Las empresas médicas comparten datos de pacientes con empresas tecnológicas
Fecha de publicación: 2024-07-11 | Fuente: Bloomberg
Una empresa de atención médica de California, Kaiser Permanente, informó recientemente a millones de sus clientes que su información personal había sido compartida indebidamente con empresas de tecnología.
Lo que informó Kaiser Permanente:
- Los sitios web y aplicaciones de la empresa podrían haber transmitido indebidamente información personal de los usuarios a empresas como Google, Microsoft y X (anteriormente Twitter).
- La empresa planea notificar a 13,4 millones de pacientes actuales y anteriores sobre la violación durante el próximo mes.
- El incidente ha sido clasificado como una “divulgación no autorizada” de datos, incluidos los nombres y las consultas de búsqueda de los usuarios.
- Las autoridades federales han aumentado el escrutinio de las tecnologías de seguimiento utilizadas por las empresas de atención médica, enfatizando la importancia de proteger los datos de los pacientes.
- Kaiser Permanente se disculpó por la filtración de datos, eliminó los rastreadores de sus sitios web y aplicaciones, y enfatizó que la información financiera y las credenciales de inicio de sesión no fueron compartidas con terceros.
Un análisis realizado por Bloomberg News reveló que rastreadores en línea similares aún están presentes en los sitios web de las principales empresas de atención médica en los EE. UU., de lo cual millones de sus pacientes no tienen conocimiento.
Según el estudio, los rastreadores de Facebook (Meta) podrían haber accedido a las fechas de nacimiento y los números de teléfono de los pacientes en el sitio web de la unidad farmacéutica del Grupo Cigna. Los usuarios que registraron cuentas en la unidad farmacéutica de UnitedHealth Group Inc. podrían haber revelado accidentalmente sus números de Seguro Social al servicio de marketing de Adobe Inc.. Los sitios web de las unidades de CVS Health Corp. permitieron que la empresa de análisis Quantum Metric leyera números de Seguro Social, contraseñas y fechas de nacimiento.
La filtración de datos personales, como fechas de nacimiento, números de teléfono y números de Seguro Social, representa una amenaza significativa debido al riesgo de robo de identidad, fraude financiero, violación de la privacidad y disminución de la confianza en las instituciones de atención médica. Los delincuentes pueden usar estos datos para realizar transacciones financieras ilegales y robar identidades, lo que puede llevar a consecuencias graves para las personas afectadas.
«El uso de rastreadores como el rastreador de Facebook en su sitio plantea serias preocupaciones de privacidad,» dice Justin Sherman, fundador de la firma de consultoría Global Cyber Strategies.
En nueve de cada diez de los sitios web de las mayores compañías que se ocupan del seguro de salud, hospitales y laboratorios, se instalaron rastreadores de publicidad y análisis en las páginas de registro o inicio de sesión. Estos rastreadores pueden transmitir datos personales a empresas de terceros. Bloomberg News verificó estos sitios utilizando una herramienta de navegador de la empresa Feroot Security, que ayuda a las empresas a encontrar y eliminar rastreadores web.
Feroot Security es una empresa de ciberseguridad que proporciona soluciones para proteger aplicaciones web y datos de usuarios contra amenazas. Ofrecen herramientas para monitorear y proteger contra ataques del lado del cliente, como ataques de JavaScript y amenazas de secuencias de comandos.
Empresas de atención médica con más rastreadores
Número de rastreadores en las páginas de inicio de sesión y registro. Los rastreadores pueden transmitir información personal a empresas de terceros.
Un representante de Meta enfatizó que su sistema prohíbe a los anunciantes transmitir datos personales confidenciales a través de las herramientas de la empresa, y que el sistema está diseñado para filtrarlos cuando se detectan. CVS Health informó que la empresa emplea controles que limitan o cifran la información identificable antes de compartirla con proveedores externos.
La plataforma de publicidad de Meta detecta y bloquea automáticamente el uso de información personal cargada por los anunciantes, como números de teléfono y direcciones de correo electrónico.
Los representantes de Cigna, UnitedHealth, Adobe y Quantum Metric no proporcionaron comentarios o se negaron a comentar.
Los expertos en privacidad advierten que los rastreadores en los sitios y aplicaciones médicas pueden transmitir información personal como la obtención de recetas de Viagra, el embarazo o el tratamiento de salud mental a anunciantes y corredores de datos sin el consentimiento de los pacientes.
En un estudio más amplio realizado por Feroot el año pasado, se descubrió que el 86 % de los sitios web relacionados con la atención médica y la telemedicina recopilan datos sin el consentimiento del usuario y los transmiten a grandes empresas de tecnología. Otro estudio publicado en la revista JAMA este año mostró que de 100 sitios web de hospitales, 96 transmitieron información a terceros, y la mayoría no especificó en sus políticas de privacidad adónde se dirigían estos datos.
Los reguladores federales han estado tratando de detener la recopilación de datos personales en los sitios web de atención médica durante varios años. La Comisión Federal de Comercio de EE. UU. (FTC) multó a varias empresas por compartir datos de usuarios. El Departamento de Salud y Servicios Humanos (HHS) emitió una guía que indica que los rastreadores en línea pueden violar las reglas federales de privacidad.
Se prohibió a la unidad Teladoc Health Inc. — BetterHelp — transmitir datos de salud de los usuarios a las redes sociales. Esto ocurrió como parte de una investigación de la FTC, que acusó a BetterHelp de violar la privacidad de los datos de los usuarios y transmitir datos sensibles, incluidas las respuestas a encuestas de salud mental, direcciones de correo electrónico y direcciones IP, con fines publicitarios. La empresa tuvo que pagar 7,8 millones de dólares para resolver los cargos. BetterHelp afirmó que no admitía culpa y que no había transmitido nombres ni datos clínicos de las sesiones de terapia a los anunciantes.
En respuesta, las empresas de atención médica han recurrido a los tribunales, desafiando la posición del HHS y afirmando que excedió su autoridad. También señalaron que algunos sitios web gubernamentales utilizan tecnología similar. En junio, un juez de Texas falló en contra del HHS, limitando su autoridad para multar a las empresas de atención médica por usar rastreadores.
Un mercado de $250 mil millones
Los rastreadores que recopilan datos personales están muy extendidos en Internet. También se les conoce como píxeles, y para la mayoría de los usuarios, pasan desapercibidos. Sin embargo, las empresas de tecnología y los corredores de datos los utilizan para recopilar información sobre el comportamiento en línea de los usuarios.
Los corredores de datos son empresas que recopilan, analizan y venden información sobre personas y su comportamiento. Obtienen datos de diversas fuentes, como sitios web, redes sociales, registros públicos, tiendas y aplicaciones. Estos datos pueden incluir información de compras, actividad en línea, datos demográficos y más. Los corredores de datos procesan y analizan esta información para crear perfiles detallados, que luego venden a otras empresas para marketing, publicidad y otros fines. Ejemplos de tales empresas: Acxiom, Experian, Equifax, CoreLogic, Dun & Bradstreet. En Rusia, el mercado para tales empresas no está desarrollado, y tales actividades son llevadas a cabo principalmente por divisiones de empresas: DoubleData, Interfax SPARK, MTS Marketer, SberMarketing, MegaFon Target.
Los expertos estiman que el volumen de mercado de estos datos en EE. UU. es de aproximadamente $250 mil millones.
A veces, los detalles se indican en letra pequeña. Por ejemplo, en la política de privacidad de la unidad Aetna de CVS, se indica que la empresa recopila números de Seguro Social, direcciones de Internet, datos demográficos y otra información. Sus rastreadores pueden registrar acciones como “vistas de página, movimientos del mouse, desplazamiento, entrada de texto” y otros datos de navegación del sitio.
Según Sherman y otros expertos en ciberseguridad, el uso de rastreadores en sitios de atención médica, donde se procesan datos confidenciales, plantea serias preocupaciones sobre la privacidad y puede violar las reglas federales destinadas a proteger la información de salud de los pacientes.
Según el informe del año pasado de Feroot, alrededor del 15% de los sitios web relacionados con la atención médica podrían leer pulsaciones de teclas precisas en las páginas de inicio de sesión. Esto significa que podrían recopilar números de Seguro Social, nombres de usuario, contraseñas, direcciones de correo electrónico, horas de citas, información de cuentas y diagnósticos médicos.
Aumento en el número de demandas
La demanda contra Kaiser Permanente alega que los rastreadores recopilaron nombres, direcciones de Internet y consultas de búsqueda, enviándolos a Google (Alphabet Inc), la red social X y el motor de búsqueda Bing (Microsoft Corp). Estos rastreadores se colocaron en páginas protegidas con contraseña, lo que permitía a las empresas de tecnología crear anuncios más específicos basados en el comportamiento de los usuarios. La queja se presentó en el tribunal federal del Distrito Norte de California en junio de 2023.
Roskomnadzor identifica regularmente numerosos casos de filtraciones de datos personales de varias empresas rusas, incluidas tiendas en línea y redes sociales. Estas filtraciones a menudo están asociadas con la instalación de rastreadores y la recopilación de datos sin la debida notificación a los usuarios. Aquí hay un ejemplo.
Kaiser declaró que la empresa realizó una investigación interna y eliminó los rastreadores de sus sitios web y aplicaciones móviles. La empresa buscó que se desestimara el caso y se negó a comentar sobre la demanda. Microsoft declaró que su política prohíbe el uso de información médica para fines publicitarios.
Google dijo que los clientes de sus herramientas de medición, como Google Analytics, poseen los datos recopilados, y que la propia empresa no los utiliza para la orientación de anuncios en el motor de búsqueda. La política de la empresa prohíbe a los clientes usar Google Analytics para recopilar información médica protegida, y también prohíbe la publicidad basada en datos de salud u otra información sensible, dijo un portavoz de Google.
Otra demanda contra la Asociación Blue Cross Blue Shield, presentada en noviembre en el tribunal federal de Illinois, alega que un sitio web utilizado para empleados federales envió datos a TikTok propiedad de ByteDance Ltd. y otras empresas de tecnología. Estos datos incluían las consultas de búsqueda de los usuarios sobre temas como salud mental o embarazo. La queja también señala que TikTok está prohibido en los teléfonos del gobierno federal por razones de seguridad nacional.
La asociación buscó que se desestimara la demanda y se negó a comentar. Un representante de TikTok tampoco comentó sobre la demanda, citando la política de la empresa de que el píxel no debe colocarse en sitios que puedan contener información médica personal.
Según Ivan Tsarynny, CEO de Feroot, algunas empresas de atención médica eliminaron rastreadores de sus sitios debido a la mayor presión. También señaló que espera que más empresas revelen violaciones de datos relacionadas con el uso de rastreadores, como lo hizo Kaiser Permanente.
No siempre está claro a dónde van los datos recopilados por los rastreadores.
«No siempre sabemos cuáles son los objetivos de dicha vigilancia,» señala Charlotte Tschider, profesora de derecho de ciberseguridad en la Universidad Loyola en Chicago. «Es posible que incluso las propias organizaciones médicas no comprendan completamente sus acciones.»
