Las aplicaciones de salud femenina hacen un mal uso de datos altamente confidenciales, según un estudio

Las aplicaciones diseñadas para monitorear la salud femenina están exponiendo a los usuarios a riesgos innecesarios de privacidad y seguridad debido a sus malas prácticas de manejo de datos, según una nueva investigación del King’s College London y el University College London (UCL).

En la evaluación más extensa de las prácticas de privacidad de las aplicaciones de salud femenina hasta la fecha, los investigadores encontraron que las aplicaciones que manejan datos médicos y de fertilidad están obligando a los usuarios a ingresar información confidencial que podría ponerlos en riesgo.

Tras un análisis de las políticas de privacidad y las etiquetas de seguridad de los datos de 20 de las aplicaciones de salud femenina más populares disponibles en las tiendas Google Play del Reino Unido y EE. UU. (que son utilizadas por cientos de millones de personas), el estudio reveló que en muchos casos, los datos de los usuarios podría estar sujeto al acceso de autoridades policiales o de seguridad.

Sólo una aplicación que los investigadores revisaron abordó explícitamente la sensibilidad de los datos menstruales con respecto a la aplicación de la ley en sus políticas de privacidad y se esforzó por proteger a los usuarios contra amenazas legales.

Por el contrario, muchas de las aplicaciones de seguimiento del embarazo exigían que los usuarios indicaran si habían tenido un aborto espontáneo o un aborto anteriormente, y algunas aplicaciones carecían de funciones de eliminación de datos o dificultaban la eliminación de los datos una vez introducidos.

Los expertos advierten que esta combinación de prácticas deficientes de gestión de datos podría plantear graves riesgos para la seguridad física de los usuarios en países donde el aborto es un delito penal.

La investigación se presenta en la ACM Conferencia sobre factores humanos en sistemas informáticos (CHI) 2024que tendrá lugar del 11 al 16 de mayo de 2024.

El investigador principal, el Dr. Ruba Abu-Salma, del King’s College de Londres, dijo: «Las aplicaciones de salud femenina recopilan datos confidenciales sobre el ciclo menstrual, la vida sexual y el estado del embarazo de los usuarios, así como información de identificación personal, como nombres y direcciones de correo electrónico.

«Exigir a los usuarios que revelen información confidencial o potencialmente criminalizante como condición previa para eliminar datos es una práctica de privacidad extremadamente deficiente con graves implicaciones de seguridad. Elimina cualquier forma de consentimiento significativo ofrecido a los usuarios.

«Las consecuencias de la filtración de datos sensibles como este podrían resultar en vigilancia y discriminación en el lugar de trabajo, discriminación en el seguro médico, violencia de pareja y chantaje criminal; todos los cuales son riesgos que se cruzan con formas de opresión de género, particularmente en países como Estados Unidos, donde el aborto es ilegal en 14 estados.»

El estudio, que analizó aplicaciones conocidas como Flo y Clue, reveló marcadas contradicciones entre la redacción de la política de privacidad y las funciones de la aplicación, así como mecanismos defectuosos de consentimiento del usuario y recopilación encubierta de datos confidenciales que se comparten con terceros.

Los hallazgos clave incluyeron:

• El 35% de las aplicaciones afirmaron no compartir datos personales con terceros en sus secciones de seguridad de datos, pero contradijeron esta declaración en sus políticas de privacidad al describir algún nivel de intercambio con terceros.
• El 50% aseguró explícitamente que los datos de salud de los usuarios no se compartirían con los anunciantes, pero se mostraron ambiguos sobre si esto también incluiría los datos recopilados mediante el uso de la aplicación.
• El 45% de las políticas de privacidad describieron una falta de responsabilidad por las prácticas de terceros, a pesar de que también afirmaban examinarlas.

También se descubrió que muchas de las aplicaciones del estudio vinculan los datos sexuales y reproductivos de los usuarios con sus búsquedas en Google o visitas a sitios web, lo que plantea, como advierten los investigadores, un riesgo de anonimización para el usuario y también podría dar lugar a suposiciones sobre su fertilidad. estado.

Lisa Malki, primera autora del artículo y ex asistente de investigación en el King’s College de Londres (ahora estudiante de doctorado en la UCL), dijo: «Existe una tendencia por parte de los desarrolladores de aplicaciones a tratar los datos sobre el período y la fertilidad como ‘otro dato más’. ‘ a diferencia de datos excepcionalmente sensibles que tienen el potencial de estigmatizar o criminalizar a los usuarios. Los climas políticos cada vez más riesgosos justifican un mayor grado de gestión de la seguridad de los usuarios y de innovación sobre cómo podríamos superar el modelo dominante de ‘aviso y consentimiento’ que. Actualmente supone una carga desproporcionada para la privacidad de los usuarios.

«Es vital que los desarrolladores comiencen a reconocer los riesgos únicos de privacidad y seguridad para los usuarios y adopten prácticas que promuevan un enfoque humanista y consciente de la seguridad en el desarrollo de tecnologías sanitarias».

El coautor Dr. Mark Warner, UCL, añadió: «Es importante recordar lo importantes que son estas aplicaciones para ayudar a las mujeres a gestionar diferentes aspectos de su salud, por lo que pedirles que las eliminen no es una solución responsable. La responsabilidad recae en Los desarrolladores de aplicaciones se aseguran de que están diseñando estas aplicaciones de una manera que considere y respete las sensibilidades únicas tanto de los datos que se recopilan directamente de los usuarios como de los datos que se generan a través de inferencias hechas a partir de los datos».

Para ayudar a los desarrolladores a mejorar las políticas y prácticas de privacidad de las aplicaciones de salud femenina, los investigadores han desarrollado un recurso que se puede adaptar y utilizar para evaluar manual y automáticamente las políticas de privacidad de las aplicaciones de salud femenina en trabajos futuros. También piden debates críticos sobre cómo este tipo de aplicaciones (incluidas otras categorías más amplias de aplicaciones de salud, incluidas las de fitness y salud mental) protegen los datos confidenciales.

El estudio fue dirigido por el Dr. Ruba Abu-Salma, Lisa Malki e Ina Kaleva del Departamento de Informática del King’s College de Londres, junto con el Dr. Mark Warner y la Dra. Dilisha Patel de la UCL.