Una popular aplicación de seguimiento de la fertilidad compartió información de salud confidencial de los usuarios con anunciantes externos sin su consentimiento, alega una nueva denuncia de la Comisión Federal de Comercio.
La investigación de la FTC sobre Premom, una aplicación de seguimiento de fertilidad desarrollada por Easy Healthcare que permite a los usuarios realizar un seguimiento de la ovulación, los períodos y otra información de salud, descubrió que la empresa había compartido información identificable de salud y ubicación con Google y la empresa de marketing AppsFlyer desde 2018.
Premom recopiló y compartió datos sobre “cientos de miles” de usuarios, incluidos detalles sobre su salud sexual y reproductiva, estado de maternidad y embarazo, así como otra información sobre las condiciones y el estado de salud física de una persona. La aplicación también compartió los datos de ubicación de los usuarios junto con publicidad única e identificadores de dispositivos, que podrían ser utilizados por otros anunciantes para rastrear a los usuarios a través de Internet y otras aplicaciones.
En última instancia, era posible que terceros asociaran datos de fertilidad y embarazo “a un individuo específico”, dijo la FTC en su denuncia.
La FTC dijo que este intercambio de datos con terceros violaba repetidamente las políticas de privacidad de Easy Healthcare, que prometía compartir solo “datos no identificables” con terceros, en contravención de la Regla de notificación de violación de la salud de la FTC.
Easy Healthcare también supuestamente compartió datos identificables confidenciales de los usuarios con dos empresas de análisis móvil con sede en China conocidas por “prácticas de privacidad sospechosas”, según una declaración del fiscal general de Connecticut, William Tong. Los datos que incluyen números IMEI (cadenas de números vinculados a dispositivos individuales) y datos precisos de geolocalización se transfirieron a las firmas de análisis Jiguang y Umeng entre 2018 y 2020, según la FTC.
La FTC alega que la empresa lo hizo sabiendo que Jiguang y Umeng podrían usar estos datos para sus propios fines comerciales o podrían transferir los datos a terceros adicionales, y dice que Easy Healthcare solo dejó de compartir estos datos cuando Google notificó al fabricante de la aplicación en 2020 que la transferencia de datos a Umeng violó sus políticas de Google Play Store.
“Premom rompió sus promesas y comprometió la privacidad de los consumidores”, dijo Samuel Levine, director de la Oficina de Protección al Consumidor de la FTC. “Aplicaremos enérgicamente la Regla de Notificación de Violación de la Salud para defender los datos de salud del consumidor de la explotación. Las empresas que recopilan esta información deben saber que la FTC no tolerará los abusos de la privacidad de la salud”.
Como parte de un acuerdo propuesto presentado por el Departamento de Justicia, Easy Healthcare acordó pagar una multa civil de $100,000 por violar la Norma de Notificación de Violación de la Salud de la FTC. También acordó pagar un total de $100,000 a los estados de Connecticut y Oregón, y al Distrito de Columbia, que ayudaron con la investigación de la FTC.
Como parte de la orden, Easy Healthcare también acordó dejar de compartir datos personales de salud con terceros para publicidad y debe solicitar que los terceros eliminen los datos (aunque las empresas no tienen la obligación legal de cumplir). Easy Healthcare también acordó implementar nuevos programas de seguridad y privacidad y proporcionar auditorías periódicas de privacidad y seguridad a las agencias.
Easy Healthcare no respondió a la solicitud de comentarios de TechCrunch. Sin embargo, en un comunicado en su sitio web, Premom dijo que su acuerdo con la FTC “no es una admisión de ningún delito”.
Esta es la segunda vez que la FTC inicia una acción de ejecución contra una empresa por violar la Regla de notificación de incumplimiento de la salud. En febrero de este año, la agencia llegó a un acuerdo con la farmacia en línea GoodRx por no revelar a los usuarios que compartió información de salud de identificación personal con Facebook, Google y otros terceros.