Estudios revelan que varios portales de salud estatales en EE.UU. envían información personal y de medicamentos a plataformas como Google, LinkedIn y Snapchat sin conocimiento de los usuarios, poniendo en riesgo su privacidad.
Esta práctica, descubierta por el medio The Markup y CalMatters, ha generado preocupación entre expertos en #privacidad y protección de datos.
Estos sitios web, creados bajo la Ley de Cuidado Asequible (Affordable Care Act), solicitan a los usuarios responder una serie de preguntas relacionadas con su estado de salud, medicamentos que toman, condiciones médicas, y antecedentes médicos.
La finalidad de estos formularios es ofrecer a los visitantes la información más relevante sobre los planes de seguro disponibles. Sin embargo, investigaciones recientes indican que, en algunos casos, cuando los usuarios proporcionaban información delicada, los rastreadores invisibles integrados en estas páginas enviaban estos datos a terceros sin el consentimiento explícito de los usuarios.
Un ejemplo destacado es el portal Nevada Health Link, que pide a los visitantes que indiquen qué medicamentos usan, incluyendo nombres y dosis, para recomendar las mejores opciones de seguros.
Durante las pruebas realizadas en abril y mayo, se constató que los datos ingresados en estos formularios, como medicamentos para la depresión, anticonceptivos o terapias hormonales, eran transmitidos a plataformas como LinkedIn y Snapchat.
Esto significa que información altamente sensible sobre la #salud de los usuarios está siendo compartida sin su conocimiento.
Otros estados como Maine, Rhode Island y Massachusetts también han sido señalados por enviar información sobre recetas médicas y datos de visitas médicas a empresas tecnológicas.
En el caso de Maine, los datos de medicamentos y dosis, así como los nombres de médicos y hospitales previamente visitados, se compartían con Google a través de herramientas analíticas.
Rhode Island y Massachusetts también enviaban detalles similares a Google y LinkedIn, respectivamente.
Tras estas revelaciones, algunos estados han tomado medidas inmediatas. Nevada dejó de enviar datos a Snapchat y LinkedIn en mayo tras ser alertada por estos informes, y Massachusetts anunció que dejó de compartir datos con LinkedIn.
Estas prácticas aún generan inquietud en la comunidad de expertos en privacidad
Sin embargo, estas prácticas aún generan inquietud en la comunidad de expertos en privacidad.
Desde el punto de vista legal y ético, el uso de estos rastreadores en sitios de salud pública es altamente problemático. Si bien su finalidad puede estar orientada a mejorar la experiencia del usuario y realizar campañas de marketing dirigidas, la realidad es que el envío de información médica sensible sin protección adecuada viola regulaciones como HIPAA en Estados Unidos, que protege la confidencialidad de los datos de salud.
Los especialistas advierten que muchas de estas instituciones no comprenden completamente cómo están configurados estos rastreadores o qué datos exactos transmiten.
Según John Haskell, abogado especializado en privacidad de datos, estas organizaciones a menudo carecen de una evaluación exhaustiva de los flujos de información, lo que aumenta el riesgo de vulnerar la privacidad de los usuarios.
Históricamente, este tipo de prácticas no son nuevas. En 2022, se descubrió que varias páginas de hospitales compartían datos con Meta (antiguo Facebook) mediante herramientas como Meta Pixel. Además, investigaciones previas han detectado rastreadores que registran compras de medicamentos en farmacias en línea, incluyendo pruebas para VIH o anticonceptivos de emergencia.
En 2023, un hospital en Nueva York fue multado con 300,000 dólares por incumplimiento de HIPAA.
Estas incidencias han llevado a que las autoridades de salud y protección de datos en EE.UU. adviertan sobre los riesgos de compartir información de salud en plataformas digitales sin las garantías legales correspondientes. Aunque recientes decisiones judiciales han limitado el alcance de las sanciones, la preocupación persiste, sobre todo ante la posible utilización de estos datos por parte de empresas para campañas de marketing muy específicas o incluso para fines comerciales.
En conclusión, la divulgación clandestina de datos sensibles en sitios web de salud pública representa un grave riesgo para la privacidad de los pacientes y usuarios.
