Mi aplicación de control de la menstruación recopila datos íntimos y los comparte con Amazon, Google y Facebook
Según el reglamento vigente, este tipo de ‘apps’ solo deberían recabar la información estrictamente necesaria para cumplir con su función: predecir el próximo ciclo menstrual
Algunas de las principales aplicaciones que ayudan a calcular los ciclos menstruales e identificar los días fértiles almacenan innecesariamente datos íntimos y personales de las usuarias, como su dificultad para llegar al orgasmo, la frecuencia con la que se masturban o las visitas a su ginecólogo, según Privacy International, una ONG con sede en el Reino Unido que ha analizado cinco de las apps más usadas. Según el reglamento europeo vigente, este tipo de aplicaciones solo deberían recabar la información estrictamente necesaria para cumplir con su función: predecir el próximo ciclo menstrual o indicar los días más fértiles de cada mujer. La investigación ha encontrado que los datos que las usuarias vuelcan en las apps se comparten con empresas como Amazon, Google, Facebook y otras compañías de perfilado y publicidad.
Además de pedir la información imprescindible, como la fecha de inicio del ciclo menstrual y su duración, este tipo de aplicaciones de salud hacen preguntas relacionadas con el estado de ánimo, la frecuencia de las relaciones sexuales y la calidad del sueño, asegurando que con esos datos la experiencia “está personalizada y el servicio es de más calidad”. Pero no solo eso, también quieren saber otros muchos detalles que no influyen en el ciclo y forman parte de la vida privada de las usuarias, como: “¿Sientes dolor durante el sexo? ¿Qué tipo de relación tienes? ¿Cuántas veces al año tienes cistitis? ¿Es fácil para ti llegar al orgasmo?”
Algunas de las aplicaciones no permiten acceder a sus servicios a no ser que registren este tipo de datos. Otras dan puntos a cambio de información. Todas tienen un funcionamiento que incentiva que las usuarias continúen dándoles información actualizada un mes tras otro. El problema no es que se conteste a las preguntas, sino que esos datos no se almacenan solamente en el teléfono. “La información también es accesible para los servidores de la app, y potencialmente para otros”, explica Eva Blum-Dumontet, investigadora de Privacy International, que usó cinco aplicaciones y luego preguntó qué información tenían sobre ella. Las usuarias deberían poder responder a cualquier pregunta con la tranquilidad de que esa información no va a trascender, en opinión de Blum-Dumontet.
Preguntar sobre detalles que no tienen que ver con el objetivo de la aplicación va en contra del Reglamento General de Protección de Datos (RGPD) que establece la Unión Europea. Esta normativa dispone que las empresas solo pueden recopilar la información imprescindible para cumplir la finalidad que comunican al usuario en las políticas de privacidad. “Si ofreces personalizar el servicio para calendarizar la menstruación, el dato de la masturbación es accesorio. La empresa estaría yendo en contra de uno de los principios más importantes del RGPD, el de minimización de datos”, explica Manuela Battaglini, CEO de Transparent Internet, que también investigó el tratamiento que la app MyDays da a la información que recopila.
En su caso, Battaglini encontró que hasta 12 rastreadores accedían a los datos que las usuarias introducían en la aplicación MyDays. Se trata de terceros que recaban información sobre los usuarios y sus usos. “Muchas de las apps te dicen que no hacen un perfil tuyo con tus datos. No lo hacen ellas, pero tienen rastreadores que sí lo hacen”, cuenta Battaglini. “Son data brokers, vampiros de datos que los venden a bancos, aseguradoras, gobiernos… al mejor postor”. Entre los rastreadores de algunas de las aplicaciones sobre menstruación y fertilidad más descargadas se encuentran gigantes como Amazon, Facebook, Google y Microsoft; y también empresas más pequeñas dedicadas a la publicidad y la identificación de usuarios.
“Si una app tiene acceso a esa cantidad de información que no necesita para su finalidad y además tiene rastreadores significa que está especulando con tu información. Es a lo que se suelen dedicar este tipo de aplicaciones”, continúa Battaglini. “Si es con fines publicitarios, esos datos serían interesantes para clínicas de reproducción o para empresas de productos de higiene femenina aunque los anunciantes deben asegurarse de que los datos que utilizan se han obtenido cumpliendo con los reglamentos vigentes”, añade Carlos Duez, especialista en producto digital.
La investigadora Eva Blum-Dumontet puso a prueba a las aplicaciones Flo, Clue, Mia, Maya y Oky, entre todas suman más de 66 millones de descargas. Las usó durante un tiempo y luego les pidió los datos que habían recopilado sobre ella. Las dos primeras fueron las únicas que contestaron en tiempo y forma. Maya nunca respondió, lo que supone incumplir con el RGPD. “Si haces una solicitud de tus datos a estas empresas, están obligadas a proveer una copia de la información que están procesando. Aquellas que no contestaron estarían efectivamente infringiendo el RGPD”, aclara Duez. Oky, desarrollada por Unicef, alegó que no podía acceder a la información porque “estaba totalmente anonimizada”.
La respuesta que más llamó la atención de la investigadora fue la de la app Mia: respondieron enviándole la información que Blum-Dumontet pedía, pero le prohibieron publicar los datos alegando privacidad y derechos de autor. “Mia pretende establecer la propiedad y el control de los datos personales que, de hecho, son míos. Me sorprende ver mi información privada convertida en un secreto comercial o protegida por derechos de autor de una empresa”, explica la investigadora. Pero lo cierto es que la ley lo permite. “El RGPD choca con otras dos leyes que permiten a las empresas ser opacas: los derechos de propiedad intelectual y de secreto profesional”, explica Battaglini. “Efectivamente, las empresas pueden alegar derechos de copyright sobre tus datos para no mandártelos. Y es totalmente legal”.
Un enfoque diferente
Para mejorar el tratamiento de los datos, estas empresas necesitan ser más éticas y transparentes, en opinión de los expertos consultados. La ONG Privacy International propone empezar por que funcionen sin la necesidad de que las usuarias se registren, que no necesiten un e-mail. Para Battaglini la clave está en la transparencia. “Depende de la finalidad de esa información. Si solo lo van a usar para escribirme cuando haya que solucionar problemas está bien. Pero cuéntame qué vas a hacer con ese dato. Todo depende de la transparencia”.
Almacenar los datos solo en el teléfono y no en los servidores de la empresa es una de las soluciones que más convencen. Es lo que llamamos descentralización: cuando la información no está en una base de datos sino en los dispositivos de los usuarios. Pero lo más básico es que las aplicaciones se comprometan a recopilar solo lo imprescindible para su funcionamiento y no pregunten cada cuánto vas al ginecólogo si tú solo quieres saber qué día te bajará la regla el mes que viene.
Puedes seguir a EL PAÍS TECNOLOGÍA RETINA en Facebook, Twitter, Instagram o suscribirte aquí a nuestra Newsletter.
