La FTC dice que la popular aplicación de seguimiento de fertilidad Premom compartió datos confidenciales con firmas analíticas chinas
Una popular aplicación de seguimiento de la fertilidad compartió información de salud confidencial de los usuarios con anunciantes externos sin su consentimiento, según una nueva denuncia de la Comisión Federal de Comercio.
La investigación de la FTC sobre Premom, una aplicación de seguimiento de fertilidad desarrollada por Easy Healthcare que permite a los usuarios realizar un seguimiento de la ovulación, los períodos y otra información de salud, descubrió que la empresa compartió información de identificación personal sobre salud y ubicación con Google y la empresa de marketing AppsFlyer desde 2018.
Premom ha recopilado y compartido datos sobre «cientos de miles» de usuarios, incluidos detalles sobre su salud sexual y reproductiva, estado parental y de embarazo, y otra información sobre el estado de salud física y el estado de un individuo. La aplicación también compartió los datos de ubicación de los usuarios, así como identificadores únicos de dispositivos y publicidad, que podrían ser utilizados por otros anunciantes para rastrear a los usuarios a través de Internet y otras aplicaciones.
En última instancia, era posible que terceros asociaran los datos de fertilidad y embarazo «con un individuo específico», dijo la FTC en su queja.
La FTC dijo que este intercambio de datos con terceros violaba repetidamente las políticas de privacidad de Easy Healthcare, que prometía compartir solo «datos no identificables» con terceros, en violación de la regla de notificación de incumplimiento de FTC Health.
Según los informes, Easy Healthcare también compartió datos identificables confidenciales de los usuarios con dos empresas de análisis móvil con sede en China conocidas por «prácticas de privacidad sospechosassegún un comunicado del fiscal general de Connecticut, William Tong. Según la FTC, entre 2018 y 2020 se transfirieron datos que incluyen números IMEI (cadenas de números vinculados a dispositivos individuales) y datos precisos de geolocalización a las firmas de análisis Jiguang y Umeng.
La FTC alega que la empresa lo hizo sabiendo que Jiguang y Umeng podrían usar esos datos para sus propios fines comerciales o podrían transferir los datos a terceros adicionales, y afirma que Easy Healthcare solo dejó de compartir esos datos cuando Google notificó al fabricante de la aplicación. en 2020 que la transferencia de datos a Umeng violó sus políticas de Google Play Store.
«Premom rompió promesas y comprometió la privacidad del consumidor», dijo Samuel Levine, director de la Oficina de Protección al Consumidor de la FTC. “Aplicaremos enérgicamente la regla de notificación de infracciones de salud para defender los datos de salud del consumidor de la explotación. Las empresas que recopilan esta información deben saber que la FTC no tolerará abusos de la privacidad relacionada con la salud.
Como parte de un acuerdo propuesto presentado por el Departamento de Justicia, Easy Healthcare acordó pagar una multa civil de $100,000 por violar la regla de notificación de incumplimiento de la salud de la FTC. También acordó pagar un total de $100,000 a los estados de Connecticut y Oregón, así como al Distrito de Columbia, que participó en la investigación de la FTC.
Como parte de la orden, Easy Healthcare también acordó dejar de compartir datos personales de salud con terceros con fines publicitarios y está obligada a solicitar a terceros que eliminen los datos (aunque las empresas no están legalmente obligadas a cumplir). Easy Healthcare también acordó implementar nuevos programas de seguridad y privacidad y proporcionar auditorías periódicas de privacidad y seguridad a las agencias.
Easy Healthcare no respondió a la solicitud de comentarios de TechCrunch. Sin embargo, en un declaración en su sitio web, Premom dijo que su acuerdo con la FTC «no es una admisión de irregularidades».
Esta es la segunda vez que la FTC presenta una demanda contra una empresa por violar la regla de notificación de infracciones de salud. En febrero de este año, la agencia llegó a un acuerdo con la farmacia en línea GoodRx por no revelar a los usuarios que compartió información de salud de identificación personal con Facebook, Google y otros terceros.