El Centro Médico Cedars-Sinai, el hospital de 886 camas donde nací en Los Ángeles, tiene un problema de privacidad. Si visita el sitio web de Cedars hoy, lo recibirán seis rastreadores de anuncios y 17 cookies de terceros, según la retroiluminación del marcado herramienta—y, aparentemente, eso es una mejora. Una demanda colectiva presentada en California acusa al megahospital de compartir datos de pacientes con Google, Microsoft y Meta, propietario de Facebook. Es un recordatorio de que sí, sus datos médicos están a la venta.
Según la demanda, descubierta por el registroCedars compartió una amplia variedad de datos con Meta, incluidos los tipos de tratamiento médico que buscaban los pacientes, detalles sobre los médicos que buscaban e incluso el hecho de que un paciente estaba haciendo una cita.
“A modo de ilustración, si un paciente concertaba una cita con un médico para el tratamiento del cáncer, el código de seguimiento que Cedars-Sinai ponía en su sitio web transmitía esa información a Meta, lo que a su vez permitía a Meta incluir a ese paciente en los grupos objetivo de marketing que ofreció a sus otros clientes publicitarios que querían comercializar a pacientes con cáncer”, la queja lee
Cedars cambió esta práctica en 2022, pero el daño ya está hecho, según el demandante John Doe (quien está demandando de forma anónima, porque, ya sabes, la privacidad). Cedars-Sinai no respondió de inmediato a una solicitud de comentarios.
Esta no es la primera vez que la ley se involucra tampoco. Meta también está siendo demandada por estar en el extremo receptor del frenesí de alimentación de datos del hospital.
G/O Media puede recibir una comisión
Consejería de adicción
Salud de refugio seguro
Accesible para todos
Safe Haven prioriza sus necesidades con un tratamiento de abuso de sustancias flexible e individualizado, específicamente la adicción a los opioides y al alcohol.
¿Te sorprende que un hospital venda tus datos médicos? Lamentablemente, no debería.
A medida que navega por la web, está siendo monitoreado y rastreado constantemente en busca de anuncios dirigidos. La mayoría de las empresas no tienen su propia operación de orientación de anuncios, por lo que se asocian con proveedores externos, como Meta, Google y muchos otros, y agregan sus herramientas de seguimiento de anuncios en el código de sus sitios web.
En otras palabras, eso significa que sus datos se comparten constantemente con innumerables empresas de las que quizás nunca haya oído hablar. La gran mayoría de las aplicaciones y los sitios web hacen esto. Mucha gente asume que existe una excepción especial para los datos médicos. No exactamente.
Cuando hablo con la gente sobre este tipo de cosas en las fiestas (soy muy divertido), dirán algo sobre HIPAA y agitarán sus manos en el aire. Mueva sus manos todo lo que quiera, HIPAA no lo está protegiendo, incluso cuando debería hacerlo.
El año pasado, Markup analizó los 100 mejores hospitales y encontró 33 de sus sitios web. le dijo a Meta cada vez intentaste reservar una cita. Después de la investigación, el Departamento de Salud y Servicios Humanos de EE. intervino para recordarles a todos que las entidades cubiertas por HIPAA definitivamente no deben compartir información de identificación personal con compañías externas sin consentimiento. Parece que los hospitales lo están haciendo de todos modos, y en una escala masiva.
Entonces, ¿qué cubre HIPAA?
Las palabras “entidades cubiertas por HIPAA” están haciendo mucho trabajo aquí. Seamos claros: HIPAA no es una ley sobre datos médicos. Es una ley sobre médicos, compañías de seguros y sus socios comerciales. Protecciones de privacidad de HIPAA solo se aplican a los datos médicos de identificación personal cuando están en manos de un proveedor de atención médica, un hospital, una compañía de seguros u otra empresa que trabaje directamente en su nombre. Si está utilizando una aplicación o un sitio web como GoodRx o WebMD, por ejemplo, no están cubiertos por HIPAA en la mayoría de los casos.
Eso ha dejado un gran vacío en la privacidad médica que, básicamente, todas las empresas de tecnología de la salud han estado atravesando desde los albores de Internet. En el año de nuestro señor 2023, los reguladores apenas han comenzado a abordar este problema.
A principios de febrero, la Comisión Federal de Comercio se involucró y dijo que es ilegal para compartir datos de salud de las personas sin consentimiento, incluso si es una empresa que no está cubierta por HIPAA. Residencia en las investigaciones de este reporterola FTC multó a GoodRx, un servicio de cupones de recetas, con $1.5 millones por hacer exactamente eso, e hizo que la compañía prometiera no volver a usar datos médicos para anuncios.
Ni siquiera está claro si la FTC tiene la autoridad para regular aquí. Según Clinton Mikel, ex presidente de un grupo de la Asociación de Abogados de Estados Unidos sobre salud electrónica y privacidad, la FTC habría perdido el caso si tuvo que luchar en los tribunales, y conformarse con GoodRx por una multa relativamente pequeña fue un esfuerzo por establecer un precedente en una «toma de poder» para tener más control sobre la privacidad médica.
La FTC, como era de esperar, negó que esta fuera su estrategia y dijo que es oficialmente el nuevo policía en el tema de la privacidad de la salud. Queda por ver si la justificación legal de la FTC para regular los datos médicos se mantendrá en los tribunales.
Ya sea que la FTC tenga éxito o no, puede suponer que, por el momento, su información de salud está disponible. Pasará mucho tiempo hasta que quede claro exactamente qué permite y qué no permite la ley, e incluso más tiempo antes de que las empresas arreglen sus aplicaciones y sitios web para resolver estos problemas, si es que alguna vez se molestan en solucionarlos en primer lugar.
¿Por qué un hospital compartiría mis datos con Google y Facebook?
Tal vez se pregunte qué están haciendo los hospitales como Cedars y las empresas con este tesoro de registros médicos. Bueno, es simple… más o menos. Un hospital desea orientar los anuncios a las personas que visitan su sitio web. Comparte datos con empresas de publicidad para realizar un seguimiento de los visitantes del sitio web y registrar lo que hacen. Más tarde, ese hospital puede volver a sus socios publicitarios, seleccionar personas de esos conjuntos de datos y enviarles pequeños anuncios por toda la web.
Por ley, esto cuenta como vender sus datos. Al menos, eso es lo que dice la Ley de Privacidad del Consumidor de California (CCPA), y después de todo, Cedars está en California. El negocio de los datos preferiría que usáramos la palabra «compartir». Suena mejor, ¿verdad? Es como preescolar, pero en lugar de niños pequeños, son corporaciones multimillonarias. Y en lugar de juguetes, son datos sobre tus secretos más personales.
Si quieres ser literal al respecto, «compartir» es correcto. Los rastreadores de anuncios generalmente no pagan por el tipo de datos que Cedars lanza al ecosistema publicitario. En cambio, Cedar’s lo “comparte” con ellos. A cambio de los servicios de publicidad, empresas como Meta o Google se dan la vuelta y utilizan esos datos para otras cosas divertidas. Meta probablemente obtendría una mayor parte de las ganancias de estas herramientas si no pudiera ganar algo de dinero extra.
¡Es genial (tal vez)! Todo el mundo comparte y todo el mundo gana dinero. Excepto tu. Todavía tiene que pagar sus facturas médicas.