Calendario Menstrual Clue

Los creadores de la aplicación Calendario Menstrual Clue están muy, pero muy interesados en que sepas que se toman en serio la privacidad y la seguridad. Han escrito muchas entradas de blog explicando cómo se ocupan de esto. Por ejemplo, puedes ver esta, escrita por los codirectores generales de Clue, sobre la privacidad de los datos de paciente, o esta sobre la respuesta de Clue ante el nuevo panorama tras la derogación del fallo Roe vs. Wade en los EE. UU., o esta acerca del trayecto que realiza un punto de datos, o esta sobre cómo Clue dice que ganan dinero, o esta sobre las actividades de investigación científica en Clue. Ademas, por supuesto, está su política de privacidad, que debemos reconocer que es una de las más fáciles de leer que encontramos durante nuestra investigación.

Siempre es agradable que una empresa que desarrolla una aplicación que recopila datos de salud confidenciales nos diga que se toma en serio la privacidad y la seguridad de todos sus usuarios. Lo valoramos mucho. Dicho esto, tenemos algunas preocupaciones sobre la privacidad y la seguridad de Clue, aunque creamos que está muy cerca de ser muy buena en este ámbito. Desafortunadamente, no logran alcanzar la marca en un par de cuestiones que nos dejan un poco preocupados.

Primero mencionemos lo bueno. Clue dice que nunca venderá tus datos. ¡Genial! Además, como Clue se encuentra en Alemania y se rige por el RGPD, las leyes de privacidad más estrictas de Europa, y la mayoría de los datos de sus usuarias se almacenan allí, puede proporcionales una privacidad mejor y más fuerte con respecto a las formas en las que se pueden usar los datos y qué derechos tienen para acceder a ellos y eliminarlos. Además, Clue, como se ve en las numerosas entradas de blog que te mostramos antes, entiende que las personas de los Estados Unidos están preocupadas por la privacidad de sus datos de salud reproductiva tras la derogación del fallo Roe vs. Wade.

Pero hay algunas cosas que nos preocupan. En primer lugar, Clue recopila un montón de información. Datos como nombre, edad, dirección de correo electrónico (si creas una cuenta) y datos de uso del dispositivo y de la aplicación, tales como Id. del dispositivo, dirección IP, ubicación (aunque no la ubicación precisa) y los datos de salud confidenciales que hayas decidido monitorar con la aplicación, como peso, temperatura corporal, duración del período, actividad sexual, métodos anticonceptivos, antojos, estados de ánimo, niveles de energía, entre otros. Clue dice que almacena los datos de tu perfil personal separados de los datos de seguimiento de tu ciclo, lo cual es bueno. Aún así, todo esto es una gran cantidad de información sobre ti que la aplicación puede recopilar y almacenar. Clue dice que almacena los datos de forma segura, pero siempre le recordamos a la gente que nada que esté almacenado en Internet está 100 % seguro.

Es genial que Clue diga que no vende tu información. Sin embargo, la empresa comparte algunos datos con terceros para publicidad, marketing e investigación. Clue dice: «compartimos una cantidad mínima de datos sobre nuestras usuarias con redes publicitarias (pero nunca compartimos los datos sobre el ciclo menstrual u otros datos de salud que monitoreas con la aplicación)... Si no se siente cómoda con que se comparta algún dato para la optimización de anuncios, puede ir a Configuración y cambiar sus preferencias». Es decir que debes optar por no compartir tus datos para publicidad. Es una lástima que no sea al revés, preferiríamos que debas optar por compartirlos si así lo deseas. Clue deja muy claro que «no compartimos ninguno de los datos que monitorea para que lo usen anunciantes u otros terceros». Esto es bueno.

Con respecto a compartir datos con fines de investigación, Clue dice: «compartimos datos con investigadores cuidadosamente seleccionados, con el fin de avanzar en estudios de salud femenina. Para hacerlo, suprimimos la identificación de sus datos personales mediante la eliminación o partición de identificadores personales para que ni los investigadores ni otros terceros puedan vincularlos a usted». Esto generalmente está bien. Sin embargo, nos gusta recordar a la gente que se ha decubierto que es bastante fácil volver a identificar ese tipo de datos, especialmente si se incluyen datos de ubicación.

Una cosa que encontramos y que no está bien es esta declaración de la política de privacidad de Clue: «Al usar la aplicación, usted acepta que Clue pueda usar cookies y servicios de terceros, y recopilar sus datos de uso bajo un identificador único, así como su fecha de nacimiento, con fines de rastreo, análisis y mejora nuestro sitio web y nuestra aplicación, y con fines publicitarios, como mostrarle contenido relevante de Clue». Clue dice que usan un identificador único y tu fecha de nacimiento para rastrearte con fines publicitarios y de personalización. Estos son datos que podrían usarse fácilmente para identificarte, lo que nos parece preocupante. Y no somos los únicos. En 2020, el organismo de control de la privacidad Privacy International también planteó inquietudes sobre el uso de la fecha de nacimiento como rastreador y el posible intercambio de esos datos con terceros.

Además, recientemente Motherboard informó que pudieron comprar datos al bróker de datos Narrative, que pueden usarse para identificar a las usuarias de la aplicación Clue. Según el artículo, «Los datos no incluyen información recolectada de la aplicación Clue en sí, sino que es una lista de dispositivos que tienen la aplicación instalada, que a su vez podría usarse para identificar a las usuarias». Este informe fue lo suficientemente preocupante como para que el Congreso de los Estados Unidos inicie una investigación sobre los brókers de datos y las aplicaciones para el seguimiento del período, incluida Clue, para tratar de comprender mejor qué datos se pueden comprar y cómo proteger mejor la privacidad de las consumidoras en este frente. No estamos seguros de si Clue hizo algo malo aquí. El mundo de la economía y el seguimiento de datos es vasto y complejo. Aún así, creemos que es importante que las potenciales usuarias de Clue sepan que esto sucedió. Nos pusimos en contacto con Narrative para hacerles algunas preguntas sobre la compra de estos datos y nos dijeron: «antes de mayo de 2022, algunos proveedores de datos tenían productos de datos sobre las instalaciones de aplicaciones para el seguimiento del período, disponibles para su compra en el mercado de datos de Narrative» y «ante la mayor atención al tema de la salud y la privacidad de las mujeres a la luz de la decisión del Tribunal Supremo de derogar el fallo Roe vs. Wade, actualizamos nuestra política para eliminar del mercado los datos de instalación de cualquier tipo de aplicación de embarazo, menstruación o salud reproductiva, para evitar cualquier posible mal uso de los mismos». Esto nos da algo de esperanza en lo que respecta a la compra de este tipo de datos a brókers de datos (pero aún así, te recomendamos que planifiques pensando en lo peor).

¿Quieres saber cómo se ve Clue con respecto a compartir datos con organismos de seguridad? Por lo que analizamos, la aplicación se ve bastante bien en este aspecto. Tiene su sede en Alemania, se rige por leyes de privacidad más estrictas del RGPD y se encarga de destacarlo describiendo claramente cómo protege los datos que almacenan ante potenciales citaciones o solicitudes del gobierno de los EE. UU. Se lo agradecemos mucho. En un correo electrónico, nos dijeron: «Revelar datos confidenciales de salud reproductiva para usarlos contra la propietaria de los datos iría en contra de los principios europeos de privacidad de datos, que buscan proteger a las personas de la vigilancia gubernamental. En una situación hipotética en la que un tribunal alemán intentara ejecutar una solicitud extranjera, nos resistiríamos a cualquier intento de este tipo con todos los medios necesarios para proteger la privacidad de nuestras usuarias». Todo esto está genial. Sin embargo, debemos mencionar que su política de privacidad incluye una pequeña advertencia cuando dice: «Con respecto específicamente a los Estados Unidos, es poco probable que la información que nosotros y nuestros procesadores mantengamos sea objeto de investigación por parte de una autoridad pública de los Estados Unidos que fuera a invocar leyes que pueden obligar a un procesador a entregar información personal. Sin embargo, no se puede eliminar el riesgo de tal divulgación».

El mayor problema que encontramos con Clue tiene que ver con la seguridad. Lamentablemente, Clue no cumple con nuestros estándares mínimos de seguridad debido a que no exige el uso de una contraseña segura. Pudimos iniciar sesión en la aplicación con la contraseña superdébil «1». Esto es malo. Cuando nos comunicamos con Clue para preguntar sobre esto, nos dijeron: «Clue requiere una autenticación que se puede hacer... mediante el uso de una combinación de correo electrónico y contraseña. En la próxima versión principal prevista para este verano, aplicaremos una recomendación de usar una contraseña más fuerte». Al menos saben que necesitan mejorar esto y parecen tener planes de cambiar su requisito de contraseña. Actualizaremos esta revisión cuando confirmemos que han implementado un requisito de contraseña más fuerte.

¿Qué es lo peor que podría pasar con Clue? Como siempre, esperamos que nada. Pero, como ellos mismos afirman en su política de privacidad, «Por lo general, la mayor amenaza para la seguridad y la privacidad de sus datos es que alguien —posiblemente alguien que conoce— obtenga acceso a cualquiera de sus dispositivos sin su consentimiento». Ojalá a nadie le suceda que use esta aplicación, no establezca una contraseña segura porque la aplicación no la exige, aparezca una expareja enojada que acceda a su teléfono y se entere de que tuvo un posible aborto espontáneo, lo denuncie a la policía y que la policía la investigue y acose por practicarse un aborto en un estado donde es ilegal. Esperamos que esto no suceda jamás, pero estas son las inquietudes en las que todos debemos pensar en este momento.