El diario Financial Times publica hoy que algunos de los sitios web de salud más populares del Reino Unido (entre ellos Babycenter o Drugs) comparten datos confidenciales (síntomas médicos, diagnósticos, nombres de medicamentos e información menstrual y de fertilidad, por ejemplo) de sus usuarios con docenas de empresas en todo el mundo. Las empresas que reciben los datos van desde Google, Amazon, Facebook y Oracle a corredores de datos menos conocidos y firmas adtech como Scorecard y OpenX.
The Wall Street Journal publicó el pasado lunes que Google ha recibido sin permiso datos personales sobre la salud de decenas millones de estadounidenses provenientes de Ascension, una de las principales compañías sanitarias del país.
Utilizando herramientas de código abierto para analizar un centenar de sitios web británicos de salud, la investigación descubrió que el 79% de los sitios suelen dejar cookies en las computadoras de los usuarios sin el consentimiento del usuario, algo prohibido por la ley.
El brazo publicitario de Google, DoubleClick, fue, con mucho, el destino más común para los datos, ya que apareció en el 78% de los sitios probados, seguido por Amazon, que estuvo presente en el 48% de los casos. Le siguen Facebook, Microsoft y la firma de adtech AppNexus.
Financial Times analizó los tipos de datos que estaban compartiendo tras dar el consentimiento para cookies en todos los sitios web que lo solicitaron. Sin embargo, las políticas de privacidad que los reporteros de FT aceptaron no describían adecuadamente que estos datos confidenciales se compartirían con terceros o con qué fines se iban a compartir.
Los datos compartidos incluyen:
Desde la adopción del Reglamento General de Protección de Datos (RGPD) en mayo de 2018, la industria de la publicidad online en Europa, valorada según Financial Times en 200.000 millones de dólares, ha estado sujeta a normas más estrictas en torno a la recopilación y el procesamiento de datos.
Ahora es ilegal que los anunciantes compartan los datos más confidenciales, incluso sobre salud y orientación sexual, sin consentimiento explícito. Ninguno de los sitios web probados solicitó este tipo de consentimiento explícito y detallado.
"La ley protege especialmente cuando los datos no están anonimizados", explica Sergio de Juan-Creix, abogado experto en derecho digital y profesor colaborador de la UOC. "Si estamos hablando de datos anónimos o agregados no aplicaría la normativa de protección de datos en la medida en que dichos datos no identifican ni pueden ser asociados a ninguna persona". En su opinión, "la revolución digital, precisamente, tiene como uno de sus motores principales el estudio de datos anónimos como, por ejemplo, el reciente estudio que pretende realizar el INE u otros hubs de datos que sirven para testar el coche autónomo".