Los datos privados de la salud están en manos de Google, Microsoft y Meta

Un estudio de la empresa de ciberseguridad Feroot reveló que nuestros datos privados más sensibles, incluyendo los de la salud, están en manos de empresas como Google, Meta y Microsoft. La principal forma de hacerse con estos datos en EE.UU. es la de los píxeles de seguimiento y los más comunes descubiertos se produjeron a través de las grandes tecnológicas como Google, Microsoft, las plataformas de Meta y de ByteDanza, la empresa matriz de TikTok. Los representantes de Facebook, Google y Microsoft han negado con contundencia el uso de sus píxeles de seguimiento para recopilar datos confidenciales.

Ante los resultados del estudio, un portavoz de Google ha declarado que son los propietarios del sitio, no el buscador, los que tienen el control de cómo se recopila la información y que el sitio debe informar a los usuarios sobre cualquier recopilación que realicen. Los analistas de terceros de Google indican que la política de la tecnológica prohíbe a sus clientes recolectar datos protegidos sobre salud para utilizar esa información con fines publicitarios.

Otro portavoz de Facebook, por su parte, ha aclarado que cualquier uso del envío de información sensible y de datos, a través de herramientas comerciales o de análisis, va en contra de la política de la empresa, y agregó que el sistema está diseñado para filtrar información de datos confidenciales.

El informe de la empresa de Seguridad Feroot es el resultado de la recopilación de cientos de datos de salud en sitios web de internet que se dedicaban a la atención sanitaria, y el estudio de las nuevas modalidades de trato con los pacientes, como por ejemplo la teleasistencia.

Los representantes de los tres gigantes han negado el uso de píxeles para la recopilación de datos de salud u otros de carácter sensible

El estudio indica cómo constataron que más de un 86% de estas páginas recolectan y transfieren datos sin obtener el consentimiento del usuario. Más del 73% de las páginas de inicio de sesión y registro tienen rastreadores, lo que expone información personal. Alrededor del 15% de los píxeles de seguimiento identificados por Feroot pueden leer y recopilar las pulsaciones de teclas de un usuario, lo que significa que podrían identificar números de Seguro Social, nombres, direcciones de correo electrónico, fechas de citas, direcciones IP, información de facturación e incluso un diagnóstico y tratamiento médico, según el informe.

Los rastreadores colocan un pequeño fragmento de código en un sitio web y registran cómo interactúa un usuario con la página. Luego, el rastreador envía un paquete de información sobre el usuario a la empresa de tecnología que gestiona esas páginas médicas. El datos recopilados pueden servir de base para análisis de sitios web, campañas de marketing y orientación de anuncios. También se puede transferir fuera de EE. UU. si la empresa anfitriona tiene su sede en un país distinto.

¿Qué dice la legislación europea y española al respecto?

La información se recopila a través de un rastreador o de un tercero sin el consentimiento del usuario, representaría una violación de la Ley de Responsabilidad y Portabilidad de Seguros de Salud, conocida como HIPAA, en Estados Unidos. En España y el resto de Europa violan el Reglamento General del Protección de Datos (RGPD) que es muy claro al respecto de los derechos sobre la privacidad de los ciudadanos de la Unión Europea. No pueden ser captados, ni almacenados ni utilizados, y mucho menos con fines comerciales o de establecimiento de sesgos, bajo ningún concepto. Su tratamiento está directamente prohibido.

Y es que estos datos pueden incluir todo tipo de información actualizada médica, tanto mental como física, así como infromación relativa a la facturación emitida por el servicio médico. La duda es si una cosa así puede ocurrir en España. El especialista en derecho digital de Ecix Group, profesor de la Universidad Carlos III de Madrid y miembro de ENATIC, Francisco Pérez Bes, nos confirma que «en estos mismos servicios ubicados en España esta situación no debería poder darse. Y, en caso de hacerlo, sería una práctica sancionable desde varios puntos de vista, especialmente el de protección de datos y protección del consumidor y, en su caso, del paciente».

Además de lo ilícito de la captación y almacenamiento, para Pérez Bes «la remisión de los mismos con empresas ubicadas fuera del espacio económico europeo se vería restringida por la regulación de las transferencias internacionales de datos«, de manera que si una empresa llevase a cabo este tipo de prácticas, podría ser sancionada por un tratamiento ilícito de datos personales de especial protección, como son los datos de naturaleza médica».

La protección, gracias a la legislación, en Europa

Así que desde el punto de vista legislativo, los europeos, y por consiguiente los españoles, podemos estar tranquilos, porque cualquiera de las tecnológicas que consintiera algo similar con datos médicos de pacientes españoles, se les caería el presupuesto en multas.

Desde el punto de vista técnico, el control del comportamiento del usuario «puede hacerse también con cookies comportamentales, o con la descarga de programas ejecutables en el dispositivo, lo que en Europa requiere el consentimiento expreso e informado del usuario. Son prácticas intrusivas que pueden llevar a la empresa responsable a grandes multas en Europa«, concluye el especialista de ENATIC.

El 90% de los datos de salud y/o sensibles, en el informe de Feroot, provienen de Google

El experto en ciberseguridad y privacidad de ERNI, David Soto, ha analizado el informe de Seguridad Feroot y ha visto que el 90% de los datos de los que habla provienen de Google, más específicamente de sus aplicaciones como Analitics, por ejemplo. «Que se vendan o transmitan nuestros datos a otro país, en el caso de Estados Unidos, posiblemente sí puede ocurrir. En el caso de España o del resto de Europa, es más difícil».

A nivel de pixels, «lo que sí se está haciendo es traking para temas relacionados con el SEO o el posicionamiento web, para mejorar la experiencia de usuario, a través de las herramientas analíticas de Google o del mismo Facebook, porque el caso de TikTok que menciona el informe en Europa es residual», nos tranquiliza Soto.

Sin embargo, sí nos confirma que en España tenemos el riesgo de que nuestros datos de salud o médicos se vean expuestos y sean mal utilizados «por una mala configuración del sitio, de la página web, por la cual se estén enviado datos clínicos o personales de salud a Estados Unidos, por ejemplo». Ese es nuestro principal peligro; que el cibercrimen se haga con esos datos porque no tenemos implementadas las debidas medidas de ciberseguridad en la web o en los sistemas en los que estén alojados.

FUENTE: Álvarez, Marian. »Los datos privados de la salud están en manos de Google, Microsoft y Meta» Merca2.es. 29/10/2023. (https://www.merca2.es/2023/10/29/datos-salud-google-1456808/).