App de Seguimiento del Ciclo Menstrual con Privacidad Prioritaria

Antes de 2022, la mayoría de las usuarias estadounidenses no leían las políticas de privacidad de los rastreadores del ciclo. Tras el fallo Dobbs, muchas lo hicieron, a menudo por primera vez. La pregunta ya no era abstracta: ¿qué está almacenando realmente esta app, y qué podría pasarle a esos datos?

Esta es una guía de producto, no asesoramiento legal. Lista qué verificar cuando auditas cualquier rastreador del ciclo. No describe qué está o no protegido por ningún proceso legal específico. Si tienes preocupaciones legales, habla con un abogado habilitado donde vives.

Con ese enfoque establecido, esto es lo que debes comprobar.

Lo que cambió en el discurso, no en la matemática

Las prácticas criptográficas y de software que se describen a continuación existen desde hace años. Lo que cambió tras Dobbs es la visibilidad. Prácticas que antes eran detalles técnicos al margen ahora son compromisos declarados en primera plana de la app. Las apps que toman la privacidad en serio hablan de ello abiertamente; las que no lo hacen, a menudo guardan silencio.

Los siete criterios de esta guía representan lo que un rastreador orientado a la privacidad debería estar dispuesto a declarar en lenguaje claro.

Siete criterios a verificar

Una lista de verificación práctica antes de instalar cualquier rastreador del ciclo. Las apps más estrictas cumplen los siete.

• Cifrado de sobre AES-256-GCM. Cada usuaria tiene una clave de cifrado de datos (DEK) única envuelta por una clave maestra en un servicio de gestión de claves. Los datos en disco son texto cifrado; una brecha en el servidor expone texto cifrado, no datos del ciclo legibles.
• El derecho al borrado destruye la clave. Cuando eliminas tu cuenta, el proveedor destruye la DEK, no solo el registro en la base de datos. Con la clave destruida, el texto cifrado subyacente es permanentemente ilegible, incluido en cualquier copia de seguridad que lo contuviera.
• Ventana de borrado de 24 horas. El proveedor se compromete por escrito a completar el borrado en 24 horas tras la solicitud, incluidos los vectores de embeddings usados por las funciones de IA.
• Sin declaraciones médicas. Sin pronósticos de planificación familiar, sin declaraciones clínicas de ningún tipo, sin texto "día ROJO". Un rastreador de consumo que evita el encuadre médico tiene una superficie regulatoria y de divulgación mucho más estrecha.
• Sin contenido menstrual en notificaciones push. Los títulos y cuerpos de las notificaciones nunca contienen contenido de ciclo, período o planificación familiar. La vista previa en la pantalla de bloqueo es segura.
• Textos adaptados a la jurisdicción. Las usuarias de EE. UU. ven terminología neutra por defecto ("día del cuerpo", "registrar esto"); la app no presupone que la usuaria quiere ver la palabra "período" en pantalla.
• Consentimiento explícito y capturado por separado. El Artículo 9 del RGPD lo exige desde hace años; tras Dobbs, las usuarias estadounidenses empezaron a pedir lo mismo. El consentimiento agrupado o implícito no es suficiente.

Por qué los detalles de cifrado importan de verdad

Algunos de los criterios anteriores suenan técnicos. Importan porque cambian qué es recuperable.

Si un proveedor almacena datos del ciclo en texto plano, cada copia de seguridad, cada réplica y cada pipeline de análisis puede leerlos. Una solicitud de borrado puede eliminar el registro, pero los datos pueden sobrevivir en copias de seguridad durante meses o años.

Si el proveedor usa cifrado de sobre con claves por usuaria, los datos en disco son ilegibles sin la DEK de la usuaria. Cuando la DEK se destruye durante el borrado, el texto cifrado que permanece en las copias de seguridad también es ilegible, incluso si se restaura una copia. El borrado es matemáticamente real, no solo visible en la interfaz.

Esto no significa "no hackeable". La criptografía tiene límites, y cualquier proveedor que afirme seguridad absoluta o está mal informado o está mintiendo. Lo que hace el cifrado fuerte con gestión adecuada de claves es establecer un modo de fallo claro: los datos son ilegibles mientras las claves están protegidas, e ilegibles para siempre una vez que las claves son destruidas.

Lo que "sin contenido menstrual en push" significa realmente

La vista previa en la pantalla de bloqueo es una superficie de divulgación silenciosa. Las apps que envían "Tu período empieza mañana" como cuerpo de una notificación push han revelado datos del ciclo a cualquiera que vea el teléfono.

Un rastreador serio exige la ausencia de contenido menstrual en las notificaciones push durante la integración continua. El pipeline de build de Soulwise escanea títulos y cuerpos de notificaciones push contra una lista de términos prohibidos; cualquier build que contenga contenido menstrual o de planificación familiar en una notificación falla antes de desplegarse. La usuaria recibe prompts de ritual diario que dicen cosas como "Comienzo suave. ¿Qué tienes en el plato hoy?" - sin fase del ciclo, sin referencia al período, sin encuadre médico.

Solo local vs. nube cifrada: elige tu compromiso

Dos arquitecturas legítimas, modelos de amenaza diferentes.

Rastreadores solo locales (Drip, Euki). Los datos viven en tu dispositivo. No hay copia en la nube que requisar, pero tampoco sincronización entre dispositivos ni funciones de IA avanzadas. La copia de seguridad es tu problema; también lo son el robo del dispositivo y las copias de seguridad del sistema operativo (que pueden o no estar cifradas a nivel de SO).

Rastreadores cifrados en la nube (Soulwise, Clue y otros). Los datos se sincronizan entre dispositivos y alimentan las funciones de IA. La privacidad depende de las prácticas de cifrado y borrado del proveedor. El modelo de amenaza presupone un proveedor competente y una sólida postura de gestión de claves.

Ninguno es universalmente "más seguro". La respuesta correcta depende de lo que te preocupe. Solo local es la elección más difícil en términos de experiencia de usuario y la más sencilla en términos de superficie de datos. Nube cifrada es lo contrario.

Lo que deliberadamente no prometemos

Esta es una lista de afirmaciones ante las que deberías ser escéptica en cualquier texto de marketing:

• "No hackeable." Ningún sistema es no hackeable. Quien afirme esto te está vendiendo algo.
• "Tus datos están a salvo de las autoridades." Esta es una afirmación legal, no técnica. La afirmación técnica es "tus datos están cifrados en reposo y la clave se destruye al borrarlos." Las consecuencias legales de cualquier proceso específico solo puede abordarlas un abogado.
• "100 % seguro." Ver arriba. La seguridad es una propiedad de los modelos de amenaza, no un absoluto.
• "Privacidad garantizada." La privacidad es una práctica, no una garantía.

Los compromisos de privacidad de Soulwise son concretos y verificables. AES-256-GCM en reposo. DEK por usuaria envuelta por la clave maestra de KMS. Borrado en 24 horas incluidos los embeddings vectoriales. Sin contenido menstrual en push. Consentimiento explícito del Artículo 9 del RGPD. La página de privacidad de Soulwise enumera cada uno con la referencia de especificación técnica subyacente.

Por qué esto importa más allá del peor caso

El contexto post-Dobbs lleva a la gente a pensar en la privacidad de los rastreadores del ciclo en escenarios extremos. Los mismos criterios importan en situaciones mucho más comunes: un teléfono compartido con una compañera de piso, una pareja abusiva que usa el dispositivo, un empleador curioso que ve una notificación, una copia de seguridad que acaba en una cuenta familiar de iCloud.

Una privacidad sólida por defecto no es solo para el peor caso. Es para cada día.

La versión corta: el rastreador correcto es aquel cuyos compromisos de privacidad son específicos, verificables y declarados en lenguaje claro. Pide a cualquier app los siete criterios anteriores. Si un proveedor no puede responder con precisión, esa ya es la respuesta.