A ONG Privacy International, dedicada a “proteger a democracia e defender a dignidade” do público contra “governos e corporações que usam a tecnologia para nos explorar” analisou apps para controle do ciclo menstrual para determinar quais dados sobre as usuárias são coletados, como são armazenados e com quem são compartilhados.

Eva Blum-Dumontet, pesquisadora sênior da ONG, usou cinco apps populares e depois solicitou aos desenvolvedores acesso aos dados coletados sobre ela. Este pedido é conhecido como Data Subject Acess Request (DSAR) e é previsto na General Data Protection Regulation (GDPR), lei de proteção de dados da União Europeia que é similar à nossa LGPD (Lei Geral de Proteção de Dados).

Dos cinco apps para controle do ciclo menstrual analisados, apenas dois responderam ao DSAR no prazo estabelecido pela lei (um mês a partir da data do pedido). Um não deu acesso aos dados, um nunca respondeu e outro se recusou a autorizar a publicação das informações.

Mas o mais preocupante foi que os apps encorajam as usuárias a compartilhar muito mais do que as informações necessárias para o acompanhamento do ciclo menstrual.

Dados como a dificuldade de atingir um orgasmo, medicamentos que usam regularmente, hábitos de masturbação, frequência de relações sexuais e até mesmo sobre a satisfação com a aparência são armazenados nos servidores das empresas e compartilhados com terceiros, entre eles empresas como a Amazon e Google, que podem usá-los para criar perfis para exibição de publicidade altamente focada e lucrativa.

Por exemplo, cada interação com o app Clue, da empresa alemã BioWink, resultava em dados armazenados nos servidores da empresa. Entre eles informações sobre o estado mental da usuária, que métodos anticoncepcionais usa, com que frequência vai ao banheiro, etc.

Quando questionada sobre com quais empresas estas informações são compartilhadas, a BioWink respondeu com uma lista incompleta, mas que inclui nomes como a Amazon e Google.

Depois, a empresa admitiu que enviou uma resposta parcial “por descuido” e apontou que todos os parceiros com quem os dados são compartilhados estão listados em sua política de privacidade.

Já a Flo, da norte-americana Flo Health, foi mais aberta e respondeu com uma lista detalhada de quais parceiros recebem seus dados, quais dados são compartilhados e com qual propósito.

Quando questionada sobre o uso de inteligência artificial para gerar perfis das usuárias, a empresa respondeu que eles são criados apenas para “fins operacionais” ou para “recomendações relacionadas ao serviço”, e que eles não estão envolvidos em nenhum processo de tomada automatizada de decisão que possa causar “repercussões legais”.

Dumontet afirma que a análise dos dados deixa clara a estonteante quantidade que informações às quais os apps para controle do ciclo menstrual têm acesso. No caso do Flo, a usuária é encorajada a compartilhar cada vez mais dados, o que por si só não é uma violação da política de privacidade do app.

Mas a pesquisadora aponta que o app faz isso sem dizer para que os dados estão sendo coletados, o que é preocupante considerando que se tratam de informações extremamente pessoais, e que muitas delas não são relacionadas ao propósito principal do app (acompanhamento do ciclo menstrual).

Mas pior do que saber como um app para controle do ciclo menstrual está usando seus dados pessoais é não ter a mínima ideia disso porque os desenvolvedores, em violação da lei, se recusam a compartilhá-los. Foi o caso do app Maya, da indiana Plackal Tech, que não respondeu ao pedido.

Outro app, o Oky, da Unicef, alegou que os dados são armazenados de forma anonimizada em seus servidores, e que por isso não seria possível entregá-los à pesquisadora. Mesmo após ela apontar que, sabendo seu nome de usuário e o algoritmo usado para anonimizar os dados, a desenvolvedora deveria ser capaz de localizar as informações em seus bancos de dados.

A “cereja no bolo” fica com o app MIA, da Femhealth Technologies Limited. Embora tenha fornecido todos os dados pedidos no DSAR e respondido às perguntas da pesquisadora, a empresa proibiu que a informação fosse publicada como parte do artigo, alegando que ela é “um segredo de negócio” ou coberta por copyright.

Segundo Dumontet, ao alegar confidencialidade sobre os dados contidos no DSAR, incluindo as partes que contém dados pessoais, a MIA está tentando alegar propriedade e controle de dados pessoais que são, de fato, da usuária. Algo inaceitável.

O comportamento da empresa “levanta questões sobre seu compromisso com o cumprimento dos princípios básicos da transparência”, diz a pesquisadora. Afinal, um dos objetivos por trás do pedido de um usuário para acesso aos próprios dados é a capacidade de usá-los e compartilhá-los como quiser, com quem quiser.

“Nossas informações mais íntimas são coletadas e às vezes compartilhadas com terceiros. Ver nossas respostas entre os dados armazenados foi um lembrete claro de que a informação que compartilhamos não fica apenas entre nós e nossos smartphones, mas também é acessível aos servidores dos apps e potencialmente a outros”, diz a pesquisadora.

Fonte: Privacy International.