Un estudio revela riesgos para la privacidad en las aplicaciones de salud femenina
15 de mayo de 2024 University College London
Según un nuevo estudio de la UCL y el King's College de Londres, las aplicaciones diseñadas para vigilar la salud de las mujeres exponen a las usuarias a riesgos innecesarios para su intimidad y seguridad debido a sus deficientes prácticas de tratamiento de datos.
El estudio, presentado el 14 de mayo en la Conferencia ACM sobre Factores Humanos en Sistemas Informáticos (CHI) 2024, es la evaluación más exhaustiva realizada hasta la fecha sobre las prácticas de privacidad de las apps de salud femenina. Los autores descubrieron que estas aplicaciones, que manejan datos médicos y de fertilidad como información sobre el ciclo menstrual, coaccionan a las usuarias para que introduzcan información sensible que podría ponerlas en peligro.
Nuevo estudio para explorar los riesgos para la salud de los nanoplásticos
Las aplicaciones de fertilidad suelen ser imprecisas, según un estudio
El equipo analizó las políticas de privacidad y las etiquetas de seguridad de los datos de 20 de las aplicaciones de salud femenina más populares disponibles en las tiendas Google Play del Reino Unido y Estados Unidos, utilizadas por cientos de millones de personas. El análisis reveló que, en muchos casos, los datos de las usuarias podían ser objeto de acceso por parte de las autoridades policiales o de seguridad.
Sólo una de las aplicaciones analizadas por los investigadores abordó explícitamente en sus políticas de privacidad la sensibilidad de los datos menstruales con respecto a las fuerzas del orden y se esforzó por proteger a las usuarias frente a las amenazas legales.
En cambio, muchas de las aplicaciones de seguimiento de embarazos exigían a las usuarias que indicaran si habían abortado anteriormente, y algunas carecían de funciones de borrado de datos o dificultaban la eliminación de datos una vez introducidos.
Los expertos advierten de que esta combinación de malas prácticas de gestión de datos podría plantear graves riesgos para la seguridad física de los usuarios en países donde el aborto es un delito penal.
Las aplicaciones de salud femenina recopilan datos sensibles sobre el ciclo menstrual, la vida sexual y el estado de embarazo de las usuarias, así como información personal identificable como nombres y direcciones de correo electrónico.
Exigir a los usuarios que revelen información sensible o potencialmente delictiva como condición previa a la supresión de datos es una práctica de privacidad extremadamente deficiente con nefastas implicaciones para la seguridad. Elimina cualquier forma de consentimiento significativo ofrecido a los usuarios.
Las consecuencias de la filtración de datos sensibles como estos podrían dar lugar a vigilancia y discriminación en el lugar de trabajo, discriminación en el seguro médico, violencia en la pareja y chantaje criminal; todos ellos riesgos que se entrecruzan con formas de opresión de género, especialmente en países como Estados Unidos, donde el aborto es ilegal en 14 estados."
Dra. Ruba Abu-Salma, investigadora principal del estudio del King's College de Londres
La investigación reveló graves contradicciones entre la redacción de la política de privacidad y las funciones de las aplicaciones, así como fallos en los mecanismos de consentimiento de los usuarios y la recopilación encubierta de datos confidenciales con una amplia difusión entre terceros.
Entre las principales conclusiones cabe citar las siguientes:
- El 35% de las aplicaciones afirmaban no compartir datos personales con terceros en sus secciones de seguridad de datos, pero contradecían esta afirmación en sus políticas de privacidad al describir algún nivel de intercambio con terceros.
- El 50% garantizaba explícitamente que los datos de salud de los usuarios no se compartirían con anunciantes, pero eran ambiguos sobre si esto incluía también los datos recopilados a través del uso de la aplicación.
- El 45% de las políticas de privacidad indicaban que no se responsabilizaban de las prácticas de terceros, a pesar de afirmar que las investigaban.
También se descubrió que muchas de las aplicaciones del estudio vinculaban los datos sexuales y reproductivos de los usuarios a sus búsquedas en Google o a sus visitas a sitios web, lo que, advierten los investigadores, podría suponer un riesgo de desanonimización para el usuario y también podría dar lugar a suposiciones sobre su estado de fertilidad.
Lisa Malki, primera autora del artículo y antigua ayudante de investigación en el King's College de Londres, que ahora cursa un doctorado en Informática en la UCL, afirma: "Los desarrolladores de aplicaciones tienden a tratar los datos sobre el periodo y la fertilidad como 'un dato más', en lugar de como datos especialmente sensibles que pueden estigmatizar o criminalizar a los usuarios. Un clima político cada vez más arriesgado justifica un mayor grado de gestión de la seguridad de las usuarias y de innovación sobre cómo superar el modelo dominante de "notificación y consentimiento", que actualmente impone una carga desproporcionada a la privacidad de las usuarias".
"Es vital que los desarrolladores empiecen a reconocer los riesgos únicos para la privacidad y la seguridad de los usuarios y adopten prácticas que promuevan un enfoque humanista y consciente de la seguridad en el desarrollo de tecnologías sanitarias."
Para ayudar a los desarrolladores a mejorar las políticas y prácticas de privacidad de las aplicaciones sanitarias femeninas, los investigadores han creado un recurso que puede adaptarse y utilizarse para evaluar manual y automáticamente las políticas de privacidad de las aplicaciones sanitarias femeninas en futuros trabajos.
El equipo también reclama un debate crítico sobre la forma en que este tipo de aplicaciones -incluidas otras categorías más amplias de aplicaciones sanitarias, como las de fitness y salud mental- gestionan los datos confidenciales.
El Dr. Mark Warner, uno de los autores del artículo, de la Facultad de Informática de la UCL, afirma: "Es fundamental recordar lo importantes que son estas aplicaciones para ayudar a las mujeres a gestionar distintos aspectos de su salud, por lo que pedirles que las eliminen no es una solución responsable. La responsabilidad recae en los desarrolladores de aplicaciones, que deben asegurarse de diseñarlas de forma que se tengan en cuenta y se respeten las sensibilidades únicas tanto de los datos que se recogen directamente de las usuarias como de los que se generan a través de las inferencias realizadas a partir de los datos."
