App de Rastreamento do Ciclo com Foco em Privacidade

Antes de 2022, a maioria das usuárias americanas não lia as políticas de privacidade dos rastreadores de ciclo. Após a decisão Dobbs, muitas o fizeram, frequentemente pela primeira vez. A questão não era mais abstrata: o que este aplicativo está realmente armazenando, e o que poderia acontecer com esses dados?

Este é um guia de produto, não um aconselhamento jurídico. Ele lista o que verificar ao auditar qualquer rastreador de ciclo. Não descreve o que é ou não é protegido por qualquer processo legal específico. Se você tiver preocupações jurídicas, fale com um advogado habilitado onde você mora.

Com esse enquadramento estabelecido, aqui está o que verificar.

O que mudou no discurso, não na matemática

As práticas criptográficas e de software descritas abaixo existem há anos. O que mudou após Dobbs é a visibilidade. Práticas que antes eram detalhes técnicos nos bastidores agora são compromissos declarados na frente do aplicativo. Aplicativos que levam a privacidade a sério falam sobre isso abertamente; aqueles que não o fazem, frequentemente não falam.

Os sete critérios deste guia representam o que um rastreador com foco em privacidade deveria estar disposto a declarar em linguagem clara.

Sete critérios para verificar

Uma lista de verificação prática antes de instalar qualquer rastreador de ciclo. Os aplicativos mais rigorosos atendem todos os sete.

• Criptografia de envelope AES-256-GCM. Cada usuária tem uma chave de criptografia de dados (DEK) única encapsulada por uma chave mestra em um serviço de gerenciamento de chaves. Os dados no disco são texto cifrado; uma violação do servidor expõe texto cifrado, não dados do ciclo legíveis.
• O direito ao apagamento destrói a chave. Quando você exclui sua conta, o fornecedor destrói a DEK, não apenas o registro no banco de dados. Com a chave destruída, o texto cifrado subjacente é permanentemente ilegível, incluindo em qualquer backup que o continha.
• Janela de apagamento de 24 horas. O fornecedor se compromete por escrito a concluir o apagamento em 24 horas após a solicitação, incluindo embeddings vetoriais usados pelos recursos de IA.
• Nenhuma afirmação médica. Nenhuma previsão de planejamento familiar, nenhuma afirmação clínica de qualquer tipo, nenhum texto "dia VERMELHO". Um rastreador de consumo que se mantém fora do enquadramento médico tem uma superfície regulatória e de divulgação muito mais estreita.
• Nenhum conteúdo menstrual em notificações push. Títulos e corpos de notificações nunca contêm conteúdo de ciclo, período ou planejamento familiar. A pré-visualização na tela de bloqueio é segura.
• Textos adaptados à jurisdição. Usuárias americanas veem terminologia neutra por padrão ("dia do corpo", "registrar isso"); o aplicativo não pressupõe que a usuária deseja ver a palavra "período" exibida.
• Consentimento explícito e capturado separadamente. O Artigo 9 do GDPR já exige isso há anos; após Dobbs, usuárias americanas começaram a pedir o mesmo. O consentimento agrupado ou implícito não é suficiente.

Por que os detalhes de criptografia realmente importam

Alguns dos critérios acima parecem técnicos. Eles importam porque mudam o que é recuperável.

Se um fornecedor armazena dados do ciclo em texto simples, cada backup, cada réplica e cada pipeline de análise pode lê-los. Uma solicitação de exclusão pode apagar o registro, mas os dados podem sobreviver em backups por meses ou anos.

Se o fornecedor usa criptografia de envelope com chaves por usuária, os dados no disco são ilegíveis sem a DEK da usuária. Quando a DEK é destruída durante a exclusão, o texto cifrado que permanece nos backups também é ilegível, mesmo se um backup for restaurado. A exclusão é matematicamente real, não apenas visível na interface.

Isso não significa "impossível de hackear". A criptografia tem limites, e qualquer fornecedor que afirme segurança absoluta está ou desinformado ou mentindo. O que a criptografia forte com gerenciamento adequado de chaves faz é estabelecer um modo de falha claro: os dados são ilegíveis enquanto as chaves estão protegidas, e ilegíveis para sempre assim que as chaves são destruídas.

O que "nenhum conteúdo menstrual nas push" realmente significa

A pré-visualização na tela de bloqueio é uma superfície de divulgação silenciosa. Aplicativos que enviam "Seu período começa amanhã" como corpo de uma notificação push revelaram dados do ciclo a qualquer pessoa que olhe para o telefone.

Um rastreador sério impõe a ausência de conteúdo menstrual em notificações push durante a integração contínua. O pipeline de build do Soulwise verifica títulos e corpos de notificações push em relação a uma lista de termos proibidos; qualquer build contendo conteúdo menstrual ou de planejamento familiar em uma notificação falha antes de ser implantado. A usuária recebe prompts de ritual diário que dizem coisas como "Começo suave. O que está no seu prato hoje?" - nenhuma fase do ciclo, nenhuma referência ao período, nenhum enquadramento médico.

Apenas local vs. nuvem criptografada: escolha seu compromisso

Duas arquiteturas legítimas, modelos de ameaça diferentes.

Rastreadores apenas locais (Drip, Euki). Os dados ficam no seu dispositivo. Não há cópia na nuvem para ser requisitada, mas também não há sincronização entre dispositivos e recursos de IA limitados. O backup é seu problema; o roubo de dispositivo e os backups do sistema operacional (que podem ou não ser criptografados no nível do SO) também são.

Rastreadores em nuvem criptografados (Soulwise, Clue e outros). Os dados sincronizam entre dispositivos e alimentam recursos de IA. A privacidade depende das práticas de criptografia e apagamento do fornecedor. O modelo de ameaça pressupõe um fornecedor competente e uma postura sólida de gerenciamento de chaves.

Nenhum é universalmente "mais seguro". A resposta certa depende do que você está preocupada. Apenas local é a escolha mais difícil em termos de experiência do usuário e a mais simples em termos de superfície de dados. Nuvem criptografada é o inverso.

O que deliberadamente não prometemos

Esta é uma lista de afirmações das quais você deve desconfiar em qualquer texto de marketing:

• "Impossível de hackear." Nenhum sistema é impossível de hackear. Qualquer pessoa que afirme isso está vendendo algo.
• "Seus dados estão seguros de autoridades policiais." Esta é uma afirmação jurídica, não técnica. A afirmação técnica é "seus dados são criptografados em repouso e a chave é destruída na exclusão." As consequências jurídicas de qualquer processo específico são algo que apenas um advogado pode abordar.
• "100% seguro." Veja acima. Segurança é uma propriedade de modelos de ameaça, não um absoluto.
• "Privacidade garantida." Privacidade é uma prática, não uma garantia.

Os compromissos de privacidade do Soulwise são concretos e verificáveis. AES-256-GCM em repouso. DEK por usuária encapsulada pela chave mestra KMS. Apagamento em 24 horas incluindo embeddings vetoriais. Nenhum conteúdo menstrual nas push. Consentimento explícito do Artigo 9 do GDPR. A página de privacidade do Soulwise lista cada um deles com a referência de especificação técnica subjacente.

Por que isso importa além do pior cenário

O contexto pós-Dobbs leva as pessoas a pensar na privacidade dos rastreadores de ciclo em cenários extremos. Os mesmos critérios importam em situações muito mais comuns: um telefone compartilhado com um colega de quarto, um parceiro abusivo que usa o dispositivo, um empregador curioso que vê uma notificação, um backup que acaba em uma conta iCloud familiar.

Privacidade sólida por padrão não serve apenas para o pior cenário. Serve para cada dia.

A versão resumida: o rastreador certo é aquele cujos compromissos de privacidade são específicos, verificáveis e declarados em linguagem clara. Pergunte a qualquer aplicativo pelos sete critérios acima. Se um fornecedor não conseguir responder de forma precisa, essa é a resposta.