¿Por qué es importante proteger y que protejan nuestros datos personales? Entre otras razones, porque su divulgación afecta directamente a nuestra intimidad.
La información personal vinculada a la salud es sumamente sensible y su divulgación no autorizada puede ocasionar graves perjuicios, como estigmatización, exclusión social y vulneración de nuestra dignidad.
Cerebral
Recientemente, se ha sabido que en Estados Unidos la startup de salud Cerebral confirmó que los datos de salud mental de 3,1 millones de usuarios terminaron en las plataformas publicitarias de Google, Meta y TikTok, entre otras.
La información de los usuarios divulgada podía comprender sus nombres, números de teléfono, direcciones de correo electrónico, fechas de nacimiento, direcciones IP y otros datos demográficos, así como datos recopilados de la autoevaluación de salud mental, incluidos los servicios que el usuario seleccionó. Si el cliente compró un plan de suscripción, la información divulgada se amplía al tipo de plan de suscripción, citas, tratamientos, seguro médico contratado y monto del copago. Ahí es nada.
Desde octubre de 2019, Cerebral estaba compartiendo datos de sus usuarios con los gigantes tecnológicos a través de rastreadores y otros códigos de recopilación de datos que la startup incrustó en sus aplicaciones, como los «pixel de rastreo» que son un fragmento de código que los dueños de un sitio web pueden instalar, de forma gratuita, en una zona concreta de su página web, normalmente los botones de acceso a la ficha de productos o la casilla de compra de un artículo, para analizar el interés del usuario en determinado contenido del sitio web. Cuando el usuario hace clic en esa zona de la web, el pixel de rastreo recopila todo tipo de información, además se mantiene en la caché del navegador, de forma que va rastreando los distintos sitios que el usuario visita para crear un perfil detallado de la persona (compras, gustos, ideales políticos, etc.)
Las empresas tecnológicas como Google, Meta y TikTok permiten a los desarrolladores de sitios web incluir fragmentos de su código personalizado, lo que les permite obtener información acerca de la actividad de los usuarios, a menudo bajo la apariencia de análisis, pero también para publicidad.
El 1 de marzo de 2023, Cerebral reveló el incidente al Departamento de Salud y Servicios Humanos de Estados Unidos y eliminó las tecnologías de seguimiento, pero en abril de 2024, la Comisión Federal de Comercio (FTC) le impuso una multa de 7,1 millones de dólares por violaciones a la privacidad de los consumidores y prácticas comerciales engañosas, obligándola a prohibir la divulgación de datos sensibles para fines publicitarios sin consentimiento y a implementar un mecanismo sencillo para cancelar servicios.
Más casos en Estados Unidos
La FTC multó a GoodRx con 1,5 millones de dólares por compartir información sobre el estado de salud y medicamentos recetados de sus usuarios con plataformas publicitarias como Facebook y Google, sin el consentimiento de los afectados (comunicado oficial). En diciembre de 2024, GoodRx acordó pagar 25 millones de dólares para resolver una demanda colectiva por divulgación no autorizada de información de salud personal, separada de la multa de la FTC.
Por otro lado, BetterHelp, una plataforma de servicios digitales de salud mental, fue sancionada y obligada a indemnizar con 7,8 millones de dólares a sus usuarios por compartir información personal y de salud mental con anunciantes como Facebook, Snapchat y Pinterest entre 2017 y 2020, también sin informar adecuadamente a los usuarios ni obtener su consentimiento (comunicado oficial).
Casos en España
El listado de víctimas de ciberataques en España no deja de crecer (haciendo clic aquí pueden ver dicho listado).
El último caso conocido es el del Hospital Clínic de Barcelona que sufrió un ciberataque de tipo «ransomware» el 5 marzo de 2023. El ciberataque fue perpetrado por el grupo «RansomHouse» que logró cifrar aproximadamente 4,5 terabytes de información confidencial, además de obligar a desprogramar cientos de cirugías no urgentes y miles de consultas externas. Los servicios de laboratorio y farmacia también se vieron afectados.
El ciberataque afectó no solo al Hospital Clínic, sino también a sus entidades vinculadas: el Consorcio de Atención Primaria de Salud Barcelona Esquerra (CAPSBE), la Fundación de Investigación Clínic Barcelona–Instituto de Investigaciones Biomédicas August Pi y Sunyer (FRCB-IDIBAPS) y Barnaclínic.
Los ciberatacantes reclamaron un rescate de 4,5 millones de dólares, cantidad que la Generalitat de Cataluña se negó a pagar. Al no acceder al chantaje, se confirma que todos los datos personales de pacientes, profesionales y proveedores que obtuvieron los hackers se publicaron en la Dark Web.
En noviembre de 2024, la Autoridad Catalana de Protección de Datos (APDCAT) abrió un expediente informativo para verificar si el Hospital Clínic y sus entidades vinculadas habían implementado medidas adecuadas para garantizar la seguridad de los datos que custodian. La APDCAT concluyó que no realizaron una evaluación de riesgos ni aplicaron medidas de seguridad mínimas, incumpliendo así sus obligaciones como responsables del tratamiento de datos personales. Aunque no se impusieron sanciones económicas, la APDCAT requirió a las entidades afectadas que adopten medidas correctoras y acrediten su cumplimiento antes de 2026.
Conclusión
Cuando una persona enfrenta problemas de salud y busca ayuda, lo hace con la expectativa legítima de que su privacidad será protegida. Sin embargo, garantizar esa protección requiere un esfuerzo que no todas las organizaciones están dispuestas a asumir. Algunas optan por ahorrar recursos mientras no ocurra ningún incidente, una actitud que resulta inaceptable.
No se pierda nuestro podcast sobre el artículo
—
Más información
