El objetivo de las citas online es encontrar una pareja romántica, ya sea para una noche o para toda la vida. Eso significa que, a diferencia de las redes sociales, por ejemplo, la mayoría de las personas no utilizan sus cuentas durante un periodo prolongado de tiempo. Entonces, ¿qué pasa con los perfiles de citas online después de cerrarlos?
La empresa de privacidad y seguridad digital Avast advierte que si alguien ha utilizado un sitio o una aplicación de citas online, en realidad les ha dado mucha información.
Sitios como OkCupid y Match.com son explícitos al respecto, pues hacen un catálogo de preguntas a sus usuarios para (con suerte) ofrecerle una pareja amorosa.
Sitios como Tinder y Grindr, en cambio, recogen mucha información en segundo plano, a menudo sin que el usuario lo sepa. Y todas afirman utilizar la Inteligencia Artificial para encontrar a la persona adecuada para cada miembro.
“La Inteligencia Artificial es una palabra de moda. Es como esta bola brillante que estas empresas están utilizando para el marketing. Está bien para los juguetes de mascotas o algo así, pero cuando se ingresa en las aplicaciones de citas, el usuario no sabe qué se está recopilando ni por qué ni cómo está afectando a su forma de salir”, explicó Jen Caltrider, investigadora principal de la guía Privacy Not Included, de Mozilla.
Agregó que la Inteligencia Artificial requiere muchos datos para funcionar, lo que explica que los sitios de citas recopilen tantos. Necesitan esos datos para mejorar sus servicios con el fin de ganar más clientes y, en algunos casos, para vender anuncios o compartir la información de los usuarios con terceros corredores de datos.
“Como todas las cosas, todo se reduce a dinero”, advirtió Caltrider. “Ganan dinero recopilando sus datos y vendiéndolos”.
Caltrider también señaló que estos sitios, como muchas empresas, no son inmunes a las amenazas de seguridad. “Casi todos los sitios o aplicaciones de citas importantes han visto sus datos comprometidos en algún momento”.
Entonces, si un usuario ha entregado mucha información extremadamente personal a un sitio o aplicación de citas, ¿qué sucede cuando ese usuario abandona la aplicación o el sitio? Emma McGowan, experta en seguridad de Avast, realizó un análisis y llegó a las siguientes conclusiones:
¿Qué datos recogen los perfiles de las citas online?
Hay muchos sitios y aplicaciones de citas online, así que McGowan se centró en los principales: Match Group (que incluye, entre otros, OkCupid, Match.com, Tinder, Hinge y PlentyOfFish), Grindr, Bumble y Spark Networks, que incluye Jdate y ChristianMingle.
El Grupo Match es masivo y abarca nueve sitios y aplicaciones, incluyendo algunos de los más populares. Cada servicio recoge datos ligeramente diferentes para proporcionar resultados ligeramente diferentes. Por ejemplo, Match.com suele ser para personas que buscan una pareja para toda la vida, mientras que Tinder suele ser más para citas a corto plazo, y los datos que necesitan para ofrecer estos resultados son diferentes. Como mínimo, se puede esperar que un sitio o aplicación de Match Group conozca el sexo del usuario, su ubicación y preferencias sexuales/románticas.
Match Group asegura que no comparte su información entre sus marcas con fines comerciales a menos que el usuario se lo pida, pero también dice en su política de privacidad que puede compartir esa información dentro del Grupo Match para “fines limitados y críticos, incluyendo para auditorías corporativas, análisis e informes consolidados, para cumplir con la ley aplicable y para ayudar a mantener a nuestros usuarios seguros.” Y la guía Privacidad no incluida para Tinder señala que no tienen un gran historial en esta área.
¿Qué datos recoge Grindr?
Grindr solicita mucha información personal, incluida la obvia (nombre, correo electrónico, número de teléfono, fecha de nacimiento, estado del VIH, ubicación, fotos y videos) y la menos obvia (información técnica que incluye la actividad del usuario, información de hardware y software, actividad de sensores y cookies, y “otras tecnologías de seguimiento”). Y a pesar de que su base de usuarios es a menudo vulnerable, especialmente en países con leyes anti-LGBTQIA+, Grindr no tiene un gran historial cuando se trata de mantener toda esa información a salvo, al menos bajo sus anteriores propietarios. Esto es especialmente preocupante si se tiene en cuenta lo común que es en la aplicación la desnudez, que no es un problema en sí misma, pero que abre la posibilidad de exposición. Los nuevos propietarios de Grindr han puesto en marcha una nueva plataforma de gestión del consentimiento en abril de 2020, que incluye sus prácticas de intercambio de datos y sus plazos de retención de datos. La compañía ha dicho que están conservando los datos durante un periodo de tiempo más corto, lo cual es una mejor noticia para los usuarios, ya que cuanto menos tiempo permanezcan las fotos y los mensajes en un servidor, menos probable será que alguien inesperado los encuentre.
¿Qué datos recogen Jdate y ChristianMingle?
Jdate y ChristianMingle son dos sitios de citas centrados en la religión y propiedad de Spark Networks. Jdate es un sitio de citas para personas de la diáspora judía que buscan salir con otros judíos y ChristianMingle es lo mismo para los cristianos.
Según la política de privacidad de Jdate, recogen información de contacto, como el nombre, la dirección de correo electrónico, el número de teléfono y la dirección.
También recopilan información “sensible”, como las preferencias y experiencias sexuales, las afiliaciones políticas, las afiliaciones religiosas, las afiliaciones sindicales y “cualquier información biométrica que proporcionen”. Luego están los datos específicos para las citas y el pago. Esto incluye la fecha de nacimiento, los videos, la contraseña, la información de facturación, la información de la tarjeta de crédito, la información demográfica, el lugar de trabajo o educación, los intereses y antecedentes personales, el género, la edad, la preferencia del rango de edad de las citas, las características físicas, la descripción personal, las experiencias vitales, la ubicación geográfica y las fotos.
ChristianMingle existe desde 2001, lo que significa que es muy posible que los hijos de las personas que se conocieron en el sitio están ahora allí. En otras palabras: tienen muchos datos de los usuarios, como el nombre, el sexo, la fecha de nacimiento, el código postal, al menos una foto, el estado civil, la asistencia a la iglesia, la ocupación, si desean tener hijos, una descripción, los intereses, lo que busca el usuario, la información de pago, el comportamiento del usuario en el sitio, cualquier contenido y metadatos en fotos y videos, y el contenido de los mensajes.
¿Qué datos recoge Bumble?
Bumble es otra aplicación de deslizamiento que se fundó cuando una de las cofundadoras de Tinder se separó de esa empresa y formó la suya propia, con el objetivo de satisfacer las necesidades de los usuarios. Recogen los nombres de los usuarios, al menos una foto, la fecha de nacimiento, el sexo, el tipo de conexión que buscan, la ocupación, la educación, si están interesados en tener citas durante la pandemia del Covid, la ciudad, la localidad de origen, el ejercicio, el signo del zodíaco, el consumo de alcohol, el tabaquismo, las mascotas, lo que el usuario busca, si quiere tener hijos o no, la religión, la postura política y el contenido de los mensajes.
Según la política de privacidad de Bumble, no “venden” los datos de los usuarios, según la definición legal de “vender”, pero sí comparten datos demográficos y de localización con terceros anunciantes. También comparten datos no personales con terceros para “investigación y análisis”.
¿Y los borran?
¿Y qué ocurre con los perfiles de citas en línea cuando los abandonó? ¿Los perfiles de citas online borran los datos del usuario?
Por desgracia, la respuesta no es tan clara. McGowan se puso en contacto con todos los sitios y aplicaciones mencionados y sólo recibió una respuesta del Grupo Match. Su representante se remitió a sus “Principios de Privacidad”, que establece: “Una vez que eliminas tu cuenta, ésta deja de ser visible en el servicio. A partir de ahí, eliminamos la información en función de nuestros intereses legítimos, incluidos los requisitos legales para conservar los datos con fines de litigio y el trabajo para eliminar a los malos actores y mantenerlos fuera de nuestras plataformas”.
Cuando McGowan señaló que esto no respondía realmente a su pregunta, que era “¿Qué ocurre si alguien deja una cuenta inactiva?”, no obtuvo respuesta. Y una lectura más detenida del texto que se le envió ni siquiera responde realmente a lo que ocurre cuando alguien borra su cuenta. ¿Sigue Match teniendo todos esos datos? Desgraciadamente, en este momento no es posible afirmar definitivamente ninguna de las dos posibilidades.
La política de privacidad de Grindr es más explícita sobre lo que ocurre con determinados tipos de datos en su plataforma. Por ejemplo, los mensajes no se almacenan en los servidores más de 48 horas después de su entrega. También eliminan los mensajes de video después de 14 días y las imágenes desidentificadas después de 120 días.
Si alguien elimina su cuenta, Grindr expulsa básicamente todo lo relacionado con él al cabo de siete días: dirección de correo electrónico, número de teléfono, nombre para mostrar, sobre mí, edad, altura, peso, tipo de cuerpo, posición, etnia, estado civil, tribus, información de búsqueda, información de Meet At, etiquetas, interés en fotos NSFW, género, pronombres, estado de VIH, fecha de la última prueba de ITS, foto de perfil, cualquier red social vinculada, ubicación e ID de publicidad.
Spark Networks, propietaria de Jdate y ChristianMingle, tiene su sede en Alemania, lo que significa que está sujeta al Reglamento General de Protección de Datos (GDPR) de Europa. Aunque la política de privacidad de Spark Networks no dice explícitamente nada sobre la retención de datos, sí describe el hecho de que los usuarios tienen el derecho a ser olvidados. Esto significa que si el usuario solicita que se eliminen sus datos, están legalmente obligados a hacerlo. Sin embargo, no responde a la pregunta de qué ocurre si alguien deja una cuenta inactiva.
Por último, Bumble afirma que elimina los datos de los usuarios de sus sistemas a partir de los 28 días de su desactivación. Pero dicen que conservan cualquier información que puedan necesitar para fines legales (cómo cumplir con la legislación aplicable, resolver reclamaciones o disputas pendientes, prevenir el fraude o el abuso en la plataforma) y no dicen nada sobre las cuentas que se dejan inactivas. Aunque, como muchas de las otras plataformas de citas, Bumble dice que sólo conservan los datos de los usuarios mientras los necesitan legalmente y según lo permita la ley.
¿Pueden los usuarios borrar sus datos en apps y sitios de citas inactivos?
Una de las mejores formas, y también a menudo la más complicada, de protegerse en Internet es eliminar las cuentas antiguas y, si es posible, borrar todos los datos que esa cuenta haya recopilado sobre uno. Pero no todo el mundo tiene los mismos derechos.
“Si una persona vive en California, por ejemplo, está protegida por la CCPA y tiene derecho legal a que se borren todos los datos. En Europa y el Reino Unido, están protegidos por el GDPR y también tienen ese derecho. Si el usuario se encuentra en otros lugares, también debe solicitar que se eliminen sus datos y ver cómo responden. Algunas empresas cumplirán sin dudarlo, mientras que es posible que tenga que defender sus derechos ante otras”, como advierte Emma McGowan.
Si un usuario no está seguro de qué sitios ha utilizado en el pasado, puede seguir estas instrucciones sobre cómo encontrar cuentas antiguas o utilizar un servicio como BrandYourself, que tiene una herramienta de privacidad que se pondrá en contacto con las cuentas antiguas asociadas a su dirección de correo electrónico y solicitará su eliminación.