Aplicațiile de fitness colectează mai multe date personale decât este nevoie

Reading Time: 2 minute

Majoritatea aplicațiilor medicale şi de fitness din Google Play (88%) colectează mai multe date decât este nevoie, reiese dintr-un studiu publicat, recent, de Optus Macquarie University Cyber Security Hub din Sydney, citat de blogul din România al producătorului de securitate cibernetică, Eset.

Lucrarea – denumită Mobile health and privacy: cross sectional study și publicată de British Medical Journal – a analizat 8.000 de aplicații clasificate drept „medicale” și 13.000 de aplicații care se încadrează în categoria „sănătate și fitness”. Au fost incluse aproape toate aplicațiile mHealth ce sunt accesibile în Google Play Store în Australia. În ansamblu, aproape 100.000 de aplicații din Google Play și Apple Store aparțin celor două categorii.

Principalele tipuri de date colectate de aplicațiile mHealth includ informații de contact, locația utilizatorului și mai mulți identificatori de dispozitiv. O parte dintre acești identificatori (ne referim în mod specific la identitatea internațională a echipamentelor mobile – IMEI, un identificator unic utilizat pentru amprentarea telefoanelor mobile; controlul accesului media – MAC, un identificator unic al interfeței de rețea în dispozitivul utilizatorului și identitatea internațională a abonatului mobil, un număr unic care identifică în mod unic fiecare utilizator al unei rețele celulare) sunt unici şi persistenți, adică sunt imuabili și nu pot fi schimbați sau înlocuiți. De asemenea, pot fi utilizați de terți pentru a urmări utilizatorii din rețele și aplicații, se arată în studiul citat de Eset.

Aplicațiile colectează mailul și locația utilizatorilor

În același context s-a evidențiat faptul că două din trei aplicații colectează identificatori MAC și cookie-uri, o treime colectează adresele de e-mail ale utilizatorilor și aproximativ un sfert dintre aplicații ar putea presupune locația curentă a utilizatorului pe baza antenei la care sunt conectați.

Cu toate acestea, transmiterea datelor a fost înregistrată la doar aproximativ 4% dintre aplicațiile mHealth testate, cele mai comune tipuri de date transmise cuprinzând numele și locațiile utilizatorilor.

Potrivit sursei citate, deși modul în care aplicațiile mHealth colectează şi partajează datele utilizatorilor ar putea fi considerate de rutină, răspunderea despre aceste practici nu a fost deloc transparentă. Astfel, aproape un sfert dintre transmiterile de date ale utilizatorilor, în special datele referitoare la parole şi date de localizare, au fost observate având loc printr-o conexiune HTTP necriptată nesecurizată. În plus, circa o treime dintre aceste aplicații nu au oferit niciun fel de politică de confidențialitate care detaliază modul în care sunt tratate datele.

Se încalcă politicile de confidențialitate

De asemenea, un sfert din totalul aplicațiilor analizate au gestionat datele într-un mod în care au fost încălcate politicile de confidențialitate.

Acest lucru ar putea însemna probleme pentru companiile suspectate că ar fi încălcat reglementările privind confidențialitatea, cum ar fi Regulamentul general al Uniunii Europene privind protecția datelor (GDPR), care impune ca utilizatorii să fie informați în mod clar despre modul în care sunt tratate datele lor. Aplicațiile mobile devin rapid surse de informații și instrumente de sprijin pentru luarea deciziilor atât pentru clinicieni, cât și pentru pacienți. Astfel de riscuri de confidențialitate ar trebui să fie comunicate pacienților și ar putea face parte din consimțământul privind utilizarea aplicațiilor. Credem că ar trebui să se tină seama de raportul între beneficiile și riscurile aplicațiilor mHealth pentru orice discuție tehnică și politică în jurul serviciilor furnizate de astfel de aplicații.