Nuestros datos privados más sensibles, sobre todo los relacionados con la salud, están en manos de las empresas tecnológicas como Facebook (Meta, Google y Microsoft). Esto puede ocurrir por las técnicas de seguimiento analítica, por una mala configuración de las webs o por la existencia de sistemas inseguros. La digitalización de la sanidad y las páginas web relacionadas con la medicina y los datos médicos, allí donde estén alojados, siguen siendo un suculento botín para todo tipo de empresas. Según un estudio de la empresa de ciberseguridad Feroot, estos datos, incluida la información médica personal, continúan siendo vejados y utilizados en constantes violaciones de los derechos de privacidad de los pacientes, tanto en España como en el resto del mundo.
La principal forma de hacerse con estos datos en EE.UU. es la de los píxeles de seguimiento y los más comunes descubiertos se produjeron a través de las grandes tecnológicas como Google, Microsoft, las plataformas de Meta y de ByteDanza, la empresa matriz de TikTok. Los representantes de Facebook, Google y Microsoft han negado con contundencia el uso de sus píxeles de seguimiento para recopilar datos confidenciales.
Ante los resultados del estudio, un portavoz de Google ha declarado que son los propietarios del sitio, no el buscador, los que tienen el control de cómo se recopila la información y que el sitio debe informar a los usuarios sobre cualquier recopilación que realicen. Los analistas de terceros de Google indican que la política de la tecnológica prohíbe a sus clientes recolectar datos protegidos sobre salud para utilizar esa información con fines publicitarios.
Otro portavoz de Facebook, por su parte, ha aclarado que cualquier uso del envío de información sensible y de datos, a través de herramientas comerciales o de análisis, va en contra de la política de la empresa, y agregó que el sistema está diseñado para filtrar información de datos confidenciales.
El informe de la empresa de Seguridad Feroot es el resultado de la recopilación de cientos de datos de salud en sitios web de internet que se dedicaban a la atención sanitaria, y el estudio de las nuevas modalidades de trato con los pacientes, como por ejemplo la teleasistencia.
Los representantes de Facebook, Google y Microsoft han negado con contundencia el uso de sus píxeles de seguimiento para recopilar datos confidenciales
El estudio indica cómo constataron que más de un 86% de estas páginas recolectan y transfieren datos sin obtener el consentimiento del usuario. Más del 73% de las páginas de inicio de sesión y registro tienen rastreadores, lo que expone información personal. Alrededor del 15% de los píxeles de seguimiento identificados por Feroot pueden leer y recopilar las pulsaciones de teclas de un usuario, lo que significa que podrían identificar números de Seguro Social, nombres, direcciones de correo electrónico, fechas de citas, direcciones IP, información de facturación e incluso un diagnóstico y tratamiento médico, según el informe.
Los rastreadores colocan un pequeño fragmento de código en un sitio web y registran cómo interactúa un usuario con la página. Luego, el rastreador envía un paquete de información sobre el usuario a la empresa de tecnología que gestiona esas páginas médicas. El datos recopilados pueden servir de base para análisis de sitios web, campañas de marketing y orientación de anuncios. También se puede transferir fuera de EE. UU. si la empresa anfitriona tiene su sede en un país distinto.
LA LEGISLACIÓN EUROPEA Y ESPAÑOLA
La información se recopila a través de un rastreador o de un tercero sin el consentimiento del usuario, representaría una violación de la Ley de Responsabilidad y Portabilidad de Seguros de Salud, conocida como HIPAA, en Estados Unidos. En España y el resto de Europa violan el Reglamento General del Protección de Datos (RGPD) que es muy claro al respecto de los derechos sobre la privacidad de los ciudadanos de la Unión Europea. No pueden ser captados, ni almacenados ni utilizados, y mucho menos con fines comerciales o de establecimiento de sesgos, bajo ningún concepto. Su tratamiento está directamente prohibido.
Y es que estos datos pueden incluir todo tipo de información actualizada médica, tanto mental como física, así como infromación relativa a la facturación emitida por el servicio médico. La duda es si una cosa así puede ocurrir en España. El especialista en derecho digital de Ecix Group, profesor de la Universidad Carlos III de Madrid y miembro de ENATIC, Francisco Pérez Bes, nos confirma que «en estos mismos servicios ubicados en España esta situación no debería poder darse. Y, en caso de hacerlo, sería una práctica sancionable desde varios puntos de vista, especialmente el de protección de datos y protección del consumidor y, en su caso, del paciente».
las compañías que actúen en Europa deben cumplir con la normativa europea en materia de protección de datos, y esas prácticas están muy restringidas por el RGPD
Además de lo ilícito de la captación y almacenamiento, para Pérez Bes «la remisión de los mismos con empresas ubicadas fuera del espacio económico europeo se vería restringida por la regulación de las transferencias internacionales de datos«, de manera que si una empresa llevase a cabo este tipo de prácticas, podría ser sancionada por un tratamiento ilícito de datos personales de especial protección, como son los datos de naturaleza médica».
Este experto legal afirma que no tiene conocimiento de compañías que hagan esto en Europa, incluso aquellas que operen en territorio comunitario y tengan sede estadounidense, porque «las compañías que actúen en Europa deben cumplir con la normativa europea en materia de protección de datos, y esas prácticas están muy restringidas por el RGPD», afirma.
Así que desde el punto de vista legislativo, los europeos, y por consiguiente los españoles, podemos estar tranquilos, porque cualquiera de las tecnológicas que consintiera algo similar con datos médicos de pacientes españoles, se les caería el presupuesto en multas.
Desde el punto de vista técnico, el control del comportamiento del usuario «puede hacerse también con cookies comportamentales, o con la descarga de programas ejecutables en el dispositivo, lo que en Europa requiere el consentimiento expreso e informado del usuario. Son prácticas intrusivas que pueden llevar a la empresa responsable a grandes multas en Europa«, concluye el especialista de ENATIC.
en España tenemos el riesgo de que nuestros datos de salud o médicos se vean expuestos y sean mal utilizados «por una mala configuración de la site
El experto en ciberseguridad y privacidad de ERNI, David Soto, ha analizado el informe de Seguridad Feroot y ha visto que el 90% de los datos de los que habla provienen de Google, más específicamente de sus aplicaciones como Analitics, por ejemplo. «Que se vendan o transmitan nuestros datos a otro país, en el caso de Estados Unidos, posiblemente sí puede ocurrir. En el caso de España o del resto de Europa, es más difícil».
A nivel de pixels, «lo que sí se está haciendo es traking para temas relacionados con el SEO o el posicionamiento web, para mejorar la experiencia de usuario, a través de las herramientas analíticas de Google o del mismo Facebook, porque el caso de TikTok que menciona el informe en Europa es residual», nos tranquiliza Soto.
Sin embargo, sí nos confirma que en España tenemos el riesgo de que nuestros datos de salud o médicos se vean expuestos y sean mal utilizados «por una mala configuración del sitio, de la página web, por la cual se estén enviado datos clínicos o personales de salud a Estados Unidos, por ejemplo». Ese es nuestro principal peligro; que el cibercrimen se haga con esos datos porque no tenemos implementadas las debidas medidas de ciberseguridad en la web o en los sistemas en los que estén alojados.
nuestro principal peligro; que el cibercrimen se haga con esos datos porque no tenemos implementadas medidas de ciberseguridad en la web o en los sistemas
«Todos nuestros datos están en peligro debido al phishing, o a los ataques de ramsonware por una mala configuración de algún servidor. En España, además, no hay presupuesto en la Sanidad Pública para actualizar los sistemas y frenar los ciberriesgos», nos puntualiza Soto, y señala como ejemplo el caso del ciberataque que sufrió el Hospital Clinico de Barcelona, que al parecer habría estado expuesto a través de un servidior con tecnología muy antigua.
La legislación europea impone unas políticas que obligan a cualquier empresa o administración a exponer e informar su la política de cookies y de privacidad. Si se entra en una página web europea y no expone claramente su politica de cookies, se puede denunciár y se pueden encontrar con serios problemas. «Otra cuestión son las empresas que se dedican a recopilar desde USA los datos genéticos de ciudadanos y ciudadanas europeos que quieren conocer en detalle su ADN por motivos médicos o por saber la naturaleza de sus orígenes genéticos. Esos datos, una vez están en manos de compañías estadounidenses, pueden hacer con ellos lo que quieran«, nos puntualiza Soto.
GOOGLE, MICROSOFT Y META NO DEBEN PERMITIRLO
Desde el punto de vista de la legislación americana, según el bufete de abogados PC Polisinelli consultado por Bloomberg, «las páginas web que requieren un inicio de sesión plantean una preocupación mayor, ya que los datos personales están expuesto a un tercero», lo que genera posibles demandas de privacidad si el usuario no dio su consentimiento.
El estudio encontró evidencias de sus conclusiones al recopilar algunas investigaciones al respecto que se habían hecho públicas, como la realizada en 2022 por The Markup, que encontró el rastreador de píxeles de Meta en los sitios web de un tercio de los 100 hospitales más importantes de EE. UU. Ese rastreador luego envió datos de los pacientes de esos sitios en Facebook.
encontró el rastreador de píxeles de Meta en los sitios web de un tercio de los 100 hospitales más importantes de EE. UU
El regulador de Estados Unidos, la Comisión Federal de Comercio (FTC) puso en aviso en septiembre de 2021 a las tecnológicas y otras empresas que gestionan aplicaciones relacionadas con la salud de que no podrían mover un solo dato médico sin el consentimiento del interasado. En diciembre de 2022, el Departamento de Salud y Servicios Humanos del Gobierno de EE.UU (Department of Health & Human Services o HHS) publicó una orientación sobre tecnologías de seguimiento y cumplimiento de la Ley de Responsabilidad y Portabilidad de Seguros de Salud americana (HIPAA), por la que las empresas y organizaciones de atención sanitaria no pueden utilizar tecnología de seguimiento, porque la información podría divulgarse a terceros.
Desde esa publicación han aumentado los litigios por el intercambio de información. La HHS ya ha alertado sobre el riesgo de la divulgación de datos a través de los rastreadores, y de la utilización de las herramientas analíticas de Google y Facebook en 130 organizaciones de atención médica y de salud, para que no olviden que son las responsables de su control. Otra cosa es que allí, por estos casos, todavía no hay medidas punitivas más allá de unas multas asumibles por las grandes multinacionales.
