La FTC dice que Premom compartió datos de salud reproductiva altamente confidenciales de los usuarios: ¿puede ser más personal que eso?

Los datos íntimos sobre la ovulación, la fertilidad y otros problemas de salud sexual y reproductiva son lo más personales que puede llegar a ser la información personal. La FTC alega que Easy Healthcare Corporation – la empresa detrás de la aplicación Premom Ovulation Tracker – incumplió sus promesas de privacidad al revelar datos de salud sensibles de los usuarios a Google y AppsFlyer y al compartir otra información personal con dos empresas en China. La denuncia, que alega que Easy Healthcare violó la Ley de la FTC y la Regla de notificación de infracciones de salud, es la última acción contra una empresa por manejar imprudentemente información confidencial de los consumidores.

El demandado Easy Healthcare desarrolló y distribuyó la aplicación Premom, que permitía a los usuarios cargar información sobre sus ciclos menstruales, condiciones de salud reproductiva y otros datos relacionados con la fertilidad. La compañía también vendió tiras reactivas de ovulación que los usuarios podían fotografiar y cargar en un esfuerzo por predecir cuándo ovularían. Según la descripción de la compañía de que era "la única aplicación de seguimiento de fertilidad y ovulación que ofrece una garantía de embarazo para ayudar a las mujeres que están tratando de concebir (TTC) a hacer realidad sus sueños de tener un bebé", cientos de miles de usuarios descargaron la aplicación Premom.

El demandado también alentó a los usuarios a conectar Premom con aplicaciones o productos de terceros para que Premom pudiera importar aún más información de salud. Como resultado, Premom recopiló una gran cantidad de datos confidenciales de las consumidoras, por ejemplo, fechas de sus ciclos menstruales, resultados de pruebas hormonales e incluso cuándo comenzaron y terminaron sus embarazos.

Según la demanda, el acusado dio múltiples garantías de privacidad a los consumidores. Por ejemplo, en una política de privacidad del 7 de julio de 2020, el acusado se comprometió:

PROMETEMOS QUE NUNCA COMPARTIRÉMOS SU EDAD EXACTA O CUALQUIER DATO RELACIONADO CON SU SALUD CON TERCEROS SIN SU CONSENTIMIENTO O CONOCIMIENTO.

(Para que quede claro, el formato en mayúsculas fue elección de Easy Healthcare, no nuestra). Una política de privacidad de 2021 decía lo siguiente: "Premom utiliza AppsFlyer, una plataforma de marketing móvil con sede en los Estados Unidos, para manejar datos personales no relacionados con la salud". y que "los servicios de terceros no tienen acceso a su información de salud a través de los Servicios a menos que usted comparta esa información directamente con ellos". ¿Compartiría la gente toda esa información tan sensible si supiera que las garantías de privacidad del acusado eran falsas? No lo creemos.

Eso es lo que prometió el acusado, pero la FTC dice que Easy Healthcare violó sus propias declaraciones de privacidad. Según la demanda, la empresa incorporó kits de desarrollo de software (SDK) de la aplicación Premom de empresas de análisis y marketing de terceros sin considerar la marcada discrepancia entre las promesas de privacidad que el demandado hizo a los usuarios y cómo operaban los SDK en la aplicación. las escenas para compartir información personal de los usuarios. Querrá leer la queja para obtener más detalles, pero la FTC dice que la compañía rompió sus promesas al usar SDK de una manera que compartió esos datos confidenciales con terceros.

Piénselo desde la perspectiva del consumidor. Se trataba de información tan personal que es posible que algunas personas no la hayan compartido con sus personas más cercanas y, sin embargo, ¿el acusado se da vuelta y se la entrega a Google y AppsFlyer? ¿En realidad?

La FTC dice que la traición del acusado a sus promesas de privacidad no terminó ahí. Según la denuncia, Easy Healthcare también integró SDK de Umeng, un proveedor chino de análisis de aplicaciones móviles propiedad de Alibaba, y Jiguang, un desarrollador y proveedor de análisis móvil chino. A través de sus SDK, la aplicación Premom entregó otros datos confidenciales a esas empresas, por ejemplo, información de la cuenta de redes sociales de los usuarios y su ubicación geográfica precisa. Según la denuncia, Easy Healthcare hizo eso a pesar de decirles a los consumidores entre 2017 y 2020 que recopiló "información no identificable con el propósito de rastrear análisis del uso de [su] aplicación". A través del uso de servicios de terceros por parte de Easy Healthcare, la FTC dice que los datos pueden rastrearse hasta una persona real, lo que hace que la afirmación de "información no identificable" del demandado sea rotundamente falsa.

El acuerdo propuesto impone una prohibición total a que el demandado comparta datos personales de salud de los usuarios con terceros con fines publicitarios. Si la empresa quiere compartir datos de salud para cualquier otro fin, deberá obtener el consentimiento expreso de los usuarios. Además de una multa civil de $100,000 por violar la Regla de Notificación de Infracciones de Salud, la orden requiere, entre otras cosas, que el acusado busque la eliminación de los datos que compartió con terceros, se comunique con los usuarios directamente para informarles sobre las acusaciones de la FTC e implemente un programa integral de privacidad y seguridad de datos sujeto a una evaluación de cumplimiento independiente. Como parte de una acción relacionada, Easy Healthcare también acordó pagar un total de $100,000 a Connecticut, el Distrito de Columbia y Oregon por violar sus respectivas leyes estatales.

El acuerdo propuesto envía fuertes señales a cualquiera en el ecosistema de la información.

La FTC no podría tomarse más en serio la protección de la privacidad de los consumidores. ¿Ha notado un aumento en la aplicación de medidas contra las empresas que violan la privacidad de los consumidores mediante conductas injustas o engañosas? Bien. Ése es un mensaje que la FTC pretende enviar a los desarrolladores de aplicaciones, a la industria de la tecnología publicitaria y a cualquiera que intente explotar la privacidad de los consumidores con fines de lucro.

Realice una actualización de las reglas de notificación de infracciones de salud. Este es el segundo caso de la FTC en tan sólo unos meses que alega una violación de la Regla de Notificación de Infracciones de Salud. La regla exige que las empresas cubiertas notifiquen a los usuarios, a la FTC y, en algunos casos, a los medios de comunicación, siempre que se produzca una adquisición no autorizada de información de salud de identificación individual no segura. Lea Cumplimiento de la regla de notificación de infracciones de salud de la FTC para ver cómo se comparan las prácticas de su empresa.

Establezca el estándar para identificadores de dispositivos no reiniciables. Este es el primer caso de la FTC que alega específicamente que los identificadores de dispositivos no reiniciables (como los números de identidad internacionales de equipos móviles) son información identificable y, por lo tanto, de naturaleza altamente sensible. La recopilación y el intercambio por parte de Premom de estos y otros identificadores de dispositivos móviles permitió a terceros eludir los controles de privacidad de los sistemas operativos, rastrear individuos, inferir la identidad de usuarios individuales y, en última instancia, asociar a ese usuario con una aplicación de fertilidad.

Considere las implicaciones de una seguridad de datos laxa. La queja enumera una serie de formas en las que Easy Healthcare no empleó medidas razonables de privacidad y seguridad de datos, incluida su falta de evaluación de los riesgos de los SDK de terceros que incorporó a Premom. Una preocupación particular en este caso: que los consumidores resulten perjudicados cuando su información confidencial se envía junto con una clave de descifrado a terceros, sometiendo los datos a una posible interceptación.

Etiquetas: