Seguiment del cicle amb la privadesa al centre després de Roe

Abans del 2022,, la majoria d'usuàries dels EUA no llegien les polítiques de privadesa de les aplicacions de seguiment del cicle. Després de la sentència Dobbs, moltes ho van fer, sovint per primer cop. La pregunta ja no era abstracta: què emmagatzema realment aquesta aplicació i què podria passar amb aquestes dades?

Aquesta és una guia de producte, no assessorament legal. Recull què cal mirar quan revises qualsevol aplicació de seguiment del cicle. No descriu què està o no està protegit davant de cap procés legal concret. Si tens dubtes legals, parla amb un advocat o advocada amb llicència al lloc on vius.

Amb aquest marc clar, vet aquí què has de comprovar.

En resum

• Després de la decisió Dobbs de 2022, els usuaris dels EUA van començar a llegir per primera vegada les polítiques de privacitat de les aplicacions de seguiment del cicle.
• Aquesta guia recull set criteris de producte per avaluar qualsevol app de seguiment del període: xifratge d'embolcall AES-256-GCM amb claus per usuari, dret a l'esborrament que destrueix la clau de xifratge en un termini de 24 hores, cap afirmació mèdica ni de planificació familiar, cap contingut menstrual a les notificacions push, textos adaptats a la jurisdicció (els usuaris dels EUA veuen «dia corporal» en lloc de «període»), una opció de mode anònim i el consentiment explícit segons l'article 9 del RGPD.
• L'article deixa clar que es tracta de criteris de producte, no d'assessorament legal: no descriu què està protegit o no davant de cap procés legal concret.

Què ha canviat en l'enfocament, no en les matemàtiques

Les pràctiques criptogràfiques i de programari que es detallen a continuació fa anys que existeixen. El que va canviar després de Dobbs és la visibilitat. Pràctiques que abans eren detalls amagats a les especificacions ara són compromisos ben visibles a l'aplicació. Les aplicacions que es prenen seriosament la privadesa en parlen obertament; les que no, sovint no ho faran.

Els set criteris d'aquesta guia són allò que un rastrejador que prioritza la privadesa hauria d'estar disposat a declarar amb paraules clares.

Set criteris que val la pena comprovar

Una llista pràctica abans d'instal·lar qualsevol seguidor de cicle. Les aplicacions més estrictes compleixen els set.

• Xifratge de sobre AES-256-GCM. Cada usuari té una clau de xifratge de dades (DEK) única, embolcallada per una clau mestra en un servei de gestió de claus. Les dades al disc són text xifrat; una bretxa al servidor exposa text xifrat, no dades del cicle llegibles.
• El dret a l'oblit destrueix la clau. Quan elimines el teu compte, el proveïdor destrueix la DEK, no només la fila de la base de dades. Sense la clau, el text xifrat subjacent és il·legible per sempre, fins i tot en qualsevol còpia de seguretat que el contingués.
• Finestra d'eliminació de 24 hores. El proveïdor es compromet per escrit a completar l'esborrat en un termini de 24 hores des de la sol·licitud, incloent-hi els vectors d'incrustació (embeddings) que fan servir les funcions d'IA.
• Cap afirmació mèdica. Cap pronòstic de planificació familiar, cap afirmació clínica de cap mena, cap text de "dia VERMELL". Un seguidor de consum que es manté al marge del marc mèdic té una superfície reguladora i de divulgació molt més estreta.
• Cap contingut menstrual a les notificacions push. Els títols i cossos de les notificacions push mai contenen contingut sobre el cicle, la regla o la planificació familiar. La previsualització a la pantalla de bloqueig és segura.
• Text conscient de la jurisdicció. Els usuaris dels EUA veuen terminologia neutra ("dia del cos", "registra-ho") per defecte; l'aplicació no dóna per fet que l'usuari vulgui que es mostri la paraula "regla".
• Consentiment explícit i recollit per separat. L'article 9 del RGPD fa anys que ho fa; després de Dobbs, els usuaris dels EUA van començar a demanar el mateix. El consentiment agrupat o implícit no n'hi ha prou.

Per què els detalls del xifratge importen de debò

Alguns dels criteris anteriors sonen tècnics. Importen perquè canvien què es pot recuperar.

Si un proveïdor desa les dades del cicle en text pla, cada còpia de seguretat, cada rèplica i cada canalització d'analítica les poden llegir. Una sol·licitud d'esborrament pot eliminar la fila, però les dades poden sobreviure a les còpies de seguretat durant mesos o anys.

Si el proveïdor fa servir xifratge d'envoltori amb claus per usuari, les dades del disc són il·legibles sense la DEK de l'usuari. Quan la DEK es destrueix durant l'esborrament, el text xifrat que queda a les còpies de seguretat també és il·legible, fins i tot si es restaura una còpia. L'esborrament és matemàticament real, no només visible a la interfície.

Això no vol dir que sigui "impossible de piratejar". La criptografia té límits, i qualsevol proveïdor que afirmi una seguretat absoluta està mal informat o menteix. El que fa un xifratge fort amb una bona gestió de claus és establir un mode de fallada clar: les dades són il·legibles mentre les claus estiguin protegides, i il·legibles per sempre un cop les claus es destrueixen.

Què vol dir realment "cap contingut menstrual a les notificacions push"

La vista prèvia a la pantalla de bloqueig és una superfície de divulgació silenciosa. Les aplicacions que envien "El teu període comença demà" com a cos d'una notificació push han revelat dades del cicle a qualsevol que doni un cop d'ull al telèfon.

Un rastrejador seriós imposa l'absència de contingut menstrual a les notificacions push durant la integració contínua. El procés de compilació de Soulwise escaneja les cadenes de títol i de cos de les push contra una llista de termes prohibits; qualsevol compilació que contingui contingut menstrual o de planificació familiar en una push falla abans de publicar-se. L'usuari rep avisos de ritual diari que diuen coses com ara "Comença suau. Què tens entre mans avui?" — sense fase del cicle, sense referències al període, sense enfocament mèdic.

Només local vs. núvol xifrat: tria el teu equilibri

Dues arquitectures legítimes, models d'amenaça diferents.

Rastrejadors només locals (Drip, Euki). Les dades viuen al teu dispositiu. No hi ha cap còpia al núvol que es pugui requerir judicialment, però tampoc cap sincronització entre dispositius ni gaire funcions d'IA. La còpia de seguretat és cosa teva; igual que el robatori del dispositiu i les còpies del sistema operatiu (que poden estar xifrades, o no, a nivell del SO).

Rastrejadors al núvol xifrat (Soulwise, Clue, d'altres). Les dades se sincronitzen entre dispositius i alimenten les funcions d'IA. La privadesa depèn de les pràctiques de xifratge i d'esborrat del proveïdor. El model d'amenaça pressuposa un proveïdor competent i una gestió de claus sòlida.

Cap dels dos és universalment «més segur». La resposta encertada depèn d'allò que et preocupi. Només local és l'opció més difícil pel que fa a l'experiència d'usuari i la més senzilla pel que fa a la superfície de dades. El núvol xifrat és el contrari.

El que deliberadament no et prometem

Aquesta és una llista de coses de les quals hauries de desconfiar en qualsevol text de màrqueting:

• «Impossible de hackejar.» Cap sistema és impossible de hackejar. Qui afirmi això t'està venent alguna cosa.
• «Les teves dades estan fora de l'abast de les forces de l'ordre.» Aquesta és una afirmació legal, no tècnica. L'afirmació tècnica és «les teves dades estan xifrades en repòs i la clau es destrueix en eliminar-les». Les conseqüències legals de qualsevol procés concret són una cosa que només un advocat pot abordar.
• «100% segur.» Vegeu més amunt. La seguretat és una propietat dels models d'amenaça, no un absolut.
• «Privadesa garantida.» La privadesa és una pràctica, no una garantia.

Els compromisos de privadesa de Soulwise són concrets i falsables. AES-256-GCM en repòs. DEK per usuari embolcallada per la clau mestra de KMS. Esborrat en 24 hores, incloses les incrustacions vectorials. Cap contingut menstrual a les notificacions push. Consentiment explícit segons l'article 9 del GDPR. La pàgina de privadesa de Soulwise detalla cadascun d'ells amb la referència a l'especificació subjacent.

Per què això importa més enllà del pitjor escenari

El marc posterior a Dobbs empeny la gent a pensar en la privadesa dels rastrejadors de cicle en escenaris extrems. Els mateixos criteris compten en situacions molt més habituals: un telèfon compartit amb un company de pis, una parella abusiva que agafa el dispositiu, un cap tafaner que veu una notificació, una còpia de seguretat que acaba en un compte d'iCloud familiar.

Una privadesa sòlida per defecte no és només per al pitjor cas. És per a cada dia.

La versió curta: el rastrejador adequat és aquell els compromisos de privadesa del qual són concrets, refutables i expressats amb un llenguatge clar. Demana a qualsevol aplicació els set criteris anteriors. Si un proveïdor no et pot respondre amb claredat, aquesta és la resposta. Per a una comparativa directa amb el referent més popular, mira la guia d'alternatives a Flo centrades en la privadesa; per als valors per defecte inclusius que es deriven dels mateixos principis, mira Rastrejador de cicle per a persones no binàries.

Preguntes freqüents

Aquest article és assessorament legal?

No. Són criteris de producte per avaluar aplicacions de consum. Si tens dubtes legals concrets sobre les dades del cicle, consulta un advocat habilitat a la teva jurisdicció. Res del que diu aquest article descriu què està protegit, o no, davant de cap procés legal específic.

Per què va canviar la percepció de la privadesa després de Dobbs?

La sentència Dobbs de 2022 va retornar la regulació de l'avortament a cada estat dels EUA, alguns dels quals ara el restringeixen o el criminalitzen en determinades circumstàncies. Això va canviar com pensa la gent sobre qualsevol rastre digital de dades menstruals o d'embaràs, i va convertir la privadesa dels rastrejadors de cicle en un criteri de compra conscient per a moltes usuàries per primera vegada.

Què és el «xifratge de sobre» i per què importa?

El xifratge de sobre embolcalla la clau de xifratge de dades (DEK) de cada usuària dins d'una clau mestra custodiada per un servei de gestió de claus. Les dades de l'usuària al disc es xifren amb la seva DEK; una intrusió al servidor exposa text xifrat, no dades de cicle llegibles. En eliminar la DEK quan s'esborra, el text xifrat queda il·legible per sempre.

Els rastrejadors només locals són més segurs que els de núvol xifrats?

Són equilibris diferents. Els rastrejadors només locals (Drip, Euki) guarden les dades al teu dispositiu, cosa que limita l'exposició al núvol però no protegeix el dispositiu en si. Els rastrejadors de núvol xifrats (Soulwise) permeten sincronització i funcions d'IA a canvi de confiar en el xifratge i les pràctiques d'esborrat del proveïdor. Cap dels dos és universalment «més segur»: la qüestió és quina amenaça et preocupa més.