Tribunal falla que Meta accedió a datos de salud femenina en la app Flo sin consentimiento

 (malwarebytes.com)
1 puntos por GN⁺ 2025-08-15 | 1 comentarios | Compartir por WhatsApp
  • Un tribunal determinó que Meta recopiló datos sensibles sin el consentimiento de las usuarias desde Flo Health, una app de seguimiento de la salud menstrual
  • Flo Health recopilaba datos muy personales de las usuarias, como ciclos menstruales, estado de ánimo e información sobre su vida sexual, y los compartió con varios terceros como Facebook y Google entre 2016 y 2019
  • Flo Health prometió a las usuarias privacidad y no compartir sus datos, pero en la práctica permitió que terceros usaran esa información libremente para otros fines
  • Ante esto, la Comisión Federal de Comercio de EE. UU. (FTC) ordenó a Flo Health una investigación y mejoras en sus políticas; Flo Health y Google ya llegaron a un acuerdo, pero Meta no aceptó conciliación hasta el final
  • En el contexto reciente del debate sobre el derecho al aborto en Estados Unidos, los riesgos de privacidad de los datos de salud femenina han quedado aún más expuestos

Resumen del caso de recopilación no autorizada de datos de usuarias de Flo Health por parte de Meta

  • Un jurado en Estados Unidos emitió un veredicto reconociendo que Meta recopiló información sensible sobre salud reproductiva de usuarias sin su consentimiento a través de la app de seguimiento de salud femenina Flo Health
  • Flo Health, lanzada en Bielorrusia en 2015, fue diseñada para rastrear datos muy detallados y personales sobre menstruación y estado de salud de las mujeres, y hoy cuenta con más de 150 millones de usuarias en todo el mundo

Cómo Flo Health recopiló y compartió los datos

  • Las usuarias de Flo Health respondían regularmente preguntas sumamente privadas sobre fechas de menstruación, cambios de ánimo, métodos anticonceptivos, satisfacción sexual y planes de embarazo
  • La app prometía explícitamente no compartir los datos ingresados por las usuarias con externos y entregar solo cierta información a empresas relacionadas cuando fuera necesario para prestar el servicio
  • Sin embargo, entre 2016 y 2019, Flo Health entregó ampliamente esta información personal a Facebook (hoy Meta), Google, AppsFlyer y Flurry, entre otros
    • Cada vez que se abría la app quedaba un registro de acceso, y toda la actividad dentro de la aplicación se registraba y se enviaba al exterior
    • Los terceros podían usar esa información también para fines distintos de la prestación del servicio

Problemas de políticas y confianza en Flo Health

  • Flo Health prometía confianza y protección de la privacidad a sus usuarias, pero en realidad no tenía ninguna restricción ni guía sobre cómo los terceros podían usar esos datos
  • Según los términos de uso de la app, se permitía que socios externos utilizaran libremente parte de los datos de las usuarias de Flo Health
  • En 2020, Flo Health indicaba ante sus 150 millones de usuarias que “la protección de los datos personales es nuestra máxima prioridad”, reforzando así la confianza

Responsabilidad legal y medidas de la FTC

  • Una usuaria real, Erica Frasco, presentó en 2021 una demanda colectiva contra Flo Health y empresas relacionadas, especialmente Meta
    • Los principales puntos en disputa incluyen violación de privacidad, incumplimiento de contrato, enriquecimiento injusto e infracción de leyes sobre información médica
    • Se reclamó compensación por daños y la devolución de ganancias obtenidas indebidamente
  • Flo Health y Google ya llegaron a un acuerdo con la parte demandante, pero Meta litigó hasta el final sin conciliar
  • El jurado reconoció que Meta interceptó o grabó conversaciones mediante un dispositivo electrónico y actuó sin el consentimiento de las usuarias

Contexto social e implicancias del caso

  • La Comisión Federal de Comercio de EE. UU. (FTC) impuso a Flo Health medidas correctivas como auditorías externas de políticas y prohibición del uso indebido de datos personales
  • Después de que la Corte Suprema de EE. UU. revocara el derecho al aborto en 2022, la privacidad de los datos de salud femenina se volvió un tema aún más crítico
  • Meta también generó controversia adicional al cooperar en 2022 con una investigación policial y entregar datos de mensajes relacionados con aborto entre una mujer y sus dos hijas
  • Según un reportaje de ProPublica, las farmacias en línea también comparten información sensible con Google y otras empresas, lo que implica el riesgo de que esos datos se usen como evidencia legal

Conclusión y alerta de seguridad

  • Muchas usuarias confiaban en Flo Health, pero tras revelarse cómo se manejaban realmente los datos, se profundizó la pérdida de confianza
  • Este caso no solo plantea la necesidad de evitar ciertas apps, sino que también vuelve a poner sobre la mesa el problema de la privacidad de los datos de salud personales y la confiabilidad tecnológica en general
  • La tecnología ofrece comodidad, pero cuando los datos se usan indebidamente puede generar riesgos reales para las usuarias

Lecturas relacionadas

1 comentarios

 
GN⁺ 2025-08-15
Comentarios en Hacker News

  • No es que me guste Facebook como empresa, pero creo que este fallo llegó a una conclusión equivocada. Si lees la demanda, la parte de que “interceptó o grabó usando un dispositivo electrónico” en realidad se refería a que “Flo envió eventos personalizados usando el Facebook SDK”. Flo merece críticas por haber enviado esa información a Facebook, pero concluir que Facebook “interceptó intencionalmente” esos datos no tiene ningún sentido. Como yo lo veo, Flo envió voluntariamente los datos menstruales a Facebook sin que este los pidiera, y Facebook incluso tenía una política que prohibía transmitir información sensible usando el SDK. Demandar a Facebook aquí es básicamente la misma lógica que demandar a Google porque algún médico guardó datos de pacientes en Google Drive

    • Documentos del caso relacionados

    • Documento de políticas del Facebook SDK página 6, línea 1

    • Si tomamos [1] como referencia, al principio el único demandado era Flo, así que es normal que no incluyera alegatos contra Facebook. Pero la demanda enmendada (3) sí incorpora nuevas acusaciones contra Facebook. Según esa versión, el problema es que Facebook siguió con esa conducta hasta 2021, incluso después de que el asunto se hiciera público en 2019; y que, aun después de que la FTC obligara a Flo a detenerlo e incluso tras iniciarse una investigación del Congreso, Facebook no revisó ni destruyó los datos que ya había recopilado indebidamente. Además, cabe esperar que durante el proceso de descubrimiento se hayan revelado pruebas más concretas sobre qué datos conocía Facebook y en qué medida

    • Esa es solo una parte de la historia. Si Facebook simplemente hubiera almacenado los datos que Flo le envió o los hubiera usado solo en nombre de Flo, sería otra cosa. El problema es que Facebook usó estos datos médicos con fines publicitarios y ni siquiera verificó por su cuenta si podía usarlos legalmente. Tenía la obligación de comprobarlo, y como no siguió ese proceso, por eso hubo un veredicto de culpabilidad

    • Está claro que Flo actuó mal al enviar esos datos a Facebook. Por eso Flo terminó llegando a un acuerdo en la demanda. Pero Facebook, después de recibir esa información, no se limitó a acumularla o ignorarla, sino que la combinó con otras señales propias y la aprovechó. Ese punto estaba en el centro mismo de la demanda contra Facebook

    • Creo que sí existe la responsabilidad de verificar si los datos son legales. Igual que no compras objetos robados, Meta también debería cuidarse de no asociarse con delincuentes. La mayor culpa es de Flo, pero Meta también tiene que demostrar que actuó con la diligencia debida. No basta con escudarse en los términos de servicio; lo importante es lograr que el usuario realmente entienda lo que está aceptando

    • En casos así, una decisión judicial de un juez es mucho mejor que un juicio con jurado. A un jurado común le cuesta entender bien detalles técnicos como SDK, intercambio de datos o APIs. En cambio, en litigios técnicos de alto nivel, muchas veces los jueces se involucran más en aprender conceptos de ingeniería y discutirlos con mayor profundidad

  • Cada vez que veo a alguien enfrentarse a Facebook en los tribunales, la imagen que me viene a la mente es la de un ratoncito peleando contra un oso polar. O un goblin contra un dragón, o una mosca contra un elefante. Estas megacorporaciones se parecen más a monstruos que casi no están sometidos al control de la ley. La única vez que de verdad sienten presión es cuando corren el riesgo de perder cuota de mercado o de ser bloqueadas en alguna región

    • Esto puede sonar mal, pero en realidad estas empresas no están fuera de la ley, sino dentro de ella. Porque con su dinero y su influencia pueden ajustar los propios límites de la ley a su conveniencia. Por más fuerte que sea el clamor sobre cómo debería aplicarse la ley, mientras puedan pagar el costo, siguen quedando dentro de lo “legal”

    • Lo que más me deprime es que casi todas las personas que conozco se preocupan por estos problemas de privacidad y aun así mantienen sus cuentas de Meta. Está bien usarlo si, según tu propio criterio, no te representa un problema. Todos somos inconsistentes a veces, eso es humano. Pero es rarísimo ver gente tan estricta con sus propias convicciones y al mismo tiempo tan extrañamente flexible al juzgar a los demás. Quiero mucho a la gente, pero a veces de verdad cuesta entenderla

    • Al final, incluso una multa de tres cifras por cada víctima pondría una presión enorme sobre Facebook

    • Todo el mundo culpa solo a Facebook, pero no parece haber el mismo ánimo para culpar a legisladores o tribunales. Si de verdad, por este tipo de cosas, cayeran multas de miles de millones que obligaran al gobierno a subastar hasta los servidores, las sillas y los proyectores de las oficinas de Facebook para recaudar efectivo, otras empresas dejarían de cometer ilegalidades y cambiarían su conducta bastante rápido

  • No creo que mucha gente haya leído bien el artículo. Quien realmente hizo algo mal fue la app Flo. El problema es que los desarrolladores de la app enviaron la información de los usuarios a Meta sin restricciones. Diga lo que diga el fallo, la verdadera culpa es de Flo

    • Flo hizo mal al subir información sensible a una base de datos en línea. Meta también hizo mal al proporcionar la infraestructura de base de datos para esos datos privados. Ambos hicieron algo moralmente reprochable

    • Si Meta recibió la información sin restricciones, entonces obviamente Meta terminó teniendo acceso. Si no tenía autorización para usar esos datos, lo normal sería exigir que Meta obtuviera primero un permiso explícito. El problema es que Meta accede sin consentimiento previo

  • Hace cinco años investigué el ecosistema de apps de iOS para entender las posibles fuentes de ingresos de las apps gratuitas. Un desarrollador lanzó una app gratuita que rastreaba datos de salud infantil y existía claramente la idea de que esos datos eran el verdadero valor de la app. Incluso estaba convencido de que la rentabilidad futura de la app dependía de vender esos datos. Desde entonces me quedó clarísimo que nunca debo usar apps que almacenen mi información personal, especialmente datos de salud, y que hay que desactivar todos los permisos posibles

    • De verdad no entiendo por qué alguien entregaría sus datos personales o de salud a empresas tan psicópatas. Me inquieta todo el contexto de usar apps o wearables para registrar datos de salud. Viendo el historial de estas compañías, hay que asumir que van a registrar cada detalle, venderlo y guardarlo para siempre

  • La conclusión es que lo mejor es no usar la app. En el 95% de los casos no vale la pena aceptar la invasión de privacidad que exigen

    • Mozilla tiene un recurso comparando apps para registrar la menstruación. Algunas de ellas sí intentan proteger la privacidad del usuario

    • Si un software realmente necesita conexión a internet, creo que el desarrollador debería demostrar primero por qué y por qué es razonable

    • No conozco mucho del tema, pero me pregunto si simplemente desactivar permisos como la ubicación no resolvería este problema

    • Lamentablemente, esa es la realidad

    • Totalmente cierto. Los usuarios siempre caen de la misma manera con el marketing de “¡nuevas funciones gratis!”. El resultado es una estructura en la que los modelos de negocio invasivos siguen funcionando una y otra vez

  • Una app que vale la pena recomendar a las mujeres es Drip.

    • Sitio oficial de Drip

    • Parece ser la más segura

    • La verdad, creo que con este tipo de cosas lo mejor sería alojarlo yo mismo y administrarlo directamente. Son datos que no quisiera confiarle a nadie. Aclaro que no tengo relaciones sexuales con hombres, pero aun así me preocupa

  • Mi esposa usa Flo. Cada vez que abre la app e ingresa información, desde un punto de vista técnico siento que eso es bastante riesgoso. Como estas apps manejan información realmente sensible, me hace ver aún más la necesidad de enseñarles a las personas no técnicas la importancia de la seguridad de la información

  • Por eso terminé adoptando una política de no instalar casi ninguna app en el teléfono, o usar solo las mínimas. Claro, los sitios web o webapps también pueden compartir información de forma similar, pero psicológicamente me da tranquilidad reducir los permisos de acceso al sistema. Personalmente, viendo varias conductas que LinkedIn ha mostrado con el tiempo, me sorprende que todavía siga en la app store

  • En noticias sobre privacidad, es difícil encontrar casos en los que Meta no esté involucrada

    • Creo que Google, Microsoft y Amazon están encantados con esta situación

  • Al final, algo solo cambiará cuando un vicepresidente o ejecutivo de ese nivel termine en la cárcel. Claro, en la práctica eso casi no va a pasar nunca