Escándalo Grindr

Hace escasos días saltaba a los medios la noticia de que Grindr, la mayor aplicación de citas online para la comunidad LGTBQ, compartía sin permiso los datos de sus usuarios con terceras partes, incluyendo información sobre si el usuario se encuentra infectado por el virus VIH.

El experimento

STV (Televisión pública de Suecia) y SINTEF (organización noruega sin ánimo de lucro) llevaron a cabo el pasado 7 de febrero de 2018 un experimento para analizar cómo trataba Grindr los datos de sus usuarios. La versión inglesa del experimento.

Para ello, llevaron a cabo un experimento con dos terminales móviles, instalando la app en cada uno de ellos e interactuando con la misma. La actividad de red de estos dos terminales era monitorizada constantemente utilizando Wireshark para monitorizar el tráfico TCP/IP, Fiddler para capturar el tráfico HTTP y HTTPS y APKTool para descompilar la aplicación de Android y poder acceder a su código fuente.

Las conclusiones

Tras examinar la información, pudieron verificar que Grindr solicitaba, entre otros, los siguientes datos de sus usuarios:

• Geoposión
• Estado VIH y fecha de la última prueba
• Posición sexual
• Tipo de cuerpo
• Inclinación sexual
• Raza

De acuerdo con lo dispuesto en el artículo 8.1 de la aún vigente Directiva 95/46/CE, el tratamiento de los datos relativos a la salud o a la sexualidad deberá ser prohibido por los Estados miembros.

Adicionalmente, se establece la excepción de que podrán ser tratados con el consentimiento explícito para realizar dicho tratamiento. Al parecer Grindr sí solicitaría dicho consentimiento para tratar este tipo de datos.

Cifrado de los datos

No obstante, de acuerdo con el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (RLOPD), a los datos que Grindr trata les son aplicables medidas de seguridad de nivel alto.

Ello implica, entre otras medidas, el cifrado de la información, tanto cuando se encuentra en sus bases de datos como cuando esta información viaja por la red.

Al parecer, según los resultados del experimento, Grindr no estaría almacenando los datos de forma cifrada, ni garantizando que los mismos viajan por la red de esta forma.

¿Por qué se impone el cifrado de los datos?

Hasta el 25 de mayo, existe la obligación legal de cifrar los datos a los que les son aplicables medidas de seguridad de nivel alto.

No obstante, cuando el nuevo Reglamento de Protección de Datos de la Unión Europea resulte de aplicación, desaparecerá el catálogo de medidas de seguridad que recoge el RLOPD, siendo necesario, casi con toda seguridad en el caso de Grindr, realizar una evaluación de impacto en materia de protección de datos para adoptar las medidas de seguridad necesarias para mitigar los posibles riesgos para los derechos y libertades de los usuarios que implique el tratamiento de sus datos.

Puesto que Grindr es una aplicación pensada para el colectivo LGTBQ, cabe pensar que el simple conocimiento por parte de terceras partes no deseadas de que un determinado individuo es usuario de dicha red social, podría acarrear consecuencias para éste.

Estas consecuencias podrían ir desde la discriminación por razón de inclinación sexual, hasta problemas más serios en estados donde la homosexualidad está perseguida. Ni que decir tiene el resto de datos, como los resultados sobre la prueba del VIH.

Por ello, tras una evaluación de los riesgos, podríamos llegar a la conclusión de que todos los datos deberían permanecer cifrados, incluso durante su transporte por la red. En caso contrario, como en el experimento, los datos podrían ser capturados y analizados por terceras partes.

Comunicación a terceros

En el estudio también se detalla un listado de terceros a los cuales Grindr remite información sobre sus usuarios. Resulta especialmente llamativa la compartición de los resultados de la prueba del VIH a Apptimize y Localytics, o los datos relativos a la raza con Mopub utilizando un procolo HTTP no cifrado.

Al parecer, Grindr no estaría informando a sus usuarios acerca de la comunicación de datos a terceras partes ni las finalidades de las mismas. Del mismo modo, tampoco estaría solicitando el consentimiento para ello, por lo que estarían actuando en contra de lo dispuesto en la legislación actual, así como lo dispuesto en el nuevo Reglamento.

Si, como parece, la información de la investigación resultase cierta, de ser investigado este caso por la autoridad de control competente, es muy posible que Grindr se enfrente a cuantiosas sanciones económicas.

Adicionalmente, la compartición por parte de Grindr de información de sus usuarios sin cifrar, permite que terceras partes puedan averiguar quién está usando Grindr, donde se encuentran y cuál es su aspecto físico, lo que expone gravemente la privacidad de sus usuarios.