Grindr admitió haber compartido el estado de VIH de los demandantes con las empresas y se comprometió a dejar de hacerlo.
WIRED.- Grindr se enfrenta a una demanda colectiva de cientos de usuarios por compartir sus estados de VIH y más información personal sensible con empresas de terceros.
El bufete de abogados británico Austen Hays presentó ayer la demanda ante el Tribunal Superior de Londres. La demanda colectiva “alega el uso indebido de información privada de miles de usuarios afectados de Grindr en el Reino Unido, incluida información muy sensible sobre su estado serológico respecto del VIH y la fecha de su última prueba”, afirmó el bufete de abogados.
El bufete de abogados dijo que ha inscrito a más de 670 posibles miembros del grupo y “está en conversaciones con miles de otras personas interesadas en unirse al reclamo”. Austen Hays dijo que “los demandantes podrían recibir miles de dólares en daños y perjuicios” de Grindr, una aplicación de citas gay, si el caso tiene éxito.
Austen Hays alega que Grindr violó las leyes de protección de datos del Reino Unido al compartir datos confidenciales con fines comerciales sin el consentimiento de los usuarios, incluso cuando “procesó y compartió ilegalmente datos de los usuarios con terceros, incluidas las empresas de publicidad Localytics y Apptimize”.
Si bien Austen Hays describe a Localytics y Apptimize como empresas de publicidad, no parecen estar en el negocio de vender anuncios. Localytics es un software para análisis y marketing de aplicaciones móviles, mientras que Apptimize dice que proporciona pruebas A/B y gestión de lanzamiento de funciones.
Grindr admitió haber compartido estados de VIH y dijo que ha dejado de hacerlo
Grindr admitió haber compartido el estado serológico respecto del VIH de los demandantes con las empresas, pero enfatizó que no era con fines publicitarios y se comprometió a dejar de compartir esa información. El intercambio del estado serológico respecto del VIH salió a la luz en 2018 gracias al trabajo de investigadores independientes. En ese momento, Grindr dijo que “nunca ha vendido, ni venderá, información personal del usuario, especialmente información sobre el estado del VIH o la fecha de la última prueba, a terceros o anunciantes”.
Grindr dijo que “consultó con varias organizaciones sanitarias internacionales” antes de determinar en 2016 que sería “beneficioso para la salud y el bienestar de nuestra comunidad dar a los usuarios la opción de publicar, a su discreción, su estado de VIH y su ‘Fecha de la última prueba’ en su perfil público”.
Grindr reconoció que había estado “compartiendo información sobre el estado del VIH con nuestros proveedores de confianza, Apptimize y Localytics”. El software Apptimize ayudó a Grindr a probar e implementar nuevas funciones de la aplicación, incluida una función de “Recordatorio de prueba de VIH”, mientras que el software Localytics se utilizó “para confirmar que las nuevas funciones no estaban causando problemas con el funcionamiento de la aplicación Grindr”, dijo Grindr.
Hoy, Grindr proporcionó a Ars Technica una declaración en respuesta a la demanda. “Estamos comprometidos a proteger los datos de nuestros usuarios y cumplir con todas las regulaciones de privacidad de datos aplicables, incluso en el Reino Unido”, dijo la compañía. Grindr nunca ha compartido información de salud proporcionada por los usuarios con “fines comerciales” y nunca ha monetizado dicha información. Tenemos la intención de responder enérgicamente a esta afirmación, que parece basarse en una caracterización errónea de las prácticas de hace más de cuatro años, antes de principios de 2020″.
El bufete de abogados acusa que también se comparten datos sobre etnia y vida sexual
Austen Hays dice que su demanda va más allá de la simple información sobre el estado serológico del VIH. La firma alega que “también se pudo haber compartido información sobre el origen étnico de los usuarios y datos relacionados con su vida sexual y/u orientación sexual”. Las “violaciones de datos se produjeron principalmente antes del 3 de abril de 2018, y entre el 25 de mayo de 2018 y el 7 de abril de 2020, aunque pueden extenderse a periodos posteriores”, afirmó el despacho de abogados.
En su declaración de 2018, Grindr dijo que Apptimize y Localytics utilizaron la información sobre el estado del VIH y la fecha de la prueba “solo para brindar servicios a Grindr”.
“Cuando trabajamos con estos proveedores, restringimos los datos compartidos a lo que era apropiado para los servicios que brindan y los ciframos cuando se los proporcionamos a los contratistas”, dijo Grindr en ese momento. “Estos datos de los campos de estado del VIH se utilizaron para probar y respaldar el desarrollo de nuevas funciones, como nuestros Recordatorios de pruebas del VIH lanzados recientemente”.
Austen Hays aún no ha presentado una denuncia detallada, pero le proporcionó a Ars el formulario de reclamación que presentó ante el Tribunal Superior. “Los Demandantes alegan que, sin sus expectativas, conocimiento o consentimiento, los Demandados implementaron tecnología de seguimiento encubierta dentro de la aplicación Grindr para recopilar y compartir varias categorías de datos personales, incluidos datos personales altamente sensibles, con terceros”, dice el formulario.
Grindr fue castigado por Reino Unido y Noruega
El comunicado de prensa del bufete de abogados señala el hecho de que la Oficina del Comisionado de Información del Reino Unido (ICO) reprendió a Grindr en julio de 2022. La ICO descubrió “que Grindr no ha proporcionado información de privacidad eficaz y transparente a sus interesados en el Reino Unido en relación con el procesamiento de sus datos personales”, dice el fallo.
Las direcciones IP y los identificadores de publicidad fueron un punto central para la agencia del Reino Unido. “La ICO señala que Grindr no considera que la dirección IP o el ID de publicidad constituyan datos personales. Por lo tanto, no se reflejan como tales en la información de privacidad de Grindr. Sin embargo, la ICO mantiene que la dirección IP y el ID de publicidad de un interesado pueden constituir datos personales en determinadas circunstancias”, dice el fallo.
Grindr también fue multado en diciembre de 2021 por la Autoridad Noruega de Protección de Datos, que descubrió “que Grindr ha revelado datos de usuarios a terceros para publicidad comportamental” sin el consentimiento válido de los usuarios. “Los datos compartidos fueron ubicación GPS, dirección IP, ID de publicidad, edad, sexo y el hecho de que el usuario en cuestión estaba en Grindr. Los usuarios podrían identificarse a través de los datos compartidos y los destinatarios podrían potencialmente compartir más datos”, asentó el fallo.
La multa de la Autoridad Noruega de Protección de Datos, que ascendía a unos 6,2 millones de dólares, se confirmó en septiembre de 2023 cuando se rechazó una apelación de Grindr.
“Nuestros clientes han experimentado una angustia significativa por el hecho de que su información altamente sensible y privada se haya compartido sin su consentimiento y, como resultado, muchos han sufrido sentimientos de miedo, vergüenza y ansiedad”, dijo la abogada de Austen Hays, Chaya Hanoomanjee, en el anuncio de la firma.
