Queridos amigos, es sábado, sabadete así que toca hilo de #privacidad y #protecciondedatos. Hoy la protagogonista es una aplicación femenina llamada MyDays, o su nombre largo, My Days - Ovulation Calendar & Period Tracker ™. ¡Empezamos el hilo!

Esta aplicación femenina sirve para controlar el ciclo menstrual y la ovulación. La idea es saber qué días de tu calendario menstrual eres fértil, y así saber cuándo puedes quedarte embarazada, o cuándo evitarlo. Descargas: más de 5 millones de personas.

Muchas mujeres que quieren quedarse embarazadas entran en un círculo obsesivo, desgastante y, en muchas ocasiones, tóxico para ellas, que son quiénes lo sufren realmente. ¿Qué ocurre con estas aplicaciones? Pues que juegan con este hecho, lo incentivan, creando dependencia total

Empecemos con el análisis de esta perla: Voy a empezar con algunas características que incluye. Esto se puede ver en el timeline de la app. Voy a nombrar los que me parecen, de entrada, preocupantes por incluir información muy sensible, traducido: datos biométricos:

1. Notificación para el próximo periodo y ovulación.
2. Agregar información personal sobre el control de la natalidad, notas, relaciones sexuales (¿perdón?), pastillas.
3. Envian por correo electrónico tu historial a ti, o a tu médico
4. Cuadro de temperatura metabólica basal

Sigamos con la info del timeline de la aplicación. Dicen que si tienes algún problema o sugerencia que escribas al siguiente email: androchris@gmail.com. Una aplicación que se han bajado más de 5MILL de personas ¿el email del desarrollador es una dirección de Gmail?

Seguimos. Permisos que dicen que piden (de los rastreadores de datos no hay ni media pista. Muy transparente todo):
1. Acceso a Internet: para habilitar el "chat comunitario basado en la web"
2. Estado de la llamada: para desactivar los anuncios durante la llamada
Seguimos...

3. Accesos directos: para permitir accesos directos solo después de que soliciten.
4. Ubicación: Para habilitar recordatorios inteligentes y personalizar anuncios en la versión gratuita.

Y ya está.

Ay, mentirosillos, mentirosillos…

Veamos lo que nos dice Exodus. Prepárense para el siguiente pantallazo porque se podría calificar de muy bestia:

27 rastreadores y 24 permisos, de los cuáles, 5 están considerados peligrosos.

¿Qué son los permisos? Son acciones que una aplicación puede hacer en tu móvil, y los niveles de intrusión en tu privacidad, se definen de acuerdo con los niveles de protección de Google y de Apple.

¿Qué son los rastreadores? Son softwares destinados a recopilar datos sobre los usuarios o sus usos. Y esta aplicación tiene 27 rastreadores. ¿Se acuerdan de #FaceApp? Tenía 6 rastreadores y 10 permisos.
Ahí lo dejo.

Me va a ser imposible definir cada rastreador y seguir con las políticas de privacidad, porque sería un hilo gigantesco. Voy a nombrar los que me parecen más polémicos, y les invito a que usen la herramienta reports.exodus-privacy.eu.org para investigar permisos y rastreadores

La mayoría de rastreadores son de publicidad y monetización (14) y, como no, de gelocalización. Vamos, esta app está destinada a sacarle todo el jugo posible a sus usuarias. ¿Qué supone esto en una aplicación que sabe cuál es el ciclo menstrual de más de 5MILL de mujeres?

Pues que sabe en cada momento cómo las hormonas les afectan, o pueden afectarles a su comportamiento, por lo que saben perfectamente qué días son más vulnerables, y esto es oro molido para anunciantes sin escrúpulos. El lobo vestido de cordero.

Analicemos unos cuantos rastreadores y su función:
1. Ogury Presage. Ogury está activando datos móviles de más de 300 millones de usuarios globales. Proporciona un conocimiento granular "del viaje completo del usuario en el móvil." ¡OJO!

2. MyTarget. Es una plataforma de publicidad proporcionada por Mail.Ru Group. Incluye todas las redes sociales principales en el Runet (Internet de habla rusa) y servicios que llegan a más de 140 millones de personas. Juzguen ustedes mismos.

3. Mobvista. Análisis avanzado de datos en tiempo real y la tecnología predictiva (¡predicen comportamientos! ¡Cómo no! Dependiendo del cliclo, pues nuestro comportamiento es predecible, se supone) le permiten dirigirse a los usuarios correctos para sus productos. ¡BINGO!

¿Por qué digo ¿BINGO!? porque la aplicación vende productos. Tal y como dice en su timeline: "In-app Products €1.19 - €7.49 per item"

Sigo con este rastreador: “El potente perfil de la audiencia…” ¡hacen perfiles de las mujeres que se han bajado esta aplicación! y predicen su comportamiento en base a todos los datos que recogen de ellas para venderles sus productos. ¿Podemos acceder a esos perfiles? ¡NO!

¿Los perfiles son información acerca de nosotros? ¡SÍ! pero resulta que los algoritmos propietarios (black box) y leyes como la Directiva de Secretos Comerciales, permiten a estos vampiros digitales ser opacos. Ya los he juzgado yo.

¿Y por qué me da tanta rabia? pues porque este tipo de empresas juegan con la información. Dicen: yo no hago perfiles de mis usuarios, ¡PERO BIEN QUE INSTALAS RASTREADORES QUE SÍ LO HACEN!

4. Moat. Rastrea qué anuncios están viendo los usuarios.
¡Cómo no! Y así saber cómo afinar más la puntería y personalizar mis anuncios. Pero tranquila, que soy una aplicación que te ayuda a ser madre... 🤬🤬

Ahora, alguno de los permisos calificados como peligrosos:
1. Access_Coartion_Location: Acceso a la ubicación aproximada (basada en la red)
2. ACCESS_FINE_LOCATION: Acceso a la ubicación precisa (GPS y basado en red)
Seguimos...

3. GET_ACCOUNTS: Encuentra cuentas en el dispositivo
4. READ_PHONE_STATE. Leer el estado del teléfono y la identidad
5. WRITE_EXTERNAL_STORAGE: Modificar o eliminar los contenidos de tu tarjeta SD

Vuelvo a aclarar el significado de los permisos: Significa que la app puede realizar estas acciones, pero no sabemos si lo hace, o no.

Y quiero añadir algo más sobre los rastreadores. ¿Quién está detrás bien escondidito? Pues sí, nuestros queridos amigos: Facebook, Google, Amazon... pero nunca se les nombra. Claro que si están ahí es porque el desarrollador los ha colocado para sacar tajada pero a base de bien.

Vamos ahora con la política de privacidad. Aunque habiendo analizado los rastreadores y permisos como que hay poco más que decir. Precisamente, los rastreadores y permisos desmontan el buenismo de la Política de Privacidad.

Política de Privacidad: 25.033 palabras en texto plano. Esto va en contra del principio de Transparencia del RGPD que dice que las PdP no deben ser escritas en un formato que produzcan fatiga al usuario, y se usen menús desglosados, links a más explicaciones, etc.

Dan una versión corta y una versión larga. mydays.club/info/privacy-p…
La versión corta dicen que es para los usuarios que usen la aplicación, y ponen los 4 datos que les interesa que sepamos. Pero no... hay que leerse toda la política de privacidad para no encontrarnos sorpresitas.

Versión corta:
1. ¡No compartimos los datos de ciclo introducidos en el manual como Inicio de período, Intimidad, Peso, etc. con otros!
¡NO, YA LOS TIENES TÚ Y BIEN QUE LOS EXPRIMES!

2. "En principio" (Ojo a esto), tus datos se almacenan sólo dentro de su dispositivo.
Sólo cuando eliges crear una copia de seguridad con nuestro servidor, tus datos se transfieren y almacenan en nuestro servidor del Reino Unido a través de una conexión segura.

Es posible que compartamos información de ubicación y otra información automática del dispositivo para análisis y estadísticas con terceros (como Google Analytics, etc.).
Ah, ¡espérate! ¿Es posible? o: ¡compartimos tu ubicación con Google Analytics y 26 rastreadores más!

3. Nuevamente, esto NO es sobre los datos que ingresas en el manual dentro de la aplicación. Los datos introducidos en tu manual no se comparten con otros.
A ver... vamos a aclarar lo que esta aplicación, Y TODAS, entienden por "compartir información con terceros".

Para ello, hay que saber de que estamos hablando de datos biométricos, definidos en el artículo 9.2 RGPD. El tratamiento de estos datos está prohibido, salvo que el usuario dé su CONSENTIMIENTO EXPLÍCITO. Más reforzado e informado que el consentimiento a secas.

¿Qué son datos biométricos? datos personales que revelen el origen étnico o racial [...] datos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física.

¿Qué ocurre en esta jauría de lobos? diferentes proveedores de servicios pueden tener diferentes objetivos con respecto a tales predicciones. Uno de estos objetivos podría ser inferir información o predecir la presencia de síntomas de alguna enfermedad.

Estas aplicaciones que usan estos datos tan sensibles también podrían vender datos a otras compañías. Por ejemplo, a compañías de seguros. Y si puedes padecer alguna enfermedad según sus predicciones, estás perdida.

Esta aplicación dice que no vende a terceros🤔 pero le das toda la información a los 27 rastreadores. A ver, ¿a quién creen que van a engañar? Google, Facebook y Amazon saben los datos de fertilidad, y posibles problemas de salud, de todas las mujeres que se han bajado la app.

Las mayores preocupaciones sobre #privacidad son las cuestiones de la seguridad del procesamiento y el control sobre los datos de salud.
Es por eso que es tan importante que las empresas que usan #MachineLearning y procesen datos biométricos se sometan a auditorías de seguridad.

Los usuarios no queremos compartir, o que accedan sin autorización, a nuestros registros de salud con otras partes (por ejemplo, biohacking), como aseguradores o empleadores. Además, surgen temores con respecto al uso discriminatorio de tales registros como denegación de seguro.

Otro temor es la información sobre nuestra salud que estas aplicaciones tienen, porque pueden saber más sobre nuestra salud y posibles problemas que uno mismo o nuestro médico. Y es por eso que nos invitan a que les demos más información con la excusa de ayudarte a ser madre.

El gran problema que tenemos es que no tenemos una regulación específica acerca del procesamiento de datos sobre salud. Es cierto que estamos protegidos por el RGPD en materia de procesamiento de datos personales, pero no es suficiente.

Los datos que introducimos en esta aplicación, cuando se combinan con otros datos de identificación, dan como resultado la identificación de la persona, y se tiene un perfil sobre su salud que se puede usar (que se está usando) para otros fines comerciales que no sabemos.

Esta aplicación pseudonimiza los datos, pero ya sabemos que no es suficiente, porque se pueden seguir creando perfiles e identificar a los usuarios. ¿Cómo podemos estar seguros de que no mal-usan nuestra información? Auditorías de seguridad y de algoritmo: CONFIABILIDAD

Esta aplicación pseudonimiza los datos, pero no es suficiente porque aún se pueden crear perfiles de usuarios. Por eso es TAN IMPORTANTE que estas aplicaciones se sometan a auditorías de seguridad y de sus algoritmos. Objetivo: CONFIABILIDAD. Es lo más importante.

Y para ir terminando. Dar nuestra información es arriesgado. Si son temas de salud, mucho más arriesgado porque no sabemos qué van a hacer con ellos, si comercializar con ellos, usarlos para vendernos sus productos, darle esta info a vampiros de datos... ¡no lo sabemos!

El problema, como siempre, es la opacidad. Qué datos de mi procesas, qué información predices, qué perfil haces de mi, y qué consecuencias tienen en mi vida privada.

Accedan a todos los permisos y rastreadores de las apps de su móvil porque están tomando decisiones que afectan a sus vidas.
Como siempre, gracias por leerme.