Calendário Menstrual Clue

Aviso: *privacidade não incluída neste produto

Calendário Menstrual Clue

BioWink
WiFi

Data da avaliação: 9 de Agosto de 2022

|
A Mozilla investigou por 8 horas
|

Opinião da Mozilla

|
Votos das pessoas: Não é assustador

O Clue é um aplicativo de rastreamento do ciclo menstrual à gravidez, baseado na Alemanha. Estar localizado na Alemanha é um ponto de venda importante para a Clue, porque significa que eles são regidos pelas leis de privacidade mais rigorosas do GDPR da Europa, destinadas a fazer um trabalho melhor, no que diz respetio à proteção da privacidade dos consumidores, do que as leis em qualquer outro lugar do mundo. O Clue diz que usa mais de 30 opções de rastreamento diferentes para ajudá-la a entender como seu ciclo menstrual afeta coisas como humor, pele, desejos, níveis de energia, ovulação, desenvolvimento fetal, sintomas de gravidez e muito mais. Grátis para baixar, Clue oferece uma assinatura anual de cerca de US$ 40. Como o Clue parece do ponto de vista da privacidade? Bem, nós achamos que eles são bons. Também vemos alguns pontos que achamos que eles poderiam melhorar.

O que pode acontecer se algo der errado?

Os criadores do aplicativo Calendário Menstrual Clue querem muito que você saiba que eles levam a privacidade e a segurança a sério. Eles escreveram muitos posts sobre como fazem isso. Há este dos Co-CEOs do Clue sobre privacidade de dados do paciente, e este sobre a resposta do Clue à derrubada do Roe vs Wade nos EUA, e este sobre a jornada de um de seus pontos de dados, e este sobre como o Clue diz ganhar dinheiro, e este sobre pesquisa científica no Clue. E, claro, há a política de privacidade deles, que é uma das políticas de privacidade mais fáceis de ler que vimos durante nossa pesquisa.

É sempre bom ver uma empresa que faz um aplicativo que coleta dados de saúde tão sensíveis nos dizer que leva a privacidade e a segurança a sério de maneiras acessíveis a todos os seus usuários. Dito isto, temos algumas preocupações sobre a privacidade e a segurança do Clue. Do nosso ponto de vista, o Clue está muito perto de ser considerado bom em privacidade. Infelizmente, parece que eles pecam em alguns pontos, o que nos deixa um pouco preocupados.

Primeiro, para o bem. O Clue diz que nunca vendem seus dados. Eba! E, como o Clue é baseado na Alemanha e regido pelo GDPR, as leis de privacidade mais rigorosas da Europa, e a maioria dos dados do usuário é armazenada lá, ele fornece aos usuários uma privacidade melhor e mais forte quando se trata de como seus dados podem ser usados e quais direitos eles têm para acessá-los e excluí-los. E o Clue, como visto em seus muitos posts acima, entende que, nos EUA, as pessoas estão preocupadas com a privacidade de seus dados de saúde reprodutiva após o fim do Roe vs Wade.

Mas há pontos preocupantes. Primeiro, o Clue recolhe muita informação. Coisas como nome, idade, endereço de e-mail (se você criar uma conta), dados de uso do dispositivo e do aplicativo, como ID do dispositivo, endereço IP, localização (mas não localização precisa) e dados de saúde sensíveis que você escolheu rastrear no aplicativo, como peso, temperatura corporal, duração do período, atividade sexual, métodos de controle de natalidade, desejos, humor, níveis de energia e muito mais. O Clue diz que eles armazenam seus dados de perfil pessoal separadamente dos dados de rastreamento do ciclo, o que é bom. Ainda assim, são muitas informações que o aplicativo pode coletar sobre você e armazenar. O Clue diz que eles armazenam as informações com segurança, mas sempre temos que lembrar às pessoas que nada armazenado na internet é 100% seguro.

É ótimo que o Clue diga que eles não vendem suas informações. No entanto, eles compartilham alguns dados com terceiros para fins de publicidade, marketing e pesquisa. O Clue diz: "compartilhamos uma quantidade mínima de dados sobre nossos usuários com redes de publicidade (mas nunca compartilhamos os dados menstruais ou outros dados de saúde que você rastreia no aplicativo)... Se você não se sentir confortável com qualquer dado sendo compartilhado para otimização de anúncios, acesse Configurações e altere suas preferências." Portanto, você deve optar por não compartilhar seus dados para publicidade. Pena que não é opt-in, nós preferimos isso. E o Clue deixa muito claro que eles "não compartilham nenhum dos dados que você rastreia com anunciantes ou outros terceiros para seu uso." Isso é bom.

Quando se trata de compartilhar dados para fins de pesquisa, o Clue diz: "compartilhamos dados com pesquisadores cuidadosamente examinados para avançar nos estudos de saúde feminina. Para esse fim, desidentificamos seus dados pessoais removendo ou fazendo o hash de identificadores pessoais para que nem os pesquisadores nem terceiros possam vinculá-los a você." No geral, isso é OK. No entanto, gostamos de lembrar às pessoas que foi bastante fácil reidentificar esses dados, especialmente se os dados de localização forem incluídos.

O que achamos que não está "Ok" é esta declaração na política de privacidade do Clue: "Ao usar o aplicativo, você concorda que o Clue pode usar cookies e serviços de terceiros e coletar seus dados de uso sob um identificador exclusivo, bem como sua data de nascimento para fins de rastreamento, análise e melhoria de nosso site e aplicativo, bem como fins de publicidade, como mostrar o conteúdo relevante do Clue." O Clue diz que eles usam um identificador exclusivo e sua data de nascimento para rastreá-lo para fins de publicidade e de personalização. Estes são dados que poderiam ser facilmente usados para identificá-lo, o que nos preocupa. E não estamos sozinhos. Em 2020, o monitoramento de privacidade da Privacy International também levantou preocupações sobre o uso da data de nascimento como rastreador e, potencialmente, o compartilhamento desses dados com terceiros.

E recentemente, a Motherboard relatou que conseguiu comprar dados do corretor de dados, Narrative, que poderiam ser usados para identificar usuários do aplicativo Clue. De acordo com o artigo, "Os dados não incluem informações coletadas do próprio aplicativo Clue, mas sim uma lista de dispositivos que têm o aplicativo instalado e que, por sua vez, podem ser usados para identificar usuários." Este relatório levantou preocupações suficientes de que o Congresso dos EUA lançou uma investigação sobre corretores de dados e aplicativos de rastreamento de ciclos menstruais, incluindo o Clue, para tentar entender melhor quais dados estavam disponíveis para venda e como proteger melhor a privacidade dos consumidores a respeito disso. Não temos certeza se o Clue fez algo errado. A economia de dados e o rastreamento de dados fazem parte de um mundo vasto e complicado. Ainda assim, achamos que é importante que os potenciais usuários do Clue saibam que isso aconteceu. Entramos em contato com a Narrative com algumas perguntas sobre a compra desses dados e eles nos disseram: "antes de maio de 2022, alguns provedores de dados tinham produtos de dados sobre instalações de aplicativos de rastreamento de ciclos mentruais disponíveis para compra no Narrative Data Streams Marketplace" e "em antecipação ao aumento da atenção à saúde e privacidade das mulheres à luz da decisão do Supremo Tribunal de derrubar Roe v. Wade, atualizamos nossa política para remover qualquer dados de instalação de aplicativos de gravidez/menstruação/saúde reprodutiva do Marketplace para evitar qualquer uso indevido potencial dos dados." Portanto, aqui esperamos o melhor em relação à compra desse tipo de dados de corretores de dados (mas ainda assim, recomendamos que você planeje o pior).

Como fica O Clue no que diz respeito do compartilhamento de dados com as autoridades policiais? Bem, até onde podemos dizer, eles parecem muito bons. Eles estão baseados na Alemanha. Eles são regidos por leis de privacidade mais rigorosas do GDPR e fazem questão de descrever claramente como eles protegem os dados que armazenam de quaisquer intimações potenciais ou solicitações do governo dos EUA. Valorizamos muito isso. Eles nos disseram em um e-mail: "Divulgar dados sensíveis de saúde reprodutiva para usá-los contra o titular dos dados iria contra os princípios europeus de privacidade de dados, que buscam proteger as pessoas contra a vigilância do governo. No cenário teórico em que um tribunal alemão procurou fazer cumprir um pedido estrangeiro, resistiríamos a qualquer tentativa com todos os meios necessários para proteger a privacidade de nossos usuários." Isso é muito bom. No entanto, devemos mencionar que sua política de privacidade inclui uma certa advertência ao afirmarem:"No que diz respeito especificamente aos Estados Unidos, é improvável que as informações que nós e nossos processadores mantemos sejam objeto de investigação por uma autoridade pública nos EUA que invocaria tais leis que podem obrigar um processador a entregar informações pessoais. O risco de tal divulgação, no entanto, não pode ser eliminado."

Provavelmente a maior preocupação que encontramos no Clue dis respeito à segurança. Infelizmente, o Clue não atende aos nossos Padrões Mínimos de Segurança porque não exigem uma senha forte. Conseguimos fazer login no aplicativo com a senha muito fraca de "1". Isso é ruim. Quando entramos em contato com o Clue para perguntar sobre isso, eles nos disseram: "O Clue pede autenticação, que pode ser feita... usando uma combinação de e-mail/senha. Incentivar uma complexidade de senhas ainda maior será abordado no próximo grande lançamento planejado para este verão." Então, pelo menos eles sabem que precisam melhorar isso e parecem ter planos para atualizar seus requisitos de senha. Atualizaremos esta análise assim que confirmarmos que um requisito de senha mais forte foi implementado.

Qual é a pior coisa que pode acontecer no Clue? Como sempre, esperamos que nada. Mas, como eles mesmos afirmam em sua política de privacidade, "Normalmente, a maior ameaça à segurança e privacidade de seus dados é que alguém - provavelmente alguém que você conhece - obtenha acesso a qualquer um de seus dispositivos sem o seu consentimento." Esperamos que ninguém que use esse aplicativo, não defina uma senha forte porque não é necessário, permitindo que um ex-parceiro irritado acesse seu telefone e saiba que teve um possível aborto espontâneo, relate isso à polícia e faça com que sejam investigada e assediada pela polícia por potencialmente ter feito um aborto em um estado onde isso é ilegal. Esperamos que isso nunca aconteça, mas essas são as preocupações que todos devemos considerar agora.

Dicas para se proteger

  • Use o aplicativo sem criar um perfil: dessa forma, seus dados serão processados apenas em seu dispositivo e, provavelmente, acabarão nas mãos de corretores de dados.
  • Acesse as configurações e desative o compartilhamento de dados para fins de publicidade!
  • Ative um código PIN exclusivo ou ative o TouchID (iPhone 5S-8) para o aplicativo Clue.
  • Não se inscreva em contas de terceiros, como Facebook ou Google! É melhor fazer login com e-mail e senha.
  • Escolha uma senha forte! Você pode usar uma ferramenta de controle de senha como 1Password, KeePass etc.
  • Use os controles de privacidade do seu dispositivo para limitar o acesso às suas informações pessoais via aplicativo (não dê acesso à sua câmera, microfone, imagens e vídeos)
  • Mantenha seu aplicativo atualizado regularmente
  • Limite o rastreamento de anúncios através do seu dispositivo (por exemplo, no iPhone, vá para Privacidade - > Publicidade -> Limitar rastreamento de anúncios) e as maiores redes de anúncios (para o Google, vá para a Conta do Google e desative a personalização de anúncios)
  • Solicite que seus dados sejam excluídos assim que você parar de usar o aplicativo. Simplesmente excluir um aplicativo do seu dispositivo não apaga seus dados pessoais.
mobile Privacidade aviso Segurança aviso Inteligência artificial

Pode me bisbilhotar? informações

Câmera

Dispositivo: Não aplicável

Aplicativo: Não

Microfone

Dispositivo: Não aplicável

Aplicativo: Não

Rastreia localização

Dispositivo: Não aplicável

Aplicativo: Não

O que pode ser usado para se inscrever?

Cadastros de contas do Facebook e do Google disponíveis

Que dados a empresa coleta?

Como a empresa usa esses dados?

Fazemos um alerta sobre este produto por compartilhar dados pessoais com anunciantes como padrão, com o direito de optar por não participar (em vez de opt-in). E por usar a data de nascimento como um identificador de anúncio.

"Ao usar nosso aplicativo e nosso site, você consente (no caso do site, através de opt-in no bloqueador de cookies) que o Clue pode usar cookies e serviços de terceiros e coletar seus dados de uso sob um identificador exclusivo, bem como sua data de nascimento para fins de rastreamento, análise e melhoria de nosso site e aplicativo, bem como fins de publicidade, como mostrar o conteúdo relevante do Clue."

"[…] partilhamos uma quantidade mínima de dados sobre os nossos utilizadores com redes de publicidade (mas nunca partilhamos os dados menstruais ou outros dados de saúde controlados no aplicativo). […] Se você não estiver confortável com qualquer dado sendo compartilhado para otimização de anúncios, então você pode ir para Configurações e alterar suas preferências.

"Não vendemos seus dados pessoais de saúde, os protegemos e nunca os divulgaríamos para ninguém usá-los contra você."

"Os dados que você rastreia no Clue sobre sua saúde e atividades são considerados dados pessoais confidenciais. O Clue não armazena dados pessoais confidenciais sem a sua permissão explícita. É somente quando você nos dá consentimento explícito criando uma conta do Clue que começamos a armazenar todos os dados confidenciais e de saúde que você rastreia em nossos servidores protegidos, juntamente com os dados pessoais necessários para criar uma conta."

"Temos muito cuidado para oferecer proteção extra aos seus dados de saúde confidenciais. Não compartilhamos nenhum dos dados que você rastreia com anunciantes ou outros terceiros para uso. Este não é o nosso modelo de negócio."

"O Clue pode usar seus dados de saúde para criar conjuntos de dados desidentificados para fins de pesquisa acadêmica e clínica, os quais o Clue pode transferir para seus colaboradores para aprofundar a pesquisa sobre saúde feminina."

Como a empresa diz que pode compartilhar dados com as autoridades policiais:

"Somos uma empresa constituída sob as leis da Alemanha e não temos subsidiárias ou filiais fora da Alemanha. O GDPR, o Regulamento Geral Europeu de Proteção de Dados, nos obriga a manter os dados de saúde confidenciais de nossos usuários seguros e privados, e honramos essa obrigação.

Nunca recebemos tal pedido da polícia alemã, ou de qualquer outra autoridade. Por uma questão de lei e prática, não podemos considerar quaisquer circunstâncias em que um tribunal alemão permitiria tal solicitação da aplicação da lei local, ou seria persuadido a fazer cumprir a tentativa de uma autoridade estrangeira de fazer cumprir sua lei. A divulgação de dados confidenciais em matéria de saúde reprodutiva a fim de os utilizar contra o titular dos dados seria contrária aos princípios europeus em matéria de privacidade dos dados, que visam proteger as pessoas contra a vigilância governamental. No cenário teórico em que um tribunal alemão procurou fazer cumprir um pedido estrangeiro, resistiríamos a qualquer tentativa desse tipo com todos os meios necessários para proteger a privacidade de nossos usuários."

Como você pode controlar seus dados?

Todos os nossos usuários - independentemente de onde moram - têm o direito de solicitar que seus dados sejam excluídos.

Não encontramos nenhuma opção para excluir dados no aplicativo. O Clue diz que a maneira de excluir dados deve ser feita por e-mail.
"Solicite a exclusão completa dos seus dados, incluindo todos os dados anteriores enviados para serviços de terceiros usados para rastreamento e análise, entrando em contato com [email protected] Seus dados serão excluídos dentro de 30 dias."

"Não conservamos os seus dados num formato identificável durante mais tempo do que o necessário para prestar os nossos serviços."

Qual é o histórico conhecido da empresa na proteção de dados dos usuários?

Médio

Em 2020, pesquisadores de privacidade levantaram a preocupação de que a data de aniversário seja usada como um identificador de anúncio. A prática ainda continua.

Em maio de 2022, os repórteres da Vice conseguiram comprar uma lista de dispositivos que sam o Clue do corretor de dados Narrative por US $ 100. De acordo com o relatório, "Os dados não incluem informações coletadas do próprio aplicativo Clue, mas sim uma lista de dispositivos que têm o aplicativo instalado e que, por sua vez, podem ser usados para identificar usuários." A culpa de que os corretores de dados que obtenham essas informações provavelmente não é do Clue. Ainda assim, esses dados estavam disponíveis para compra de pelo menos um corretor de dados em maio de 2022, o que é uma preocupação.

Informações de privacidade infantil

O Clue não coleta ou usa intencionalmente dados pessoais de crianças menores de 13 anos. Ao se registrar em uma conta da Clue, você deve confirmar que tem pelo menos 13 anos de idade ou que seus pais concordaram que você pode usar o aplicativo Clue.

Este produto pode ser usado offline?

Sim

Informações de privacidade fáceis de entender?

Não

Links para informações de privacidade

Este produto atende aos nossos padrões mínimos de segurança? informações

Não

Criptografia

Sim

Senha forte

Não

Foi possível se inscrever com "1" como uma senha. O Clue nos escreveu dizendo que "O Clue requer autenticação que pode ser feita ... usando uma combinação de e-mail/senha. Incentivar uma complexidade de senhas ainda maior será abordado no próximo grande lançamento planejado para este verão." Atualizaremos esta análise assim que confirmarmos que um requisito de senha mais forte foi implementado.

Atualizações de segurança

Sim

Gerencia vulnerabilidades

Sim

O Clue tem uma equipe de segurança da informação que gerencia as vulnerabilidades relatadas. Eles podem ser relatados através do arquivosecurity.text (que descreve mais escopo e detalhes), ou entrando em contato com a Equipe de Suporte do Clue através de seu aplicativo ou site.

Política de privacidade

Sim

O produto usa inteligência artificial? informações

Não

Um aplicativo rastreia o ciclo menstrual de uma mulher através do aprendizado de máquina. O aplicativo diz que eles trabalham em estreita colaboração com universidades e cientistas para melhorar a saúde feminina e encontrar insights que beneficiam nossos usuários. O aplicativo também diz que não é uma IA: "O produto usa análise de dados e aprendizado de máquina para calcular as previsões de ciclo personalizadas do usuário, no entanto, isso não é uma IA."


Novidades

Congress to Investigate Data Brokers and Period Tracking Apps
Vice
On Friday, the House Oversight Committee announced it is investigating the privacy of reproductive health data, and has specifically sent letters demanding more information from data brokers and companies that manage period tracking apps.
Data Marketplace Selling Info About Who Uses Period Tracking Apps
Vice
A data marketplace called Narrative, which lets anyone sign up and purchase information related to the users of specific apps near-instantly, has been offering data from users who it says downloaded period tracking apps, including some of the most popular period tracking apps such as Clue.
Supreme Court overturns Roe v. Wade: Should you delete your period-tracking app?
TechCrunch
Though popular, and undoubtedly a useful tool for those who want to plan and avoid pregnancy and track signs of menopause, it’s no secret that the objective of many of these apps — of which there are more than a thousand in the app stores alone — go far beyond that of tracking periods. Monitoring menstrual cycles has proven to be a lucrative business for developers, many of which share users’ personal information and activity on the apps with third-party marketers and advertisers.
Here’s What Period Tracking Apps Say They Do With Your Data
Vice
Generally, apps that track menstruation and fertility extract a lot of data from users that previously only a gynecologist got in this much detail. Depending on the app, this can mean scads of information each month about when a period starts, stops, or is interrupted or unusual in some way, the heaviness, lightness, and all kind of other physical qualities of one’s blood. Some apps allow users to track what they were eating, drinking, smoking, and feeling during their period or in the weeks before and after. Some apps also allowed users to track sleep habits, whether they traveled and where, and the list goes on. It’s a treasure trove of personal data.
We asked 12 period-tracking apps about their post-Roe privacy policies
Input
After Friday’s Supreme Court ruling overturning the landmark abortion rights decision Roe v. Wade, social media lit up with suggestions that users delete their period-tracking apps for the sake of their privacy.
Consumers swap period tracking apps in search of increased privacy following Roe v. Wade ruling
TechCrunch
Consumers are ditching their current period tracking apps in favor of what they perceive to be safer options in the wake of the Supreme Court’s Roe v. Wade decision that allows individual U.S. states to criminalize abortion. The app switching trend is impacting all manner of period tracking apps, including leading app Flo, which owns a 47% share of the period tracking app market in the U.S., according to data provided by Apptopia. The app may have both lost customers to rival apps while gaining new users from others over the weekend. Other apps are seeing similar trends.
Forget Tracking Your Period—Your Period (App) Is Tracking You
Marie Claire
Many may assume that since these [period-tracking] apps handle sensitive medical information, their intel is safeguarded. Untrue. Only info shared with a health-care provider or a health plan is protected by the Health Insurance Portability and Accountability Act (HIPAA). “Everything I put into my period-tracking app is fair game to be sold,” says Michelle Richardson, director of the Privacy & Data Project at the Center for Democracy & Technology. And marketers and insurance companies are paying big money to use it.

Comentários

Tem um comentário a fazer? Nos diga.