El sector sanitario estadounidense sufre un desagradable desorden digital que se extiende más allá de los innumerables casos de robo de datos y llega a algo más pernicioso. ¿Cómo lo contrajimos y cómo lo curamos?
Los titulares están llenos de ejemplos de empresas de atención médica pirateadas que pierden datos de sus clientes. De Anthem de de 79 millones de registros de usuarios en 2015, hasta diciembre pasado robo de los datos de 3.3 millones de usuarios de Regal Medical Group, las filtraciones siguen llegando. El último informe del Departamento de Salud y Servicios Humanos de EE. UU. informar al Congreso muestra un aumento del 58.2% en los informes de violación de datos que afectan a más de 500 personas entre 2017 y 2021.
Tres tipos de incumplimiento
Las dos primeras causas principales de violaciones de la privacidad se conocen bien. La infracción de Anthem se incluye en un ataque dirigido contra un sistema bien protegido. Los investigadores concluyeron que un estado-nación extranjero estaba involucrado y Anthem había tomado medidas razonables para proteger sus datos antes del hackeo. La segunda causa es la negligencia incompetente, como la exposición de millones de imágenes médicas en línea a través de un almacenamiento inseguro.
La tercera causa de infracciones a la privacidad es más interesante porque es intencional. Se realiza con el conocimiento de la empresa responsable de los datos de salud. Para tomar prestado de la terminología médica, los dos primeros tipos de incumplimiento son eventos agudos y discretos con un final conocido. Una infracción de la privacidad incluida en la política de la empresa es una enfermedad crónica que se agrava mientras los perpetradores lo permiten.
Una de las transgresiones de privacidad más notables sancionadas por empresas involucró un servicio de asesoramiento en línea llamado BetterHelp. En marzo de este año, la FTC obligó a esta empresa a pagar un acuerdo de 7.8 millones de dólares para resolver los cargos de compartir datos confidenciales de atención médica de los consumidores con terceros, incluidos Facebook, Pinterest y Snapchat. La FTC dijo que BetterHelp compartió datos, incluida información sobre los problemas de salud mental de los consumidores recopilados a través de un cuestionario, junto con sus direcciones de correo electrónico y direcciones IP.
Pasar esta información a Facebook permitió al gigante de las redes sociales extraer datos que tenía sobre sus otros usuarios, encontrar aquellos con rasgos similares a los clientes de BetterHelp y dirigirse a ellos con anuncios para generar nuevos clientes.
los de la FTC queja También alega que BetterHelp incluyó el sello de la Ley de Responsabilidad y Portabilidad de Seguros Médicos (HIPAA) en sus sitios y reclamó la certificación sin que ninguna agencia gubernamental revisara las prácticas de datos de la empresa.
El seguimiento de terceros abunda entre los proveedores de atención médica. A (reporte) in Asuntos de la Salud Recientemente descubrió que casi el 99% de los hospitales utilizan el seguimiento en sus sitios web. Estos rastreadores enviaban datos a redes sociales, empresas de publicidad y corredores de datos. Estos hospitales “están facilitando la elaboración de perfiles de sus pacientes por parte de terceros”, según el informe, lo que provoca daños a dignatarios”.
Regístrese aquí y renuncie a sus derechos de privacidad para continuar
Las infracciones de privacidad no siempre se llevan a cabo sin el conocimiento del usuario. A veces, como sucede a menudo en el sector tecnológico, las empresas persuaden a los clientes para que renuncien a sus derechos de privacidad. Un correo de Washington investigación Recientemente se descubrió que Amazon hace esto como parte de su proyecto de atención médica centrado en el consumidor de Amazon Clinic. El servicio sigue el modelo de plataforma, proporcionando un foro para que los consumidores interactúen en línea con médicos asociados y obtengan recetas médicas. Sin embargo, como muchos operadores de plataformas, Amazon cobra más que una simple parte de la tarifa; también puede recopilar datos de los clientes. En este caso, los datos en juego son muy sensibles, incluidos detalles y fotografías de condiciones médicas.
Según la investigación del WaPo, Amazon exige a los clientes que firmen un formulario que les da acceso al expediente médico de un paciente y permiso para "volver a divulgarlo", después de lo cual "ya no estará protegido por HIPAA".
"¿Qué puede salir mal?" pregunta el autor del WaPo, Geoffrey Fowler. "Hay muchas formas asquerosas en las que Amazon podría usar su información de salud: para venderle otros servicios, para dirigir el marketing de su gigantesco negocio publicitario o para desarrollar inteligencia artificial o modelos de riesgo para el paciente".
Amazon –o incluso las empresas a las que pasa los datos– también podría vender legalmente sus datos a otras personas de las que nunca ha oído hablar. Podría potencialmente caer en manos del Estado, planteando el espectro de que, por ejemplo, los gobiernos estatales utilicen el estado de embarazo real o sospechado de una persona para hacer cumplir las leyes antiaborto.
Ya hemos visto estados que utilizan datos para procesar casos de aborto ilegal. El verano pasado, los funcionarios encargados de hacer cumplir la ley usado Mensajes de chat de Facebook entre madre e hija para judicializar un caso de aborto gestionado ilegalmente. Este caso se compró antes de que SCOTUS anulara Roe V Wade e involucrara una violación de la ley estatal existente basada en el término del embarazo.
Es hora de actualizar la ley
Amazon le dijo a WaPo que no utiliza los datos de los clientes para fines que los clientes no hayan dado su consentimiento, pero ese es el punto. Los clientes a menudo firman el consentimiento sin leer los contratos tan bien como deberían. Esto se debe en parte a que los contratos son largos y complejos. En el caso de Amazon, el consentimiento es obligatorio. O firmas o no recibes el servicio. Esto no estaría permitido según la legislación de la UE. Reglamento General de Protección de Datos (GRPR), que prohíbe explícitamente esa práctica.
Tal como está, HIPAA es la única ley federal que protege explícitamente los datos de salud, pero tiene deficiencias. Se aplica únicamente a entidades cubiertas (proveedores de atención médica y empresas de salud) y no a otras personas que puedan recopilar y utilizar datos de salud.
Cuando se aprobó HIPAA en 1996, Windows 95 y Amazon.com eran nuevos y brillantes. Si bien la tecnología ha avanzado, la ley no. HIPAA ya no es tan eficaz como necesitamos en un mundo donde los datos y metadatos confidenciales se digitalizan de forma rutinaria y se entregan al mejor postor. Estados Unidos debería actualizar la legislación federal sobre privacidad para fortalecer o proporcionar una alternativa a la HIPAA y al mosaico de leyes que respaldan una privacidad más amplia del consumidor. Una legislación federal sobre privacidad fuerte y cohesiva sería justo lo que el médico recetó, junto con un regulador bien financiado para hacerla cumplir.
