App per il Ciclo Mestruale con Privacy Prioritaria

Prima del 2022, la maggior parte delle utenti americane non leggeva le politiche sulla privacy dei tracker mestruali. Dopo la sentenza Dobbs, in molte lo fecero, spesso per la prima volta. La domanda non era più astratta: cosa sta memorizzando davvero questa app e cosa potrebbe succedere a quei dati?

Questa è una guida al prodotto, non una consulenza legale. Elenca cosa verificare quando analizzi qualsiasi tracker del ciclo. Non descrive cosa è o non è protetto da specifici procedimenti legali. Per preoccupazioni legali, parla con un avvocato abilitato dove vivi.

Con questa premessa, ecco cosa controllare.

Cosa è cambiato nel linguaggio, non nella matematica

Le pratiche crittografiche e software descritte di seguito esistono da anni. Ciò che è cambiato dopo Dobbs è la loro visibilità. Pratiche che un tempo erano dettagli tecnici nascosti sono ora impegni espliciti dichiarati nell'app. Le app che prendono sul serio la privacy ne parlano apertamente; quelle che non lo fanno, spesso non ne parlano affatto.

I sette criteri in questa guida sono ciò che un tracker privacy-oriented dovrebbe essere disposto a dichiarare in linguaggio chiaro.

Sette criteri da verificare

Una checklist pratica prima di installare qualsiasi tracker del ciclo. Le app più rigorose soddisfano tutti e sette.

• Cifratura envelope AES-256-GCM. Ogni utente ha una chiave di cifratura dei dati (DEK) univoca avvolta da una chiave master in un servizio di gestione delle chiavi. I dati su disco sono testo cifrato; una violazione del server espone testo cifrato, non dati del ciclo leggibili.
• Il diritto alla cancellazione distrugge la chiave. Quando elimini il tuo account, il fornitore distrugge la DEK, non solo il record nel database. Con la chiave eliminata, il testo cifrato sottostante è permanentemente illeggibile, incluso in qualsiasi backup che lo contenesse.
• Finestra di cancellazione di 24 ore. Il fornitore si impegna per iscritto a completare la cancellazione entro 24 ore dalla richiesta, inclusi gli embedding vettoriali usati dalle funzionalità AI.
• Nessuna dichiarazione medica. Nessuna previsione di pianificazione familiare, nessuna dichiarazione clinica di alcun tipo, nessun testo "giorno ROSSO". Un tracker consumer che evita il linguaggio medico ha una superficie regolamentare e di divulgazione molto più ridotta.
• Nessun contenuto mestruale nelle notifiche push. I titoli e i corpi delle notifiche non contengono mai contenuti relativi al ciclo, al periodo mestruale o alla pianificazione familiare. L'anteprima sulla schermata di blocco è sicura.
• Testo adattato alla giurisdizione. Le utenti americane vedono per impostazione predefinita una terminologia neutrale ("giorno del corpo", "registra questo"); l'app non presuppone che l'utente voglia visualizzare la parola "periodo".
• Consenso esplicito e acquisito separatamente. L'Articolo 9 del GDPR lo prevede da anni; dopo Dobbs, le utenti americane hanno iniziato a richiederlo. Il consenso aggregato o implicito non è sufficiente.

Perché i dettagli della cifratura contano davvero

Alcuni dei criteri sopra sembrano tecnici. Contano perché cambiano cosa è recuperabile.

Se un fornitore archivia i dati del ciclo in chiaro, ogni backup, ogni replica e ogni pipeline di analisi può leggerli. Una richiesta di cancellazione può eliminare il record, ma i dati possono sopravvivere nei backup per mesi o anni.

Se il fornitore usa la cifratura envelope con chiavi per utente, i dati su disco sono illeggibili senza la DEK dell'utente. Quando la DEK viene distrutta durante la cancellazione, il testo cifrato che rimane nei backup è anch'esso illeggibile, anche se un backup viene ripristinato. La cancellazione è matematicamente reale, non solo visibile nell'interfaccia.

Questo non significa "non violabile". La crittografia ha limiti, e qualsiasi fornitore che afferma una sicurezza assoluta è o mal informato o sta mentendo. Ciò che fa la cifratura robusta con una corretta gestione delle chiavi è stabilire una modalità di fallimento chiara: i dati sono illeggibili finché le chiavi sono protette, e illeggibili per sempre una volta distrutte le chiavi.

Cosa significa davvero "nessun contenuto mestruale nelle push"

L'anteprima sulla schermata di blocco è una superficie di divulgazione silenziosa. Le app che inviano "Il tuo periodo inizia domani" come corpo di una notifica push hanno rivelato dati del ciclo a chiunque guardi il telefono.

Un tracker serio impone l'assenza di contenuto mestruale nelle notifiche push durante il processo di integrazione continua. La pipeline di build di Soulwise scansiona i titoli e i corpi delle notifiche push confrontandoli con una lista di termini vietati; qualsiasi build che contenga contenuto mestruale o di pianificazione familiare in una notifica fallisce prima di essere distribuita. L'utente riceve prompt di rituale quotidiano che dicono cose come "Avvio graduale. Cos'hai in programma oggi?" - nessuna fase del ciclo, nessun riferimento al periodo, nessun linguaggio medico.

Solo locale vs cloud cifrato: scegli il tuo compromesso

Due architetture legittime, modelli di minaccia diversi.

Tracker solo locali (Drip, Euki). I dati vivono sul tuo dispositivo. Non c'è copia cloud da acquisire, ma neanche sincronizzazione tra dispositivi e funzionalità AI limitate. Il backup è un tuo problema; lo è anche il furto del dispositivo e i backup del sistema operativo (che potrebbero o meno essere cifrati a livello OS).

Tracker cloud cifrati (Soulwise, Clue e altri). I dati si sincronizzano tra dispositivi e alimentano le funzionalità AI. La privacy dipende dalle pratiche di cifratura e cancellazione del fornitore. Il modello di minaccia presuppone un fornitore competente e una solida postura di gestione delle chiavi.

Nessuno è universalmente "più sicuro". La risposta giusta dipende da cosa ti preoccupa. Solo locale è la scelta più difficile in termini di esperienza utente e la più semplice in termini di superficie dei dati. Cloud cifrato è l'inverso.

Cosa deliberatamente non promettiamo

Questa è una lista di affermazioni di cui dovresti diffidare in qualsiasi testo di marketing:

• "Impossibile da violare." Nessun sistema è inviolabile. Chi afferma questo ti sta vendendo qualcosa.
• "I tuoi dati sono al sicuro dalle forze dell'ordine." Questa è un'affermazione legale, non tecnica. L'affermazione tecnica è "i tuoi dati sono cifrati at rest e la chiave viene distrutta alla cancellazione." Le conseguenze legali di qualsiasi procedimento specifico sono qualcosa che solo un avvocato può affrontare.
• "100% sicuro." Vedi sopra. La sicurezza è una proprietà dei modelli di minaccia, non un assoluto.
• "Privacy garantita." La privacy è una pratica, non una garanzia.

Gli impegni sulla privacy di Soulwise sono concreti e verificabili. AES-256-GCM at rest. DEK per utente avvolta dalla chiave master KMS. Cancellazione entro 24 ore inclusi gli embedding vettoriali. Nessun contenuto mestruale nelle push. Consenso esplicito ai sensi dell'Articolo 9 del GDPR. La pagina privacy di Soulwise elenca ciascuno di questi impegni con il riferimento alle specifiche tecniche sottostanti.

Perché questo conta anche al di là del caso peggiore

Il contesto post-Dobbs spinge le persone a pensare alla privacy dei tracker del ciclo in scenari estremi. Gli stessi criteri contano in situazioni molto più comuni: un telefono condiviso con un coinquilino, un partner abusivo che usa il dispositivo, un datore di lavoro curioso che vede una notifica, un backup che finisce in un account iCloud familiare.

Una privacy solida per impostazione predefinita non serve solo per il caso peggiore. Serve ogni giorno.

La versione breve: il tracker giusto è quello i cui impegni sulla privacy sono specifici, verificabili e dichiarati in linguaggio chiaro. Chiedi a qualsiasi app i sette criteri sopra. Se un fornitore non riesce a rispondere in modo preciso, questa è già la risposta.