El Consejo de Consumidores de Noruega ha presentado una queja de privacidad sobre Grindr, argumentando que infringe las leyes de protección de datos nacionales y europeas después de que surgiera que la aplicación de citas ha estado compartiendo información personal sobre sus usuarios con terceros.
Como informamos anteriormente, el equipo de investigación noruego SINTEF analizó el tráfico de la aplicación y descubrió que, si se establece, el estado de VIH de un usuario se incluye en los paquetes enviados a dos empresas de optimización de aplicaciones, Apptimize y Localytics.
Estos datos fueron enviados a través de una transmisión encriptada. Pero los usuarios no fueron informados de que se estaba compartiendo su estado serológico.
Grindr ha afirmado que los datos sobre el estado del VIH se comparten solo con fines de prueba y optimización de la plataforma, y que los terceros en cuestión están “bajo términos contractuales estrictos que brindan el más alto nivel de confidencialidad, seguridad de datos y privacidad del usuario”.
Sin embargo, según la evaluación de SINTEF, no es estrictamente necesario transmitir dichos datos con fines de análisis y pruebas de funcionalidad (pruebas A/B).
Además de los estados de VIH, SINTEF descubrió que Grindr transmite una gran cantidad de otros puntos de datos personales a empresas de publicidad de terceros, esta vez a través de transmisiones sin cifrar, a saber: posición precisa del GPS, género, edad, “tribu” (también conocida como afiliación grupal, por ejemplo, trans , oso), intención (por ejemplo, amigos, relación), etnia, estado civil, idioma y características del dispositivo.
El Consejo se opone tanto al intercambio de estados de VIH altamente confidenciales como a otra información personal con terceros sin que Grindr obtenga el consentimiento explícito del usuario para que los datos se entreguen a otros.
“La información sobre la orientación sexual y el estado de salud se considera información personal confidencial según la legislación europea y debe tratarse con sumo cuidado. En nuestra opinión, Grindr no lo hace”, dijo Finn Myrstad, director de servicios digitales del Consejo en un comunicado sobre su acción.
“Esperamos que la empresa se asegure de que sus usuarios reciban tanto la protección de la privacidad como la seguridad a la que tienen derecho. Esto también se aplica a la forma en que los socios de servicio de Grindr utilizan la información”.
El Consejo argumenta que la transmisión de datos personales confidenciales a terceros con fines publicitarios está fuera de los propósitos originales de la recopilación de datos, lo que constituye una violación del principio de limitación del propósito.
Para ser legal según la ley europea, Grindr necesitaría obtener un consentimiento separado y claro de los usuarios para compartir su información personal, argumenta.
“Para que dicho intercambio de datos se realice de acuerdo con la legislación europea, el servicio debe obtener un consentimiento por separado y claramente otorgado por el usuario. Grindr, que solo menciona compartir datos de usuarios en su política de privacidad, no obtiene un consentimiento claro”, afirma Myrstad.
El Consejo basa su queja en el informe publicado de la prueba técnica de SINTEF (disponible en Github) y Grindr política de privacidad, de fecha 9 de agosto de 2017.
En la denuncia, también apunta a Grindr por agregar lo que describe como un descargo de responsabilidad “desafortunado” a su política de privacidad que advierte a los usuarios que sus datos personales pueden procesarse en otros países, “incluido Estados Unidos, donde las leyes sobre datos personales pueden ser menos estrictas que las leyes de su país”.
“El Consejo de Consumidores considera desafortunado este descargo de responsabilidad, especialmente cuando Grindr está transfiriendo datos personales confidenciales sobre usuarios europeos. Los usuarios europeos de la aplicación tienen derecho a que sus datos personales estén protegidos de acuerdo con la legislación europea”, escribe. “El Consejo de Consumidores no puede ver que Grindr está registrado bajo el acuerdo de transferencia de datos transatlánticos Privacy Shield, que tiene como objetivo garantizar que los datos personales que se transfieren a los Estados Unidos estén protegidos de acuerdo con la ley europea de protección de datos. El Consejo de Consumidores ve esto como un motivo de preocupación sobre si los derechos de privacidad de los usuarios europeos de Grindr se respetan lo suficiente”.
También argumenta que Grindr no obtiene el consentimiento suficiente de los usuarios para que se procesen sus datos personales porque la aplicación solicita el consentimiento para los términos del servicio en su conjunto, es decir, “sin enfatizar o destacar elementos individuales”.
“Desde el punto de vista del Consejo de Consumidores, la información sobre datos personales confidenciales que se comparten con terceros no debe ocultarse en términos de servicio y políticas de privacidad prolongados. El Consejo de Consumidores no puede ver que Grindr cumpla con las condiciones para obtener un consentimiento informado y explícito”, agrega.
Nos comunicamos con Grindr para obtener comentarios y actualizaremos esta historia con cualquier respuesta.
Source link