¿Quieres ahorrar dinero en medicamentos? Puede dirigirse a GoodRx.com. Escriba el nombre de un medicamento y la compañía le dará un cupón para usar en una farmacia. Pero hay un pequeño problema, uno que GoodRx se olvidó de decirle a sus clientes acerca de. Desde al menos 2017, GoodRx envió detalles sobre los medicamentos que toma a Facebook, Google y otras compañías en el negocio de la tecnología, y usó esos datos para anuncios dirigidos.
Eso puede sonar ilegal, pero, hasta ayer, les habría dicho que no lo es. De hecho, es común. La mayoría de las aplicaciones y sitios web de salud en los que puede pensar distribuyen sus datos en toda la web. Pero los chicos malos reguladores de la Comisión Federal de Comercio quieren cambiar eso, y confían en una teoría legal salvaje y no probada para salirse con la suya. El miércoles, la FTC dijo GoodRx violó la ley y presentó un acuerdo que podría transformar fundamentalmente la privacidad de la salud en los Estados Unidos.
El acuerdo de la FTC afirma que compartir datos de salud sin consentimiento es ilegal (y GoodRx no puede hacerlo nunca más, bajo ninguna circunstancia). Esa es una idea nueva. La FTC también afirma que no cuenta como «consentimiento» si usa patrones oscuros engañosos para que las personas hagan clic en el botón equivocado, o si oculta los detalles en la página 30 de su política de privacidad.
“Este es un gran problema”, dijo Andrea Downing, defensora de la privacidad de la salud y cofundadora de Light Collective, una red de apoyo al paciente. “Muchas personas simplemente asumen que toda su información de salud está cubierta por HIPAA. Que no es. Este es un gran avance que he estado esperando durante años”.
Su información de salud se está filtrando por todas partes, intercambiando manos mil veces por segundo en los sistemas de orientación de anuncios y siendo comprada y vendida por cualquier otra persona que la desee. Después de que la Corte Suprema desestimara Roe v. Wade, una investigación de Gizmodo encontró 32 corredores de datos diferentes venta de listas de embarazadas y familias. La FTC dice que GoodRx envió a las empresas de publicidad datos sobre medicamentos, creando listas de personas con etiquetas como «VIH», «Herpes labial» y «ITU».
G/O Media puede recibir una comisión
Consejería de adicción
Salud de refugio seguro
Accesible para todos
Safe Haven prioriza sus necesidades con un tratamiento de abuso de sustancias flexible e individualizado, específicamente la adicción a los opioides y al alcohol.
La FTC quiere que usted pueda decidir si está de acuerdo con ese tipo de cosas. Depende de usted si dice que sí.
Si un juez aprueba el acuerdo, tendría un gran impacto. Los expertos legales con los que habló Gizmodo dijeron que no esperan que el intercambio de datos médicos se detenga por completo, pero la orden de la FTC establece un objetivo ambicioso. Si las empresas se ven obligadas a obtener el consentimiento, podría resolver algunos problemas importantes de privacidad. Aunque, por supuesto, eso es un gran si. Hay mucha regulación entre aquí y la tierra prometida de privacidad.
Cuando visita a un nuevo médico, debe completar un montón de formularios sobre HIPAA, la Ley de Portabilidad y Responsabilidad de la Información de Salud. Mucha gente, incluso personas que deberían saber mejor, piensa que la ley protege todos tus datos de salud. ¡No! Notará que la «P» en HIPAA no significa «privacidad». Básicamente, solo los médicos, las compañías de seguros y sus socios comerciales deben seguir las reglas de privacidad de HIPAA. Nadie más tiene que preocuparse por eso, incluso si están manejando exactamente los mismos tipos de información médica.
La FTC no puede regular la HIPAA. El Departamento de Salud y Servicios Humanos lo es, pero, a la inversa y perversamente, esa agencia no puede regular nada que no sea una «Entidad cubierta por HIPAA». Eso deja a empresas como GoodRx, WebMD, FitBit y un millón más en un limbo legal. Esas empresas manejan información que la mayoría de la gente que conozco piensa que tiene protección legal pero en realidad no es así. Parece que nadie estaba a cargo. Con las disposiciones del acuerdo GoodRx, la FTC reclama la autoridad sobre las empresas en esa zona gris. La FTC se autodeclara el nuevo sheriff de la privacidad de la salud en la ciudad, y se está preparando para reunir a todos los ladrones de datos de salud en la pradera digital.
“La FTC hizo esto como una toma de poder”, dijo Clinton Mikel, socio de la firma de abogados Health Law Partners y expresidente de un grupo de la Asociación de Abogados de Estados Unidos sobre salud electrónica y privacidad.
Para tomar ese poder, la FTC no puede usar HIPAA, pero puede armar algo llamado Regla de Notificación de Incumplimiento de Salud (HBNR). Es una regla de 2009 que rara vez se aplica, pero en 2021 la FTC desempolvó el HBNR y dijo que si comparte datos de salud sin consentimiento, la comisión lo llamará una violación de datos. El caso GoodRx es una prueba de que la agencia no estaba mintiendo.
“Creo que la FTC habría perdido este caso” si tuviera que litigar en los tribunales, dijo Mikel. “La FTC se está encargando de intervenir y hacer valer los estándares sin tener realmente ninguna razón legal para hacerlo”.
Tal vez, tal vez no, pero debido a que la FTC está imponiendo su multa a GoodRx a través de un acuerdo en lugar de una batalla judicial, la acción podría sentar un precedente que la FTC puede usar para más del mismo tipo de regulación de privacidad de la salud.
Esa podría ser la razón por la cual la multa por GoodRx fue tan baja. La FTC le cobró a la empresa $1.5 millones de dólares, un mísero 0.2% de los ingresos de $745 millones de GoodRx en 2021. Es posible que la FTC rebaje la factura para que GoodRx firme un acuerdo que el gobierno podría usar como precedente en futuras batallas. Un funcionario de la FTC negó esa teoría cuando se le pidió un comentario y dijo que el acuerdo no habría tenido la aprobación unánime de sus comisionados bipartidistas si se tratara de algún tipo de toma de poder de la izquierda. GoodRx, por su parte, dijo que aceptó el acuerdo para evitar una batalla legal costosa y poner fin al problema (y negar cualquier irregularidad).
“Si bien algunos han dicho que hubieran querido una multa más alta, este costo establece el estándar para acciones futuras”, dijo Phyllis Marcus, quien trabaja en el cumplimiento de la FTC en la firma de abogados Hunton Andrews Kurth. “Esta aplicación tiene mayores impactos en otras empresas y podría servir como base para que la FTC construya un registro para aspectos particulares. Es seguro que estará atento a otros que infrinjan estas reglas”.