Grindr se enfrenta a “infracciones de la ley de protección de datos” tras filtrar información privada de los usuarios

Grindr podría enfrentarse a una investigación en virtud de la legislación europea sobre datos, después de que se supiera que los datos sobre el estado serológico respecto al VIH de los usuarios se están revelando a terceros.

Este fin de semana se ha revelado que una gran cantidad de datos de usuarios de la aplicación gay hook-up, incluido el estado serológico de los usuarios, se ha compartido con dos empresas privadas que ayudan a “optimizar” las aplicaciones, Localytics y Apptimize.

Los expertos en ciberseguridad también alegaron que la aplicación para citas estaba enviando a los anunciantes la posición GPS exacta de sus usuarios, la sexualidad, el estado de la relación, el origen étnico, la identificación del teléfono e incluso su “tribu” -un identificador de identidad sexual como “twink” o “papi” o “cuero”- en un formato de texto plano que podía ser fácilmente hackeado y robado.

Desde entonces, el Consejo Noruego del Consumidor Forbrukerrådet ha dicho que ha presentado una queja contra la aplicación “por infringir la ley de protección de datos” en el marco de la investigación del grupo de investigación noruego SINTEF.

La NCC envió una carta a la Autoridad Noruega de Protección de Datos solicitando una investigación.

Decía: “La información sobre la orientación sexual y el estado de salud son datos personales sensibles según la legislación europea.

“Grindr procesa datos personales sensibles, como el estado serológico, la orientación sexual y las preferencias sexuales. El Consejo de Consumidores considera desconcertante que los usuarios del servicio Grindr corran el riesgo de perder el control sobre sus datos personales en relación con sus preferencias sexuales y su estado serológico respecto al VIH”.

También cuestionó las afirmaciones de Grindr de que los datos relativos a los usuarios europeos estaban de hecho sujetos a la legislación estadounidense, que incluye protecciones mucho más débiles.

Decía: “Los usuarios europeos de la aplicación tienen derecho a que sus datos personales estén protegidos de acuerdo con la legislación europea.

“El Consejo de Consumidores no puede ver que Grindr esté registrado bajo el acuerdo transatlántico de transferencia de datos Privacy Shield, que pretende garantizar que los datos personales que se transfieren a los Estados Unidos estén protegidos de acuerdo con la legislación europea de protección de datos.

“El Consejo de Consumidores ve esto como un motivo de preocupación en cuanto a si los derechos de privacidad de los usuarios de European Grindr son suficientemente respetados”.

Observando las alegaciones de que los datos sobre la identidad sexual de los usuarios se comparten en texto plano, añadió: “Si el usuario introduce información sobre la orientación sexual, las preferencias sexuales y la tribu (por ejemplo, trans, cuero y oso), esta se comparte en forma no cifrada”.

Continuó: “En opinión del Consejo de Consumidores, esto no cumple las condiciones de suficiente seguridad de la información.

“Cuando Grindr transmite datos personales sensibles a terceros, que podrían utilizar esta información con fines publicitarios, esto queda fuera del alcance de la finalidad original de la recogida de datos, que es ofrecer un servicio de redes sociales.

“Esto constituye una violación del principio de limitación de la finalidad, y hasta donde sabemos, Grindr no pide suficientemente su consentimiento para esta finalidad adicional.

“En opinión del Consejo del Consumidor, esto viola las leyes de protección de datos noruegas y europeas.”

Los activistas LGBT han expresado su furia después de que las noticias salieran a la luz, pero la aplicación -recientemente adquirida por un conglomerado chino- se ha negado a disculparse.

El jefe de seguridad de la aplicación, Bryce Case, dijo a BuzzFeed que, aunque “no admitiría la culpa”, la empresa dejaría de compartir los datos “basándose en la reacción -un malentendido de la tecnología- para disipar los temores de la gente”.

En una declaración a PinkNews, el director técnico de Grindr, Scott Chen, dijo: “Como empresa que sirve a la comunidad LGBTQ, entendemos las sensibilidades en torno a la revelación del estado serológico respecto al VIH. Nuestro objetivo es y siempre ha sido apoyar la salud y la seguridad de nuestros usuarios en todo el mundo.

Recientemente, el uso estándar de la industria de Grindr de socios de terceros, entre los que se incluyen Apptimize y Localytics, dos proveedores de software de gran prestigio, para probar y validar la forma en que implementamos nuestra plataforma, ha suscitado preocupación sobre la forma en que compartimos los datos de los usuarios.

En un esfuerzo por aclarar cualquier información errónea, creemos que es necesario declarar:

1. Grindr nunca ha vendido, ni venderá nunca, información personal identificable del usuario – especialmente información sobre el estado del VIH o la fecha de la última prueba – a terceros o anunciantes.

2. Como práctica estándar de la industria, Grindr trabaja con proveedores de gran prestigio para probar y optimizar la forma en que implementamos nuestra plataforma. Estos proveedores están bajo estrictos términos contractuales que proporcionan el más alto nivel de confidencialidad, seguridad de datos y privacidad del usuario.

3. Cuando trabajamos con estas plataformas, restringimos la información compartida excepto cuando es necesario o apropiado. A veces, estos datos pueden incluir datos de ubicación o datos de los campos de estado serológico del VIH, ya que son características de Grindr; sin embargo, esta información siempre se transmite de forma segura mediante cifrado y existen políticas de retención de datos para proteger aún más la privacidad de nuestros usuarios frente a la divulgación.

4. Es importante recordar que Grindr es un foro público. Damos a los usuarios la opción de publicar información sobre ellos mismos, incluyendo su estado de VIH y la fecha de la última prueba, y dejamos claro en nuestra política de privacidad que si usted decide incluir esta información en su perfil, la información también se hará pública. Como resultado, deberías considerar cuidadosamente qué información incluir en tu perfil.”

Añadió: “Como líder de la industria y defensor de la comunidad LGBTQ, Grindr reconoce que el estatus de VIH de una persona puede ser altamente estigmatizado, pero después de consultar a varias organizaciones internacionales de salud y a nuestro equipo de Grindr para la Igualdad, Grindr determinó con la retroalimentación de la comunidad que sería beneficioso para la salud y el bienestar de nuestra comunidad dar a los usuarios la opción de publicar, a su discreción, el estatus de VIH del usuario y su Última Fecha de Prueba. Corresponde a cada usuario determinar qué compartir sobre sí mismo en su perfil, si es que lo hace.

La inclusión de información sobre el estado serológico del VIH dentro de nuestra plataforma siempre se considera cuidadosamente teniendo en cuenta la privacidad de nuestros usuarios, pero como cualquier otra compañía de aplicaciones móviles, nosotros también debemos operar con prácticas estándar de la industria para ayudar a asegurarnos de que Grindr continúe mejorando para nuestra comunidad.

Aseguramos a todos que siempre estamos examinando nuestros procesos en torno a la privacidad, la seguridad y el intercambio de datos con terceros, y siempre buscando medidas adicionales que vayan más allá de las mejores prácticas de la industria para ayudar a mantener el derecho a la privacidad de nuestros usuarios”.

Bryan Dunn, vicepresidente de productos de Localytics añadió: “Localytics es una plataforma de marketing de aplicaciones que proporciona herramientas de mensajería y análisis a las grandes empresas. La información que los clientes deciden enviar se almacena y procesa en nuestros sistemas de producción, que cumplen con los estándares de seguridad de la industria, incluyendo ISO27001, SSAE16-SOC1/2/3, FISMA y otros.

Localytics controla estrictamente todo el acceso a los sistemas de producción y aprovecha los controles de seguridad apropiados para proteger todos los datos de los clientes.

Bajo ninguna circunstancia Localytics recopila automáticamente la información personal de un usuario, ni requerimos información personal para que nuestros clientes obtengan los beneficios de usar nuestra plataforma. Corresponde a cada cliente determinar qué información envía a Localytics, y Localytics procesa esos datos únicamente para el uso del cliente. No compartimos ni revelamos los datos de nuestros clientes”.

Pero la aplicación ha sido atacada por activistas LGBT.

El veterano defensor de los derechos de las personas LGBT, Peter Tatchell, dijo a PinkNews: “Permitir que las empresas privadas accedan a la condición de VIH de los clientes de Grindr es lo más chocante que se puede hacer y sólo puede sumarse a las ansiedades experimentadas por los hombres homosexuales y bisexuales con VIH.

“Este es el segundo escándalo de datos que involucra a Grindr en una semana y sus usuarios no se sentirán tranquilos por este último desarrollo.

“Todavía hay 72 países en el mundo que criminalizan la homosexualidad y aún más tienen gobiernos que persiguen activamente a las personas LGBT+. Las violaciones de la seguridad pueden ser explotadas para hacer arrestos y por vigilantes homofóbicos para hacer ataques violentos.

Los proveedores de aplicaciones Grindr y similares deben auditar urgentemente sus medidas de seguridad de datos, aclarar cualquier problema y solucionarlo de inmediato.

La protección de datos es la nueva frontera en la batalla por los derechos humanos. Las compañías de software que atienden a las personas LGBT+ tienen una responsabilidad especial, dados los países potencialmente riesgosos en los que viven muchos de sus usuarios”.

Un portavoz de la organización benéfica Terrence Higgins Trust dijo: “Compartir datos relacionados con el VIH con terceros sin permiso es una violación absolutamente inaceptable de la privacidad de sus usuarios.

Nos alivia ver que esta decisión ha sido revocada, pero el hecho de que se haya tomado en primer lugar plantea interrogantes sobre los procesos de privacidad y protección que Apps including Grindr tiene en marcha.

Aplaudimos a Grindr por introducir la capacidad de App que permite a los usuarios listar su estado de VIH o la fecha del último examen de salud sexual. Esto ayuda a combatir el estigma y puede ayudar a evitar conversaciones incómodas que las personas que viven con el VIH no quieren (y no deberían tener) tener. Sin embargo, esa información nunca debe ser compartida por la Aplicación sin un permiso claro para hacerlo.

Todavía queda mucho trabajo por hacer para acabar con el estigma al que se enfrentan injustamente las personas que viven con el VIH, y ahora Grindr debe aumentar su responsabilidad de proteger la seguridad de sus usuarios. Ahora debe tranquilizar a las personas que viven con el VIH de que esto no volverá a suceder”.

Es sólo la última falla de seguridad de Grindr que se expuso el mes pasado después de que surgiera una vulnerabilidad que permitió a los usuarios de Grindr averiguar quién los había bloqueado.

Esas fallas de seguridad fueron descubiertas por Trevor Faden, quien creó C*ckblocked, un sitio web que permitía a los usuarios simplemente ver la lista que estaba enterrada con poca protección en la codificación de la aplicación.

Más tarde reveló que el experimento C*ckblocked había puesto al descubierto otro defecto.

Después de que los usuarios iniciaron sesión en el servicio con los detalles de su cuenta Grindr, Faden pudo acceder a una gran cantidad de datos privados de sus cuentas, incluidos mensajes no leídos, fotos eliminadas y datos de ubicación de usuarios.

Las violaciones han llevado a temer que la aplicación pueda ser explotada por los servicios de seguridad de todo el mundo.

Los expertos en seguridad ya han advertido que la aplicación está lista para ser cultivada por el gobierno chino después de que su fundador Joel Simkhai fuera comprado por un gigante tecnológico chino el año pasado.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *