App de rastreamento menstrual Flo é considerada responsável por vender dados de usuários à Meta

 (femtechdesigndesk.substack.com)
2 pontos por GN⁺ 10 시간 전 | 2 comentários | Compartilhar no WhatsApp
  • O Flo, que lida com rastreamento menstrual e informações relacionadas à gravidez, se apresentava como protetor da privacidade, mas foi considerado responsável por compartilhar comercialmente com terceiros, como a Meta, dados sobre ciclo menstrual, ovulação e gravidez
  • O vazamento de informações sensíveis não ocorreu por invasão externa, mas por meio do design interno do produto e de decisões de privacidade, e a transmissão para a Meta entrava em conflito com as promessas públicas de privacidade
  • A tela inicial e a estrutura de registros mudaram para uma direção que ampliava bastante a inserção de sintomas e a exposição a conselhos, parecendo mais favoráveis à publicidade e à monetização do que ao simples rastreamento do ciclo
  • Na estrutura de apps de wellness fora do escopo da HIPAA, os critérios de consentimento e proteção tendiam a ficar obscuros, e havia ampla margem para que a empresa do app definisse o alcance do compartilhamento e da venda de dados
  • Em um mercado de apps de saúde reprodutiva usado por milhões de pessoas, tornou-se mais importante poder escolher ferramentas que coletam menos dados, e a coleta priorizada para venda de anúncios sem consentimento pode comprometer até a confiabilidade das informações derivadas

Compartilhamento de dados e decisão judicial

  • O Flo foi considerado responsável em um caso relacionado à venda de dados sensíveis de saúde à Meta, apesar de afirmar que protegia a privacidade dos usuários
  • No veredito do júri de Frasco v. Flo, ficou registrado que o app Flo compartilhou comercialmente com terceiros como Meta, Google e Flurry informações sobre ciclo menstrual, ovulação e gravidez
  • A Meta foi considerada responsável por coletar dados sensíveis de saúde reprodutiva e usá-los em benefício próprio
  • A ação incluiu 13 milhões de usuários do Flo como autores, e processos relacionados continuam nos Estados Unidos e no Canadá desde 2021

Não foi hacking, foi design de produto

  • Plataformas terceiras não invadiram o app; em vez disso, informações sensíveis foram transmitidas diretamente por meio de decisões de privacidade internas do Flo
  • O app continha ferramentas secretas de "eavesdropping", e informações como ciclo menstrual, ovulação e tentativa de engravidar eram repassadas à Meta
  • Essas transmissões entravam em conflito com o que a política de privacidade dizia que não seria feito
  • O compartilhamento de dados no modelo track-and-sell para monetização estava mais próximo de como o sistema realmente operava

UX do produto e direção de monetização

  • O design femtech marcado por pinkwashing pode servir para encobrir decisões de produto antiéticas
  • A tela inicial do Flo ficou mais complexa e congestionada após atualizações, e o registro de sintomas e a exposição a conselhos cresceram a ponto de ofuscar o próprio rastreamento do ciclo
  • Itens de sintomas passaram a ocupar posição central, com uma estrutura que incentivava a inserir mais estados corporais negativos
  • No contexto do processo Flo-Meta, esse arranjo se conectava com facilidade à publicidade de produtos para aliviar sintomas, oferecendo mais margem de monetização do que um simples calendário menstrual
  • Em combinação com um veredito recente relacionado a danos pessoais envolvendo a plataforma, esse design centrado em anúncios se torna ainda mais incômodo

A zona cinzenta fora da HIPAA

  • Por causa da lacuna entre a HIPAA e os apps de wellness, o consentimento e a proteção de privacidade ficam muito pouco claros em softwares de rastreamento de saúde não clínicos
  • O Flo alterou sua política de privacidade 13 vezes entre 2016 e 2019, período central da disputa judicial, mas não conseguiu tornar o consentimento do usuário substantivamente claro
  • Grande parte da atual reproductive health tech não se conecta diretamente a serviços clínicos nem à comunicação com profissionais de saúde, o que facilita que fique fora do alcance das leis atuais de proteção de informações de saúde
  • Como resultado, a empresa do app pode definir de forma ampla políticas de compartilhamento, venda de dados e reporte a órgãos governamentais, e o desenho do consentimento dentro do produto também fica fortemente sujeito a decisões internas
  • Nessa estrutura, mesmo ao lidar com dados extremamente sensíveis, padrões frágeis de consentimento podem continuar sendo lançados no mercado

Responsáveis e problemas organizacionais

  • O caso se aproximou mais de uma estrutura em que funções internas, incluindo jurídico, design, engenharia e vendas, se conectaram para sacrificar usuários em nome do lucro do que de um ataque externo
  • Embora seja difícil identificar o número exato de pessoas e os responsáveis diretos no Flo entre 2016 e 2019, a operação da época é descrita como uma organização relativamente pequena
  • Esse pequeno grupo decidiu como coletar, armazenar e compartilhar dados sensíveis de saúde de milhões de usuários no mundo todo, além da forma de comunicar essas políticas

Escolha do consumidor e limites da coleta de dados de saúde

  • A regulação legal é lenta para acompanhar a tecnologia, e essa lacuna é sentida com ainda mais força na expansão da coleta de dados sobre saúde feminina
  • O objetivo de reduzir a lacuna de dados na saúde da mulher é válido, mas continua em aberto até que ponto empresas privadas fora de controles clínicos merecem confiança
  • Se a isso se somarem conselhos de saúde baseados em IA generativa, a qualidade dos dados e a confiabilidade dos resultados gerados também podem ficar comprometidas em estruturas de app que contornam deveres de proteção ao usuário
  • Se os dados foram coletados por um modelo que priorizava a venda de anúncios a terceiros sem consentimento direto, também fica difícil confiar nos resultados derivados deles
  • Mais de um terço das mulheres nos Estados Unidos usam apps de rastreamento menstrual, e taxas de uso semelhantes foram reported na UE; hoje há centenas de apps de rastreamento de ciclo e também opções em outros apps de saúde e rastreadores integrados a wearables

Migração para ferramentas que coletam menos

  • Ao contrário de um momento em que o Flo era uma opção rara no mercado, hoje há mais espaço para escolher apps com menos recursos e coleta mínima de dados
  • O WildAI não pergunta detalhes como prática de masturbação, o que também evita criar a possibilidade de que esse tipo de informação chegue a grandes empresas de tecnologia
  • Registrar minuciosamente a própria vida sexual exige reavaliação, especialmente no cenário pós-Dobbs e sob padrões frouxos de privacidade digital, para saber se os benefícios à saúde realmente compensam os riscos
  • Somando-se às preocupações com violações de privacidade em dispositivos adultos, ferramentas mais simples e sem recursos de conexão às vezes parecem uma escolha melhor

Leituras relacionadas

2 comentários

 
unsure4000 8 시간 전

Ultimamente a Meta estava parecendo um pouco menos nojenta, mas isso já recarrega minha indignação contra a Meta.
Mudando um pouco de assunto, também rolou um papo de que esses lockdowns de OS de hoje em dia foram lobby da Meta... desde a história de fundação até cada passo da empresa, parece mesmo que venderam qualquer noção de ética.
 
GN⁺ 10 시간 전
Comentários do Hacker News

  • Se o app pudesse vender dados de localização para uma quadrilha de sequestro para ganhar mais 5 centavos, provavelmente faria isso
    Acho que praticamente não existem apps que realmente levem a sério privacidade ou o interesse do usuário

    • É isso que eu sempre tento dizer trabalhando com privacy products
      Se os dados estão no servidor de outra pessoa, é preciso partir do princípio de que, em algum momento, eles vão usar isso de algum jeito
      Do ponto de vista da empresa, ter dados que são literalmente uma mina de ouro dentro de um banco sqlite e dizer "melhor não fazer essa query" simplesmente não faz sentido como negócio
    • Existem exceções
      Com FOSS isso é possível
    • Não deixa de ser verdade que a Apple colocou bastante controle de privacidade para o usuário
      Então pelo menos alguns apps parecem se importar
    • No fim, eles só param com esse tipo de coisa quando o risco de serem pegos e o nível da punição se tornam maiores do que o ganho
      Se os órgãos que aplicam leis de proteção de dados como o GDPR realmente funcionassem, os criadores de apps seriam muito mais cuidadosos com o que colocam e para onde enviam os dados
      Mas como esses órgãos quase nunca agem de forma útil, isso virou uma prática tão comum que hoje dar uma multa de 20 milhões de dólares para cada app grande ainda pareceria, em geral, adequado

  • Eu não tenho nenhum conjunto de dispositivos para usar um app desses, mas me pergunto por que isso precisa ser necessariamente um app centrado em serviço
    Não vejo que funcionalidade de rastrear informações de saúde realmente precisa de servidor

    • A parte que precisa de servidor é a de vigilância
      No GrapheneOS dá para ligar e desligar o acesso à internet por app
    • Não conheço bem este app, mas sendo um serviço ele pode oferecer recursos bem interessantes, como sincronização entre dispositivos ou compartilhamento de dados com pessoas de confiança
    • Provavelmente é por causa de um modelo de receita melhor
      Enviar os dados para o servidor, mostrar anúncios no app e revender dados demográficos rende muito mais do que cobrar só pelo download
      Quase certamente existem apps mais baratos nessa área que não precisam de servidor nem ficam telefonando para a Meta com seus dados, mas provavelmente fazem menos marketing
      Pela minha experiência com startups, parece bem possível que este desenvolvedor só quisesse fazer rastreamento de instalações de campanha de marketing, ou precisasse de algum recurso da biblioteca da Meta e não soubesse ou não se importasse com os efeitos colaterais
    • Minha parceira usa o Flo citado na matéria e, para compartilhar os dados comigo, eu também criei uma conta
      Se quisessem, poderiam ter feito isso com sincronização P2P com criptografia local, ou até via servidor mas com E2E
      Ainda não ter E2E é meio surpreendente, embora hoje em dia nem seja tão surpreendente assim
    • Se não fosse esse ecossistema desastroso de sistemas operacionais móveis, já teríamos apps sensatos
      Mas as pessoas vivem falando da segurança "moderna" dos sistemas operacionais
      Ignorando que esse tipo de vazamento de dados é praticamente um dos piores casos possíveis de problema de segurança

  • Acho que isso já era conhecido há anos, não?
    As violações de privacidade em apps de rastreamento menstrual já estavam bem documentadas até 2021, inclusive no caso da Meta
    Meta ‘eavesdropping’ on Flo exposes how period apps are a data… | TBIJ

  • Sinceramente, hoje em dia eu já estou mais para tanto faz
    Em Toronto, ficou evidente que você pode gravar 24 horas por dia o interior do condomínio vizinho e transmitir isso ao vivo na internet, e os moradores podem nem saber enquanto, na prática, ninguém aplica nada
    Então virei um privacy nihilist e parto do princípio de que qualquer informação sobre qualquer pessoa sempre será usada de forma abusiva
    Acho que os outros também deveriam pensar assim

    • Não conheço bem a lei canadense, mas nos EUA é parecido
      Se você está em local público ou pode ser visto por alguém que esteja em local público, entende-se que não existe expectativa razoável de privacidade
      É essa lógica que sustenta o funcionamento dos paparazzi
    • Resignação não é uma boa resposta
      E menos ainda dizer para os outros também ficarem indiferentes

  • drip source
    Existe desde 2019 e a última atualização foi há 2 meses
    Suporta iOS e Android e foi feito em React Native

    Mensinator source
    Existe desde 2024 e a última atualização foi há 2 semanas
    É para Android, baseado em Kotlin

    Menstrudel source
    Existe desde 2015 e a última atualização foi há 3 semanas
    Suporta iOS e Android e é baseado em Dart

    Tyd source
    Existe desde 2023 e a última atualização foi há 2 anos
    É para iOS, baseado em Swift

    E alguém também mencionou a alternativa fechada com ORCHA 92% https://www.my28x.com/

    O que eu mais queria ver é um padrão de formato de dados
    Você deveria poder levar seus dados facilmente para outro app, e a troca também deveria ser simples se o app for antiético ou se um app OSS de que você gostava parar de ser atualizado
    Vários apps já oferecem exportação, então seria ótimo surgir um conversor que ligasse os apps proprietários populares a uma estrutura de dados comum

    • Ah, acabei de escrever errado
      Menstrude não era desde 2015, e sim desde 2025

  • A Meta só se importa com receita de anúncios, então fico pensando se eles pesquisaram ou já descobriram a relação entre o ciclo feminino e padrões de compra

    • Não concordo com a premissa de que a Meta só se importa com receita de anúncios
      Parece o tipo de empresa que vai atrás de qualquer receita que puder
      Podem até revender os mesmos dados para a Palantir ou para algo como o departamento de saúde do RFK Jr.
      Se alguém deixou de menstruar por algumas vezes e depois voltou de repente, dá para imaginar perfeitamente um cenário em que isso seja usado para acusá-la de aborto ilegal e terminar até em uma operação SWAT
    • Está brincando, né
      Existem correlações por toda parte, mesmo em nível bem trivial
      O exemplo mais óbvio é que, se a menstruação para, pode ser gravidez ou menopausa, e aí é bem provável que a compra de certos produtos de higiene feminina também pare
    • Isso é uma história bem antiga
      https://www.forbes.com/sites/kashmirhill/2012/02/16/how-target-figured-out-a-teen-girl-was-pregnant-before-her-father-did/

  • O Privacyguides tem recomendações de apps de saúde com foco em privacidade
    https://www.privacyguides.org/en/health-and-wellness/#menstrual-cycle-tracking

  • Só de pensar que informações como o momento do último orgasmo vão parar nas mãos da equipe do Mark Zuckerberg já dá arrepios
    Pelo que entendi como leigo, parece ter sido um caso em que conectaram o app ao pipeline padrão de vigilância ad-tech e passaram a enviar para a plataforma de segmentação da Meta conceitos como registro menstrual da usuária ou entrada em modo de gravidez, para aumentar a receita com anúncios

    Agora deu vontade de olhar até quem eram os executivos do Flo, qual era a formação industrial do conselho e do nível C
    Eu sei que correlação não é causalidade, mas fico curioso sobre que tipo de trajetória leva a uma violação de privacidade dessas

    Pela minha investigação assistida por IA, enviesada e limitada, essa violação durou de junho de 2016 a fevereiro de 2019, e a empresa parece ter sido desenhada basicamente como um negócio adjacente à saúde voltado para um mercado não regulado, fora da HIPAA, ainda que fosse majoritariamente um app de assinatura para consumidor final

    Os investidores tinham perfil de consumer subscription apps com loop de crescimento baseado em anúncios,
    o modelo de negócio fazia o app gratuito ou freemium crescer com aquisição paga nas plataformas de anúncios da Meta, Google e TikTok,
    para otimizar o gasto em anúncios era preciso mandar de volta eventos de conversão para essas plataformas,
    e esses SDKs foram projetados, por padrão, para sugar o máximo de dados possível

    Parece também que, durante o período da violação, não havia executivo de nível C responsável por Privacy/Data Protection

  • Não entendo por que alguém esperaria que um app não compatível com HIPAA protegesse privacidade em nível de dados médicos
    É verdade que o Flo traiu a confiança dos usuários, mas parece que essa confiança já estava mal colocada desde o começo

    • As pessoas já estão acostumadas a viver em um mercado fortemente regulado
      Quando você compra alface no mercado, não pergunta sob qual regime regulatório aquela alface está sendo vendida
      Você simplesmente acredita que, se está sendo vendida como alimento em uma loja, atende aos padrões sociais
      É como pedir carne crua pela Amazon e presumir que ela ainda vai obedecer aos padrões
      O problema é que apps de bem-estar são produtos projetados para existir fora do regime regulatório que as pessoas associam a esse tipo de coisa
    • Muita gente nem sabe o que é HIPAA
      Para nós, que somos mais ligados em tecnologia, isso pode parecer ingênuo, mas se um app relacionado à saúde está em uma app store curada, é natural presumir que ele também seja seguro para informações médicas
    • As pessoas só querem registrar isso, então não leem muito termos de uso nem verificam conformidade com HIPAA
      A disseminação desses apps vem de destaque na app store, recomendações e boca a boca, não de detalhes regulatórios
    • Mais da metade das pessoas provavelmente pensa algo como: Apple e Google disseram que meus dados estão seguros, então o app também deve estar; o que é HIPAA?

  • Eu não menstruo, então talvez não seja a pessoa mais indicada, mas parece realmente necessário haver uma alternativa FOSS sólida ao Flo
    Se houvesse mais mulheres no GNU, talvez isso já existisse

    • Há um resumo rápido das opções FOSS atuais aqui
      https://news.ycombinator.com/item?id=47936103
    • Apps FOSS parecidos com o Drip já existem no F-Droid há muito tempo
    • https://www.my28x.com/
      Ouvi recentemente uma apresentação dessa fundadora; é gratuito e focado no local, mas aparentemente não é OSS
      A nota do ORCHA é alta, mas ainda quero ver por mais tempo se esse modelo de negócio se sustenta
    • https://news.ycombinator.com/item?id=47934116
    • Quantas vezes mais precisamos ver a big tech desrespeitar a privacidade?
      A esta altura parece quase uma comédia
      Big tech rastreando até o ciclo menstrual das mulheres? Claro que está fazendo isso
      Se nem isso já basta para você achar isso repulsivo e procurar seriamente alternativas, não sei o que bastaria