La privacidad sigue siendo un problema con varias aplicaciones de salud para mujeres
Con millones de usuarios a nivel global, se proyecta que el mercado de aplicaciones de salud femenina superará los $18 billones para 2031. Sin embargo, estas aplicaciones son algunas de las menos confiables. Recopilan datos sobre los ciclos menstruales, la vida sexual y el estado de embarazo de los usuarios, así como información como números de teléfono y direcciones de correo electrónico. En años recientes, algunas de estas aplicaciones han sido objeto de escrutinio debido a violaciones de privacidad.
Un número de prácticas problemáticas persisten, informaron los investigadores en mayo en la Conferencia sobre Factores Humanos en Sistemas Informáticos en Honolulu.
El equipo evaluó las políticas de privacidad y las funciones de gestión de datos de 20 de las aplicaciones de salud femenina más populares en la Google Play Store de EE. UU. y Reino Unido. Encontraron casos de recolección encubierta de datos de usuario sensibles, inconsistencias en las políticas de privacidad y funciones relacionadas con la privacidad de la aplicación, mecanismos deficientes de eliminación de datos y más.
Los investigadores también encontraron que las aplicaciones a menudo vinculaban los datos del usuario con sus búsquedas en la web o navegación, poniendo en riesgo el anonimato del usuario. Algunas aplicaciones requerían que el usuario indicara si había tenido un aborto espontáneo o un aborto para utilizar una función de eliminación de datos. Esto es un ejemplo de patrones oscuros, o manipular a un usuario para obtener información privada, señalan los autores del estudio.
La coautora del estudio, Lisa Mekioussa Malki, investigadora de ciencias de la computación en University College London, habló con Science News sobre las implicancias de privacidad y seguridad de los hallazgos. Esta entrevista ha sido editada en extensión y claridad.
SN: Las aplicaciones de salud y fertilidad femenina han despertado preocupaciones sobre la privacidad. Pero en su estudio, señalan que los datos recopilados por estas aplicaciones también podrían tener implicancias de seguridad física.
Malki: Es una cosa pensar en la privacidad como la protección de datos como un activo desde una perspectiva organizacional, pero creo que necesita ir un paso más allá. Necesitamos considerar a las personas que usan estas aplicaciones, y cuáles son las implicancias de filtrar esos datos. Obviamente, está la cuestión clave de la criminalización [del aborto en un Estados Unidos pos-Roe], pero también hay muchos [otros] problemas que podrían resultar de la filtración de datos de salud reproductiva.
Por ejemplo, si el estado de embarazo de alguien se filtra sin su consentimiento, eso podría llevar a la discriminación en el lugar de trabajo. Ha habido trabajos anteriores que han explorado la persecución y la violencia de pareja íntima. En comunidades donde el aborto se estigmatiza, y los temas relacionados con la salud de las mujeres y la salud reproductiva se estigmatizan, compartir esta información podría causar daños reales y concretos para las personas en sus comunidades.
SN: Las aplicaciones a menudo dicen: "No vendemos sus datos". Pero la información que ingresamos todavía está disponible para los anunciantes y otros. Esto parece hacerlo muy difícil para los usuarios entender a qué están dando su consentimiento cuando usan las aplicaciones.
Malki: Estas aplicaciones recopilan muchos puntos de datos diferentes de los usuarios, y solo una pequeña parte de la misma se proporciona directamente. Claramente, hay información que un usuario ingresa cuando se registra, incluyendo sus datos de salud. Hay algunas limitaciones [por ley, según su ubicación] sobre el compartir y comercializar esos datos. Sin embargo, en algunas aplicaciones, la política de privacidad establece explícitamente que cosas como trimestre del embarazo del usuario podrían ser compartidos con anunciantes de terceros.
Pero también hay muchos datos que las aplicaciones recopilarán del dispositivo del usuario: dirección IP e información sobre cómo utilizan la aplicación, como qué artículos hacen clic, qué páginas acceden, etc. Y en realidad se pueden descubrir ideas bastante sensibles sobre la vida de una persona. Esa información, de acuerdo con la política de privacidad, se compartirá con las empresas de análisis en particular.
Es algo preocupante porque no hay mucha transparencia en torno a exactamente qué tipos de datos de comportamiento se están compartiendo. Podría ser simplemente, "Oh, el usuario inició sesión". O también podría ser, "Abrieron un artículo sobre anticonceptivos o embarazo". Y eso podría usarse para generar inferencias sobre los usuarios y predicciones que son realmente muy sensibles. No es absolutamente razonable esperar que el usuario tenga una comprensión completamente hermética solo basada en la lectura de una política de privacidad.
SN: ¿Qué consejo tiene para las mujeres y otros que usan estas aplicaciones de salud móviles?
Malki: Un problema clave que identificamos fue que muchas personas, al ver un artículo de noticias alarmante [sobre filtraciones de datos], inmediatamente eliminaban las aplicaciones. Eso no necesariamente protegerá los datos del usuario. Los desarrolladores a menudo mantienen copias de seguridad en sus propios servidores.
Por lo tanto, un consejo es buscar una función de eliminación de datos o cuenta en la aplicación, o incluso contactar directamente a los desarrolladores. Si vive en Europa en particular, puede ponerse en contacto con los desarrolladores y reclamar su derecho al olvido.
SN: Y ¿qué pueden hacer los desarrolladores para diseñar aplicaciones más éticas?
Malki: A lot of time, particularly when the app development team is quite small and perhaps limited in resources, data privacy is a compliance issue rather than a humanistic and user experience issue. So I think a shift in understanding is needed — who the users are, what potential risks they could be facing, what needs they have — and building that into the design process from the beginning.
We’ve developed this groundwork for understanding and identifying the characteristics of privacy policies. So what researchers and developers, even auditors and compliance people, can do in the future is use that framework to automate the analysis of a larger set of privacy policies on a large scale. Our codebook provides a framework for doing that.
