del RGPD que dice que las PdP no deben ser escritas en un formato que produzcan fatiga al usuario, y se pueden usar medios para evitarlo, como configurar un menú desglosado, links a más explicaciones, etc.
Dan una versión corta y una versión larga. (link: https://mydays.club/info/privacy-policy/). La versión corta dicen que es para los usuarios que usen la aplicación, y ponen los 4 datos que les interesa que sepamos. Pero no, hay que leerse toda la política de privacidad para no encontrarnos sorpresitas.
Versión corta:
1. ¡No compartimos los datos de ciclo introducidos en el manual como Inicio de período, Intimidad, Peso, etc. con otros!
¡NO, YA LOS TIENES TÚ Y BIEN QUE LOS EXPRIMES!
2. «En principio» (Ojo a esto), tus datos se almacenan sólo dentro de su dispositivo.
Sólo cuando eliges crear una copia de seguridad con nuestro servidor, tus datos se transfieren y almacenan en nuestro servidor del Reino Unido a través de una conexión segura.
Es posible que compartamos información de ubicación y otra información automática del dispositivo para análisis y estadísticas con terceros (como Google Analytics, etc.).
Ah, ¡espérate! ¿Es posible? o: ¡compartimos tu ubicación con Google Analytics y 26 rastreadores más!
3. Nuevamente, esto NO es sobre los datos que ingresas en el manual dentro de la aplicación. Los datos introducidos en tu manual no se comparten con otros.
A ver… vamos a aclarar lo que esta aplicación, Y TODAS, entienden por «compartir información con terceros».
Para ello, hay que saber de que estamos hablando de datos biométricos, definidos en el artículo 9.2 RGPD. El tratamiento de estos datos está prohibido, salvo que el usuario dé su CONSENTIMIENTO EXPLÍCITO. Más reforzado e informado que el consentimiento a secas.
¿Qué son datos biométricos? datos personales que revelen el origen étnico o racial […] datos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientaciones sexuales de una persona física.
¿Qué ocurre en esta jauría de lobos? diferentes proveedores de servicios pueden tener diferentes objetivos con respecto a tales predicciones. Uno de estos objetivos podría ser inferir información o predecir la presencia de síntomas de alguna enfermedad.
Estas aplicaciones que usan estos datos tan sensibles también podrían vender datos a otras compañías. Por ejemplo, a compañías de seguros. Y si puedes padecer alguna enfermedad según sus predicciones, estás perdida.
Esta aplicación dice que no vende a terceros, pero le das toda la información a los 12 rastreadores. A ver, ¿a quién creen que van a engañar? Google, Facebook y Amazon saben los datos de fertilidad, y posibles problemas de salud, de todas las mujeres que se han bajado la app.
Las mayores preocupaciones sobre privacidad son las cuestiones sobre la identificación y perfilado de las personas, así como las estrategias de seguridad aplicadas a los datos en el tratamiento de los mismos, y la falta de control sobre los datos de salud que tienen sus usuarias.
Es por eso que es tan importante que las empresas que usan algoritmos de decisión automatizada y/o perfilado y traten datos biométricos sometan a sus algoritmos a auditorías de privacidad, de seguridad, y de impacto social, entre otros.
Los usuarios no queremos compartir, o que accedan sin autorización, a nuestros registros de salud con terceros, como es el caso de aseguradoras, bancos, gobiernos o empleadores. Además, surgen temores con respecto al uso discriminatorio de tales registros, ocasionando un impacto social negativo en la vida de las personas, como es la denegación de seguro médico porque han podido acceder a esta información e inferido la posibilidad de que ciertas usuarias puedan sufrir determinadas enfermedades.
Otro temor es la información sobre nuestra salud que estas aplicaciones tienen, porque pueden saber más sobre nuestra salud y posibles problemas que una misma o nuestro médico. Y es por eso que nos invitan a que les demos más información con la excusa de ayudarte a ser madre.
El gran problema que tenemos es que no tenemos una regulación específica acerca del tratamiento de datos sobre salud. Es cierto que estamos protegidos por el RGPD en materia de tratamiento de datos personales, pero no es suficiente.
Los datos que introducimos en esta aplicación, cuando se combinan con otros datos de identificación y localización dan como resultado la identificación de la persona, y se tiene un perfil sobre su salud que se puede usar (que se está usando) para otros fines comerciales que no sabemos.
Esta aplicación pseudonimiza los datos, pero no es suficiente porque aún se pueden crear perfiles de usuarios. Por eso es TAN IMPORTANTE que estas aplicaciones se sometan a auditorías de seguridad, privacidad e impacto social de sus algoritmos. Objetivo: CONFIABILIDAD Y TRANSPARENCIA. Es lo más importante.
Y para ir terminando. Dar nuestra información es arriesgado. Si son temas de salud, mucho más arriesgado porque no sabemos qué van a hacer con ellos. Puede que los comercialicen, que los usen para vendernos sus productos, para darle esta información a terceros que la usarán, a su vez, a tomar decisiones con gran impacto en nuestras vidas… ¡no lo sabemos! pero sospechamos que así es por el objetivo de cada uno de los rastreadores.
El problema, como siempre, es la opacidad. Qué datos de mi recoges y tratas, qué información predices, qué perfil haces de mí, con quién los compartes, y qué consecuencias tienen en mi vida privada.
Por eso, deben acceder a todos los permisos y rastreadores de las apps de su móvil porque están tomando decisiones que afectan a sus vidas. Recuerden usar https://reports.exodus-privacy.eu.org/en/ para comprobarlo.
Como siempre, gracias por leerme.