Protección Data

BLOG

PARA ESTAR AL DÍA EN PROTECCIÓN DE DATOS Y SEGURIDAD DE LA INFORMACIÓN

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

¿Nuestros datos de salud están en riesgo?

¿Por qué es importante proteger y qué protejan nuestros datos personales? Entre otras razones, porque su divulgación afecta a nuestra intimidad.

Cerebral

Recientemente, se ha sabido que en Estados Unidos la startup de salud Cerebral ha confirmado que los datos de salud mental de 3,1 millones de usuarios terminaron en las plataformas publicitarias de Google, Meta y TikTok, entre otras. 

La información de los usuarios divulgada podía comprender sus nombres, números de teléfono, direcciones de correo electrónico, fechas de nacimiento, direcciones IP y otros datos demográficos, así como datos recopilados de la autoevaluación de salud mental, incluidos los servicios que el usuario seleccionó, y si el cliente compró un plan de suscripción, la información divulgada se amplía al tipo de plan de suscripción, citas, tratamientos, seguro médico contratado y monto del copago. Ahí es nada.

Desde su creación –conscientes o no– Cerebral estaba compartiendo datos de sus usuarios con los gigantes tecnológicos a través de rastreadores y otros códigos de recopilación de datos que la startup incrustó en sus aplicaciones, como los «pixel de rastreo» que son un fragmento de código que los dueños de un sitio web pueden instalar, de forma gratuita, en una zona concreta de su página web, normalmente los botones de acceso a la ficha de productos o la casilla de compra de un artículo, para analizar el interés del usuario en determinado contenido del sitio web. Cuando el usuario hace clic en esa zona de la web, el pixel de rastreo recopila todo tipo de información, además se mantiene en la caché del navegador, de forma que va rastreando los distintos sitios que el usuario visita para crear un perfil detallado de la persona (compras, gustos, ideales políticos, etc.)

Las empresas tecnológicas como Google, Meta y TikTok permiten a los desarrolladores de sitios web incluir fragmentos de su código personalizado, lo que les permite obtener información acerca de la actividad de los usuarios, a menudo bajo la apariencia de análisis, pero también para publicidad. 

Al enterarse del problema, según el comunicado oficial que encontrarán haciendo clic aquí, Cerebral reconfiguró y eliminó las tecnologías de seguimiento para «evitar cualquier divulgación de este tipo en el futuro».   

Más casos en Estados Unidos

No son los únicos que han compartido los datos de salud de sus clientes.

La Comisión Federal de Comercio de Estados Unidos (FTC) impuso a GoodRX una multa de 1,5 millones de dólares por compartir datos de salud de sus usuarios para publicidad (comunicado oficial) y ordenó a BetterHelp que indemnizara a sus usuarios con un montante de 8,5 millones de dólares por el mal uso de sus datos personales entre los años 2017 y 2020 (comunicado oficial).

Conclusión

Por suerte, la Unión Europea no es Estados Unidos. El control de nuestros datos personales es más férreo, así, los datos de salud sólo se pueden ceder a terceros si existen el consentimiento expreso e inequívoco del interesado.

El problema es que la falta de capacidad operativa de las distintas autoridades de control para realizar inspecciones hace que muchas organizaciones se planteen no implanten los protocolos y las medidas de seguridad que su nivel de riesgo exige, tan solo se rodean de una falsa apariencia de legalidad, pero detrás de esa carcasa no hay nada.

El listado de víctimas de ciberataques en España no deja de crecer (haciendo clic aquí pueden ver dicho listado). El último caso conocido es el del Hospital Clínic de Barcelona, que sufrió un ciberataque de tipo «ransomware» el pasado día 5 marzo de 2023. El grupo responsable «RansomHouse» obligó a desprogramar 150 cirugías no urgentes, 4.000 análisis de pacientes ambulatorios y más de 11.000 citas de consultas externas. Reclamaron un rescate de 4,5 millones de euros para no publicar los datos que han obtenido del centro. Al no acceder al chantaje, se confirma que todos los datos personales de pacientes, profesionales y proveedores que obtuvieron los hackers se publicaron en la Dark Web. 

En relación al caso del Hospital Clínic, la Autoridad Catalana de Protección de Datos ha abierto un expediente informativo a fin de comprobar si el centro había implementado medidas adecuadas para garantizar la seguridad de los datos que custodian. En función de la información que recaben los técnicos se abrirá o no un expediente sancionador. La multa, en su caso, puede ser elevada en atención a los daños causados.

Cuando una persona sufre problemas de salud y busca ayuda lo hace con la expectativa de que se protegerá su privacidad, claro está, que eso conlleva un esfuerzo que no todas las organizaciones están dispuestas a realizar porque, si no pasa nada, eso que nos ahorramos, lo cual es inaceptable. 

Más información

Acceso y deber de custodia de los datos de salud

Digitalización de centros sanitarios

Telemedicina y datos de salud

Biomedicina y protección de datos

error: Contenido protegido por derechos de propiedad intelectual. Se prohíbe su reproducción, transformación, distribución y comunicación pública a título lucrativo por cualquier medio y soporte. Advertir que la infracción de los derechos relativos a la propiedad intelectual es constitutiva de delito (arts. 270 y ss. CP).