Aviso: *Privacidade não incluída neste produto
O Clue é um aplicativo de rastreamento do ciclo menstrual à gravidez, baseado na Alemanha. Estar localizado na Alemanha é um ponto de venda importante para a Clue, porque significa que eles são regidos pelas leis de privacidade mais rigorosas do GDPR da Europa, destinadas a fazer um trabalho melhor, no que diz respetio à proteção da privacidade dos consumidores, do que as leis em qualquer outro lugar do mundo. O Clue diz que usa mais de 30 opções de rastreamento diferentes para ajudá-la a entender como seu ciclo menstrual afeta coisas como humor, pele, desejos, níveis de energia, ovulação, desenvolvimento fetal, sintomas de gravidez e muito mais. Grátis para baixar, Clue oferece uma assinatura anual de cerca de US$ 40. Como o Clue parece do ponto de vista da privacidade? Bem, nós achamos que eles são bons. Também vemos alguns pontos que achamos que eles poderiam melhorar.
O que pode acontecer se algo der errado?
Os criadores do aplicativo Calendário Menstrual Clue querem muito que você saiba que eles levam a privacidade e a segurança a sério. Eles escreveram muitos posts sobre como fazem isso. Há este dos Co-CEOs do Clue sobre privacidade de dados do paciente, e este sobre a resposta do Clue à derrubada do Roe vs Wade nos EUA, e este sobre a jornada de um de seus pontos de dados, e este sobre como o Clue diz ganhar dinheiro, e este sobre pesquisa científica no Clue. E, claro, há a política de privacidade deles, que é uma das políticas de privacidade mais fáceis de ler que vimos durante nossa pesquisa.
É sempre bom ver uma empresa que faz um aplicativo que coleta dados de saúde tão sensíveis nos dizer que leva a privacidade e a segurança a sério de maneiras acessíveis a todos os seus usuários. Dito isto, temos algumas preocupações sobre a privacidade e a segurança do Clue. Do nosso ponto de vista, o Clue está muito perto de ser considerado bom em privacidade. Infelizmente, parece que eles pecam em alguns pontos, o que nos deixa um pouco preocupados.
Primeiro, para o bem. O Clue diz que nunca vendem seus dados. Eba! E, como o Clue é baseado na Alemanha e regido pelo GDPR, as leis de privacidade mais rigorosas da Europa, e a maioria dos dados do usuário é armazenada lá, ele fornece aos usuários uma privacidade melhor e mais forte quando se trata de como seus dados podem ser usados e quais direitos eles têm para acessá-los e excluí-los. E o Clue, como visto em seus muitos posts acima, entende que, nos EUA, as pessoas estão preocupadas com a privacidade de seus dados de saúde reprodutiva após o fim do Roe vs Wade.
Mas há pontos preocupantes. Primeiro, o Clue recolhe muita informação. Coisas como nome, idade, endereço de e-mail (se você criar uma conta), dados de uso do dispositivo e do aplicativo, como ID do dispositivo, endereço IP, localização (mas não localização precisa) e dados de saúde sensíveis que você escolheu rastrear no aplicativo, como peso, temperatura corporal, duração do período, atividade sexual, métodos de controle de natalidade, desejos, humor, níveis de energia e muito mais. O Clue diz que eles armazenam seus dados de perfil pessoal separadamente dos dados de rastreamento do ciclo, o que é bom. Ainda assim, são muitas informações que o aplicativo pode coletar sobre você e armazenar. O Clue diz que eles armazenam as informações com segurança, mas sempre temos que lembrar às pessoas que nada armazenado na internet é 100% seguro.
É ótimo que o Clue diga que eles não vendem suas informações. No entanto, eles compartilham alguns dados com terceiros para fins de publicidade, marketing e pesquisa. O Clue diz: "compartilhamos uma quantidade mínima de dados sobre nossos usuários com redes de publicidade (mas nunca compartilhamos os dados menstruais ou outros dados de saúde que você rastreia no aplicativo)... Se você não se sentir confortável com qualquer dado sendo compartilhado para otimização de anúncios, acesse Configurações e altere suas preferências." Portanto, você deve optar por não compartilhar seus dados para publicidade. Pena que não é opt-in, nós preferimos isso. E o Clue deixa muito claro que eles "não compartilham nenhum dos dados que você rastreia com anunciantes ou outros terceiros para seu uso." Isso é bom.
Quando se trata de compartilhar dados para fins de pesquisa, o Clue diz: "compartilhamos dados com pesquisadores cuidadosamente examinados para avançar nos estudos de saúde feminina. Para esse fim, desidentificamos seus dados pessoais removendo ou fazendo o hash de identificadores pessoais para que nem os pesquisadores nem terceiros possam vinculá-los a você." No geral, isso é OK. No entanto, gostamos de lembrar às pessoas que foi bastante fácil reidentificar esses dados, especialmente se os dados de localização forem incluídos.
O que achamos que não está "Ok" é esta declaração na política de privacidade do Clue: "Ao usar o aplicativo, você concorda que o Clue pode usar cookies e serviços de terceiros e coletar seus dados de uso sob um identificador exclusivo, bem como sua data de nascimento para fins de rastreamento, análise e melhoria de nosso site e aplicativo, bem como fins de publicidade, como mostrar o conteúdo relevante do Clue." O Clue diz que eles usam um identificador exclusivo e sua data de nascimento para rastreá-lo para fins de publicidade e de personalização. Estes são dados que poderiam ser facilmente usados para identificá-lo, o que nos preocupa. E não estamos sozinhos. Em 2020, o monitoramento de privacidade da Privacy International também levantou preocupações sobre o uso da data de nascimento como rastreador e, potencialmente, o compartilhamento desses dados com terceiros.
E recentemente, a Motherboard relatou que conseguiu comprar dados do corretor de dados, Narrative, que poderiam ser usados para identificar usuários do aplicativo Clue. De acordo com o artigo, "Os dados não incluem informações coletadas do próprio aplicativo Clue, mas sim uma lista de dispositivos que têm o aplicativo instalado e que, por sua vez, podem ser usados para identificar usuários." Este relatório levantou preocupações suficientes de que o Congresso dos EUA lançou uma investigação sobre corretores de dados e aplicativos de rastreamento de ciclos menstruais, incluindo o Clue, para tentar entender melhor quais dados estavam disponíveis para venda e como proteger melhor a privacidade dos consumidores a respeito disso. Não temos certeza se o Clue fez algo errado. A economia de dados e o rastreamento de dados fazem parte de um mundo vasto e complicado. Ainda assim, achamos que é importante que os potenciais usuários do Clue saibam que isso aconteceu. Entramos em contato com a Narrative com algumas perguntas sobre a compra desses dados e eles nos disseram: "antes de maio de 2022, alguns provedores de dados tinham produtos de dados sobre instalações de aplicativos de rastreamento de ciclos mentruais disponíveis para compra no Narrative Data Streams Marketplace" e "em antecipação ao aumento da atenção à saúde e privacidade das mulheres à luz da decisão do Supremo Tribunal de derrubar Roe v. Wade, atualizamos nossa política para remover qualquer dados de instalação de aplicativos de gravidez/menstruação/saúde reprodutiva do Marketplace para evitar qualquer uso indevido potencial dos dados." Portanto, aqui esperamos o melhor em relação à compra desse tipo de dados de corretores de dados (mas ainda assim, recomendamos que você planeje o pior).
Como fica O Clue no que diz respeito do compartilhamento de dados com as autoridades policiais? Bem, até onde podemos dizer, eles parecem muito bons. Eles estão baseados na Alemanha. Eles são regidos por leis de privacidade mais rigorosas do GDPR e fazem questão de descrever claramente como eles protegem os dados que armazenam de quaisquer intimações potenciais ou solicitações do governo dos EUA. Valorizamos muito isso. Eles nos disseram em um e-mail: "Divulgar dados sensíveis de saúde reprodutiva para usá-los contra o titular dos dados iria contra os princípios europeus de privacidade de dados, que buscam proteger as pessoas contra a vigilância do governo. No cenário teórico em que um tribunal alemão procurou fazer cumprir um pedido estrangeiro, resistiríamos a qualquer tentativa com todos os meios necessários para proteger a privacidade de nossos usuários." Isso é muito bom. No entanto, devemos mencionar que sua política de privacidade inclui uma certa advertência ao afirmarem:"No que diz respeito especificamente aos Estados Unidos, é improvável que as informações que nós e nossos processadores mantemos sejam objeto de investigação por uma autoridade pública nos EUA que invocaria tais leis que podem obrigar um processador a entregar informações pessoais. O risco de tal divulgação, no entanto, não pode ser eliminado."
Provavelmente a maior preocupação que encontramos no Clue dis respeito à segurança. Infelizmente, o Clue não atende aos nossos Padrões Mínimos de Segurança porque não exigem uma senha forte. Conseguimos fazer login no aplicativo com a senha muito fraca de "1". Isso é ruim. Quando entramos em contato com o Clue para perguntar sobre isso, eles nos disseram: "O Clue pede autenticação, que pode ser feita... usando uma combinação de e-mail/senha. Incentivar uma complexidade de senhas ainda maior será abordado no próximo grande lançamento planejado para este verão." Então, pelo menos eles sabem que precisam melhorar isso e parecem ter planos para atualizar seus requisitos de senha. Atualizaremos esta análise assim que confirmarmos que um requisito de senha mais forte foi implementado.
Qual é a pior coisa que pode acontecer no Clue? Como sempre, esperamos que nada. Mas, como eles mesmos afirmam em sua política de privacidade, "Normalmente, a maior ameaça à segurança e privacidade de seus dados é que alguém - provavelmente alguém que você conhece - obtenha acesso a qualquer um de seus dispositivos sem o seu consentimento." Esperamos que ninguém que use esse aplicativo, não defina uma senha forte porque não é necessário, permitindo que um ex-parceiro irritado acesse seu telefone e saiba que teve um possível aborto espontâneo, relate isso à polícia e faça com que sejam investigada e assediada pela polícia por potencialmente ter feito um aborto em um estado onde isso é ilegal. Esperamos que isso nunca aconteça, mas essas são as preocupações que todos devemos considerar agora.
Dicas para se proteger
- Use o aplicativo sem criar um perfil: dessa forma, seus dados serão processados apenas em seu dispositivo e, provavelmente, acabarão nas mãos de corretores de dados.
- Acesse as configurações e desative o compartilhamento de dados para fins de publicidade!
- Ative um código PIN exclusivo ou ative o TouchID (iPhone 5S-8) para o aplicativo Clue.
- Não se cadastre em contas de terceiros, como Facebook ou Google! É melhor acessar com email e senha.
- Escolha uma senha forte! Você pode usar uma ferramenta de controle de senha como 1Password, KeePass etc.
- Use os controles de privacidade do seu dispositivo para limitar o acesso às suas informações pessoais via aplicativo (não dê acesso à sua câmera, microfone, imagens e vídeos)
- Mantenha seu aplicativo atualizado regularmente
- Limite o rastreamento de anúncios através do seu dispositivo (por exemplo, no iPhone, vá para Privacidade - > Publicidade -> Limitar rastreamento de anúncios) e as maiores redes de anúncios (para o Google, vá para a Conta do Google e desative a personalização de anúncios)
- Solicite que seus dados sejam excluídos assim que você parar de usar o aplicativo. Simplesmente excluir um aplicativo do seu dispositivo não apaga seus dados pessoais.
Pode me bisbilhotar?
Câmera
Dispositivo: Não aplicável
Aplicativo: Não
Microfone
Dispositivo: Não aplicável
Aplicativo: Não
Rastreia localização
Dispositivo: Não aplicável
Aplicativo: Não
O que pode ser usado para se inscrever?
Sim
Celular
Não
Conta de terceiros
Sim
Cadastros de contas do Facebook e do Google disponíveis
Que dados a empresa coleta?
Pessoal
Se você criar uma conta: email, nome, idade
Relacionado ao corpo
Se você criar uma conta: suas informações do ciclo (por exemplo, duração do período, dor ou escape) e, dependendo dos dados fornecidos, também podem conter informações sobre sua saúde geral (por exemplo, peso, temperatura corporal, qualidade do cabelo e se/como você se tem relações sexuais)
Social
Como a empresa usa esses dados?
Como você pode controlar seus dados?
Qual é o histórico conhecido da empresa na proteção de dados dos usuários?
Em 2020, pesquisadores de privacidade levantaram a preocupação de que a data de aniversário seja usada como um identificador de anúncio. A prática ainda continua.
Em maio de 2022, os repórteres da Vice conseguiram comprar uma lista de dispositivos que sam o Clue do corretor de dados Narrative por US $ 100. De acordo com o relatório, "Os dados não incluem informações coletadas do próprio aplicativo Clue, mas sim uma lista de dispositivos que têm o aplicativo instalado e que, por sua vez, podem ser usados para identificar usuários." A culpa de que os corretores de dados que obtenham essas informações provavelmente não é do Clue. Ainda assim, esses dados estavam disponíveis para compra de pelo menos um corretor de dados em maio de 2022, o que é uma preocupação.
Informações de privacidade infantil
Este produto pode ser usado offline?
Informações de privacidade fáceis de entender?
Links para informações de privacidade
Este produto atende aos nossos padrões mínimos de segurança?
Criptografia
Senha forte
Foi possível se inscrever com "1" como uma senha. O Clue nos escreveu dizendo que "O Clue requer autenticação que pode ser feita ... usando uma combinação de e-mail/senha. Incentivar uma complexidade de senhas ainda maior será abordado no próximo grande lançamento planejado para este verão." Atualizaremos esta análise assim que confirmarmos que um requisito de senha mais forte foi implementado.
Atualizações de segurança
Gerencia vulnerabilidades
O Clue tem uma equipe de segurança da informação que gerencia as vulnerabilidades relatadas. Eles podem ser relatados através do arquivosecurity.text (que descreve mais escopo e detalhes), ou entrando em contato com a Equipe de Suporte do Clue através de seu aplicativo ou site.
Política de privacidade
Um aplicativo rastreia o ciclo menstrual de uma mulher através do aprendizado de máquina. O aplicativo diz que eles trabalham em estreita colaboração com universidades e cientistas para melhorar a saúde feminina e encontrar insights que beneficiam nossos usuários. O aplicativo também diz que não é uma IA: "O produto usa análise de dados e aprendizado de máquina para calcular as previsões de ciclo personalizadas do usuário, no entanto, isso não é uma IA."
Mergulhe mais fundo
-
Congress to Investigate Data Brokers and Period Tracking AppsVice
-
Data Marketplace Selling Info About Who Uses Period Tracking AppsVice
-
Supreme Court overturns Roe v. Wade: Should you delete your period-tracking app?TechCrunch
-
Here’s What Period Tracking Apps Say They Do With Your DataVice
-
We asked 12 period-tracking apps about their post-Roe privacy policiesInput
-
Consumers swap period tracking apps in search of increased privacy following Roe v. Wade rulingTechCrunch
-
Forget Tracking Your Period—Your Period (App) Is Tracking YouMarie Claire
Comentários
Tem um comentário a fazer? Nos diga.