Las empresas no toman en cuenta tu "consentimiento" lo dan por sentado o te coaccionan para que lo des y, por otro lado, sepultan las reglas del juego en una política de privacidad que saben que nadie leerá. Es molesto y hasta siniestro. Y por eso estamos aquí.
“Cabría esperar que las aplicaciones que manejan información muy sensible —acerca de tu menstruación o tu ansiedad— trataran con más seriedad tu consentimiento… Pero después de escudriñar la política de privacidad de 65 aplicaciones de salud mental y reproductiva, descubrimos que la mayoría no lo hace”.
Misha Rykov, investigador en *Privacidad no incluida
Que las aplicaciones con información sobre la salud se tomen el consentimiento tan a la ligera es más que siniestro: es perjudicial. Aquí encontrarás algunas de las técnicas engañosas que descubrimos en relación con el consentimiento, te diremos cómo puedes detectarlas y cómo entender mejor a qué estás dando tu "consentimiento".
Ejemplo: te piden una encuesta personal antes de poder tan siquiera ver cómo se protegerá (o no) la información que proporciones.
Cuando llegas a una página que comienza con una encuesta o un chatbot y ni siquiera has aceptado o no te han ofrecido todavía ver la política de privacidad, podrías suponer que la información (solamente) se va a usar para asignarte el producto o servicio adecuado. No es del todo aceptable que recopilen esas respuestas sin que sepas cómo van a guardarlas y usarlas. Pero lo que, sin duda, es inadmisible es que esa información se comparta con fines con los que no estarías de acuerdo si tuvieras la opción.
En el caso de Talkspace, en su política de privacidad se indica: “Las inferencias acerca de tus intereses se derivan de tus respuestas a encuestas [como la anterior] que contestas antes de suscribirte" y se citan como fuente de información que puede utilizarse para publicidad dirigida.
No es la única aplicación de salud mental que pide que se haga una encuesta extremadamente personal antes de mostrar su política de privacidad. Betterhelp, Happify y Youper también lo hacen.
Ejemplo: políticas de privacidad donde se indica que...
“Generalmente no revelamos tu información personal a terceros sin tu consentimiento específico, salvo si la ley lo permite o lo exige”.
“Podemos recibir información personal tuya de otras fuentes con tu consentimiento o en la medida que lo permita la ley aplicable”.
“Salvo” y “o” son dos palabras que no quieres ver después de un compromiso. El asunto es que, como indicaremos más adelante, la legislación acerca de la privacidad de los datos no suele cubrir a detalle el consentimiento y, en general, resulta bastante permisiva. Así que cuando en las aplicaciones se indica “no lo hacemos salvo si es legal hacerlo,” en realidad no dicen nada.
Sinceramente, incluso a nosotros nos resulta difícil determinar qué significan esas palabras, pero cuando surgen dudas, también surgen temores porque estas pequeñas lagunas legales posibilitan que tus datos personales se compartan a "otras fuentes" o estas los recopilen, como en estos dos ejemplos.
Y es algo que nos asusta, pues cuando tus datos se combinan, comparten o venden, no suele ser por motivos que te beneficien. A veces, se usan para enviarte anuncios demasiado personalizados. Pero, en el peor de los casos, el asunto se puede llegar a poner muy feo. Dependiendo de dónde vivas, las consecuencias de compartir tu orientación sexual, embarazo u otra información privada sobre tu salud podrían poner en riesgo tu libertad e incluso tu vida.
Ejemplo: políticas de privacidad donde se indica que...
“Al registrarte o usar la Aplicación, aceptas cumplir estos Términos y la Política de Privacidad, inclusive cualquier regla adicional o modificaciones futuras”.
En este modelo de consentimiento, básicamente se dice que, si usas nuestra aplicación, es porque aceptas nuestras reglas (que quizás conozcas, pero probablemente no). Suelen ser difíciles de detectar, pues aun cuando no se expresa directamente en las aplicaciones, como sucede en Maya Period, Fertility, Ovulation, & Pregnancy, en muchas "se da por sentado" que los usuarios han leído y aceptado sus políticas de privacidad y que eso significa que "das tu consentimiento" a lo que expresan.
En su política de privacidad, WebMD Pregnancy “te insta a leer[la] cuidadosamente” antes de instalar sus aplicaciones o usar sus servicios, lo que también incluye visitar sus sitios web. Pero ya tienes que haber visitado alguno de sus sitios web para leer eso en la política de privacidad. Puede que seamos quisquillosos, pero creemos que debería ser posible que los consumidores sepan qué están aceptando antes de permitir que las empresas den por sentado el consentimiento.
El consentimiento “implícito”, como usualmente se le denomina, a veces resulta aceptable. Tiene mucho más sentido cuando te informan bien o cuando, de cualquier modo, probablemente aceptarías. Si entras en una tienda y un letrero encima de tu cabeza dice "sonríe, te estamos grabando", al entrar implícitamente consentiste que te filmen. No es agradable que te vigilen, pero al menos se te informa de ello antes de entrar.
Las aplicaciones de salud reproductiva que obtienen el consentimiento con tácticas como esa no están jugando limpio. No hay "un letrero encima de la puerta” que te ponga sobre aviso antes de descargar la aplicación y, con mucha frecuencia, la advertencia está escondida en la política de privacidad. E incluso si consideras que no hay nada de privado en la manera en que te comportas en una tienda, probablemente no pienses igual de toda la información que dichas aplicaciones recopilan, como tu cumpleaños, datos sobre tu salud, tu peso o tu vida sexual.
No obstante en ambas aplicaciones se da por sentado que tienen tu permiso no solamente para guardar parte de tu información personal, sino para compartirla con “socios de negocios” o con fines publicitarios. Como que hay un mundo de diferencia, ¿verdad?
En este caso, técnicamente tienes la opción de declinar, pero no es sencillo hacerlo. Seamos sinceros, aun cuando no estás lidiando con problemas de salud mental, leer la complicada letra pequeña y abrirte paso entre tanta configuración difícil de encontrar es pedir demasiado. Por eso, no resulta justo que las empresas se aprovechen. Las aplicaciones lo hacen al utilizar diseños que te obligan a aceptar las opciones que prefieren que tomes. El resultado es que acabas dando tu "consentimiento" a algo que, de otra manera, no aceptarías.
¿No va eso en contra de la ley?
Casi siempre no, pero a veces sí. Depende de donde vivas. El Reglamento general de protección de datos de la Unión Europea (RGPD) mantiene una postura muy estricta sobre el consentimiento para el procesamiento de datos y lo que esto significa específicamente. El consentimiento tiene que ser una "acción afirmativa" e "informada", entre otros requisitos. Esta es una versión del consentimiento que tiene sentido.
Pero ni siquiera los europeos se encuentran completamente fuera de peligro. El “consentimiento” constituye solamente uno de los seis motivos para el procesamiento de datos según el RGPD. Así que las empresas pueden intentar meter el uso de tus datos dentro de otros "motivos legítimos", aparte del consentimiento. Meta intentó hacer eso cuando argumentó que los usuarios desean que sus datos se utilicen para anuncios personalizados, al afirmar que es parte de lo que las personas aceptan cuando se unen a Facebook, Instagram y WhatsApp. Mmm.
En la mayoría de los demás países, entre ellos Estados Unidos, no existe una ley federal sobre privacidad de datos personales o el consentimiento es un tanto ambiguo. En ese país, es la limitada Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) la que se encarga del arduo trabajo de proteger la información de salud, mientras que otros tipos de protección de la privacidad de datos varían por estado. Pero aun las más estrictas, como la Ley de Privacidad del Consumidor de California (CCPA) dan margen para tipos de consentimiento más turbios. Lo mismo sucede con el equivalente en Canadá, la Ley de Protección de Información Personal y Documentos Electrónicos (PIPEDA).
¿Y cuando el consentimiento está protegido por la ley? Sigue resultando muy fácil que las aplicaciones esquiven las normas.
“Esperarías que la seguridad fuera como la de una botella de salsa de tomate que compras en el supermercado. Es decir, que cuando una aplicación sale al mercado, ya cumple un mínimo de prácticas de protección de datos. Pero no es así. Las autoridades para la protección de datos son burocráticas y se mueven con lentitud, mientras que la escala de los productos digitales es masiva. No pueden seguirles el paso”.
Misha Rykov, investigador en *Privacidad no incluida
Esto significa que la protección que ofrece la ley suele llegar demasiado tarde, más como una sanción o multa después de que tu información privada ya haya quedado expuesta. Así sucedió apenas a principios de este año:
- La aplicación de salud mental Cerebral reconoció una infracción a la HIPAA porque expuso los datos personales privados de salud de más de 3,1 millones de pacientes miembros de redes sociales como Facebook y TikTok.
- BetterHelp se metió en problemas con la Comisión Federal de Comercio (FTC) de Estados Unidos por compartir los datos de salud que había prometido mantener privados —entre otros, información sobre problemas de salud mental— con empresas como Facebook y Snapchat. BetterHelp señaló que el acuerdo (que incluyó un pago de USD 7,8 millones) no constituía un reconocimiento de delito y que las acciones por las que recibió sanciones son típicas en el sector.
¿Qué puedes hacer al respecto?
Nadie debería tener que pagar por el bienestar con su privacidad. Y tampoco deberías ser tú quien tenga que defender tus datos de las compañías que parecen haber inventado un significado totalmente nuevo para la palabra "consentimiento". Pero hasta que estas prácticas comunes sean erradicadas, puedes tomar ciertas medidas para protegerte a ti y a tu comunidad.
Para obtener consejos más detallados sobre privacidad, visita nuestras reseñas individuales sobre aplicaciones de salud mental y reproductiva.
Apoya nuestra labor
En gran medida, podemos realizar esta investigación y publicarla gracias a las donaciones de personas como tú, que son defensoras acérrimas de la privacidad. Muchas de ellas contribuyen con 35-50 dólares. ¿Podrías donar hoy mismo para ayudarnos a arrojar luz sobre las siniestras prácticas corporativas con relación a la privacidad?
¿Quieres lograr un mayor impacto? Haz una donación mensual y ayúdanos con una financiación sostenible todo el año para apoyar nuestra lucha por una mejor tecnología.
Misha Rykov
Originario de Kiev y radicado en Berlín, Misha trabajó para gigantes tecnológicos y en consultoría de seguridad antes de unirse a los esfuerzos a favor de la privacidad de Mozilla. A Misha le encanta la narrativa de investigación y detesta las políticas de privacidad complicadas. Es un defensor de una regulación más estricta e inteligente de la privacidad, así como de un Internet más seguro.
Zoë MacDonald
Zoë es escritora y estratega digital radicada en Toronto, Canadá. Antes de que su pasión por los derechos digitales la llevara a Mozilla y *Privacidad no incluida, escribía sobre ciberseguridad y comercio electrónico. Cuando no está inmersa en su trabajo de friki de la privacidad, se dedica a vigilar dispositivos inteligentes en casa.
Jen Caltrider
Durante una época poco planeada cuando estudiaba mi maestría en inteligencia artificial, descubrí que era mucho mejor contando historias que escribiendo código. Esto me llevó a una carrera interesante como periodista cubriendo temas de tecnología para CNN. Mi verdadera pasión en la vida siempre ha sido dejar el mundo un poco mejor de como lo encontré. Por eso creé y dirijo el trabajo de Privacidad no incluida de Mozilla, para luchar por una mejor privacidad para todos nosotros.
Are mental health apps better or worse at privacy in 2023?
Mental health apps 2023
Jen Caltrider, Misha Rykov y Zoë MacDonald