Calendari mestruali e app per la salute femminile? Mettono a rischio la privacy e in molti casi non rispettano il GDPR

Le app per il ciclo condividono dati con terze parti e quasi sempre lo fanno per scopi commerciali, in ripetuta violazione alla normativa europea in materia, e soprattutto senza dare alle iscritte abbastanza informazioni sulla privacy o strumenti per modificarne le impostazioni. È il risultato a cui è giunto uno studio, dal titolo esplicativo di “Caring for Intimate Date in Fertility Technologies”, condotto da due ricercatrici delle Università di Newcastle e Umeå.

Analizzando insieme a due società specializzate trenta tra i calendari mestruali più popolari e più scaricati sulla versione inglese di Google Play, Maryam Mehrnezhad e Teresa Almeid si sono accorte, più nel dettaglio, che queste app, utilizzate da molte donne per tenere traccia del proprio ciclo ma anche per evitare gravidanze indesiderate facendo la conta dei giorni fertili o programmare allo stesso modo la procreazione, non risultavano ancora abbastanza compliant, sotto diversi punti di vista, al Regolamento generale europeo sulla protezione dei dati, ormai in vigore dal 2018.

La femtech alla prova del regolamento europeo sulla protezione dei dati personali

L’universo della cosiddetta “femtech”, ossia delle app e dei servizi digitali per il controllo della salute femminile, è più volte finito nell’occhio del ciclone. Nel tempo non sono mancate le accuse, per la maggior parte dimostrate e dimostrabili, che le app per il ciclo condividono dati con soggetti terzi che, a propria volta, li sfruttano a scopo di profilazione e cioè per confezionare messaggi pubblicitari e comunicazioni quanto più su misura e personalizzati possibili da proporre alle diverse utenti quando navigano in Rete, sui social network , negli ambienti digitali.

Sono accuse tanto più controverse se si considera che, più che come semplici reminder di quando sono previste le mestruazioni, la maggior parte delle utenti sfrutta i calendari mestruali anche per registrare la temperatura basale o numerosi altri sintomi legati alle fasi del ciclo e, ancora, rapporti sessuali, assunzione di contraccettivi di emergenza e ogni altro dettaglio della propria vita intima.

Con la rivoluzione che il GDPR ha portato in materia di privacy e trattamento dei dati personali ci si aspettava maggior tutela anche per le utenti di app come queste – che una parte di addetti ai lavori riconosce giocare un ruolo fondamentale nell’incentivare una maggiore consapevolezza del proprio corpo, specie tra le più giovani – tanto più che i dati in ballo sono per la gran parte dati sensibili meritevoli, nell’architettura del regolamento europeo, di una tutela “aggravata”.

Perché i calendari mestruali si trovano negli app store nella categoria “benessere e fitness” e non in quella “medicina”

La prima ambiguità riscontrata dalle ricercatrici sta nel fatto che la maggior parte dei calendari mestruali presi in analisi per lo studio (24 su 30) si trovava negli app store sotto la categoria “health & fitness” e non quella “medical” (in cui gli sviluppatori avevano catalogato appena 5 app su 30), a dispetto della tipologia di dati registrati che ha a che fare molto da vicino con la salute femminile, tanto più che spesso le utenti usano queste app anche per segnare l’assunzione di integratori, farmaci e della pillola anticoncezionale.

È certamente vero che la descrizione che da Google fanno delle caratteristiche che devono avere le app per essere considerate dell’una o dell’altra categoria lascia spazio a più di qualche dubbio e che sarebbe compito dello stesso team di Big G controllare periodicamente ed eventualmente spostare da una categoria all’altra le app presenti sul proprio store.

Catalogare come semplicemente “per la salute e il fitness” un’app per la fertilità femminile è, però, anche un chiaro escamotage che permette di rispettare meno vincoli, sia riguardo alla sicurezza e all’invulnerabilità informatica della stessa e sia riguardo al trattamento dei dati raccolti. Stando al GDPR, infatti, dati sensibili come quelli sulla salute femminile non potrebbero essere sfruttati per la profilazione, eppure molte app per il ciclo condividono dati con partner commerciali e a scopi che non è difficile immaginare.

Se le app per il ciclo condividono dati che non dovrebbero nemmeno raccogliere

Secondo la ricostruzione dello studio in questione, i problemi cominciano all’origine: la maggior parte dei calendari mestruali raccoglie molti più dati di quelli «adeguati e pertinenti» al tipo di servizio che assicurano. Il tanto invocato principio di minimizzazione dei dati previsto dal GDPR risulta, cioè, nella maggior parte dei casi non rispettato.

Affidandosi alle società di analisi a cui già si accennava, le due ricercatrici si sono accorte nello specifico che 15 delle 30 app prese in considerazione avevano almeno un “tracker”, ossia un meccanismo di tracciamento tanto specifico per determinati tipi di dati quanto nascosto, e che la media era di 3.8 tracker per app. Non è una peculiarità dei servizi della femtech: molte app, di natura molto diversa, sfruttano meccanismi simili per raccogliere dati “extra” e in genere molto appetibili per i partner commerciali tanto che, si sottolinea all’interno dello stesso studio, la media dei tracker individuati nelle app per Android dei primi cento siti più visitati in Europa che ne abbiano una è di 2.6. Il meccanismo dei tracker è, insomma, tra i maggiori responsabili della narrativa sulle app che “spiano” gli utenti o “rubano” loro dati.

Ben oltre la narrativa, dallo studio di Mehrnezhad e Almeid viene l’evidenza che le app per il ciclo condividono dati anche sul tipo di dispositivo utilizzato, le fasce orarie in cui le utenti sono connesse, ecc. Sono dati che, se incrociati tra di loro, permettono di ricostruire un profilo piuttosto dettagliato della singola persona e da questo profilo di confezionare messaggi pubblicitari o altri tipi di comunicazione che risultino quanto più in target , personalizzati ed efficaci possibile. Seguendo l’esempio delle stesse ricercatrici, astenersi dai rapporti sessuali durante le mestruazioni è un precetto tipico di alcune religioni e la sistematicità con cui mese dopo mese non sono registrati sull’app pratiche sessuali durante gli ultimi giorni del ciclo può rappresentare, combinato alla zona geografica da cui si accede all’app o ad altre informazioni come quelle riguardanti il consumo di alcol o il regime alimentare, un chiaro indizio in questo senso.

Lo studio non manca di far notare, tra l’altro, come l’obiettivo sarà tanto più facile da raggiungere – e come si profili una più evidente condizione di sorveglianza digitale – se e quando i dati raccolti “di nascosto” da queste e da altre app saranno integrati con dati biometrici come quelli acquisiti dagli smartphone con comandi a riconoscimento facciale o delle impronte.

La maggior parte dei calendari mestruali, comunque, attiverebbe i tracker alla prima apertura, prima ancora che all’utente siano mostrate notifiche o disclaimer sulla privacy, e li manterrebbe attivi anche mentre l’app resta in background. Le app per il ciclo in altre parole condividono dati – e prima ancora li raccolgono – indisturbate, basandosi anche su quello che le utenti non fanno, come controllare appunto che l’app risulti effettivamente chiusa e non semplicemente in background quando si smette di utilizzarla.

Consenso al trattamento dei dati e informazioni sulla privacy nel mondo delle app per tracciare il ciclo

Altro aspetto critico di calendari mestruali e app per la salute femminile, per molti versi ricollegabile proprio a una certa “leggerezza” che contraddistingue quello che gli utenti fanno e accettano in Rete, è come questi notificano a chi li scarica impostazioni e informazioni sulla privacy.

12 delle 30 app analizzate dallo studio non presentavano alle utenti alcun contenuto (banner, link, eccetera) inerente alla privacy, né al primo utilizzo né ai successivi. Altre 13, invece, avevano box, link o opzioni da spuntare direttamente alla pagina d’iscrizione o tra i termini d’uso del servizio e solo cinque una notifica ad hoc.

Nella maggior parte dei casi, tra l’altro, le app risultavano poco rispettose delle previsioni del GDPR sul consenso al trattamento dei dati personali nel prevedere solo due opzioni riguardo alle impostazioni sulla privacy, Accetta o Rifiuta, e non invece anche la possibilità di personalizzarle, in un approccio che le due studiose indicano come «take it or leave it». Il rischio è che, per i benefici che ne traggono, davanti a una decisione aut aut come questa, le utenti mettano in secondo piano valutazioni riguardo alla propria privacy e la sicurezza dei propri dati personali pur di poter utilizzare le app che tracciano il ciclo o aiutano a evitare o a iniziare una gravidanza. Rischio che, sul fronte delle app, dei  titolari del trattamento e dei partner commerciali, si trasforma in un sintomo per lo meno sospetto del tipo di utilizzo – ancora una volta poco compliant alle norme in materia – che se ne intende fare.