Google no es la única empresa que recibe datos sanitarios de los ciudadanos. Financial Times publica que algunos de los sitios web de salud más populares del Reino Unido (entre ellos Babycenter o Drugs) comparten datos confidenciales de sus usuarios con docenas de empresas en todo el mundo.

Estos datos incluyen síntomas médicos, diagnósticos, nombres de medicamentos e información menstrual y de fertilidad. Las empresas que reciben los datos van desde gigantes de publicidad como Google, Amazon, Facebook y Oracle a corredores de datos menos conocidos y firmas adtech como Scorecard y OpenX.

The Wall Street Journal publicó hace unos días que Google ha recibido sin permiso datos personales sobre la salud de decenas millones de estadounidenses provenientes de Ascension, una de las principales compañías sanitarias del país.

Utilizando herramientas de código abierto para analizar un centenar de sitios web británicos de salud, que incluyen WebMD, Healthline, Babycentre y Bupa, la investigación de Financial Times descubrió que el 79% de los sitios suelen dejar cookies en las computadoras de los usuarios. Las cookies (galletas en español) son pequeños trozos de código que cuando se incrustan en su navegador permiten a compañías privadas rastrear a personas en internet. Esta práctica se hizo sin el consentimiento del usuario, tal y como establece la ley.

El brazo publicitario de Google, DoubleClick, fue, con mucho, el destino más común para los datos, ya que apareció en el 78% de los sitios probados, seguido por Amazon, que estuvo presente en el 48% de los casos. Le siguen Facebook, Microsoft y la firma de adtech AppNexus.

"Estos hallazgos son bastante notables y muy preocupantes", asegura a FT Wolfie Christl, un tecnólogo e investigador que ha estado investigando la industria adtech. "Desde mi punto de vista, este tipo de datos es claramente sensible, tiene protecciones especiales bajo la legislación europea y la transmisión de estos datos probablemente viola la ley".

En Europa, explica Alejandro Touriño, socio director de Ecija, "cualquier cesión de datos de un responsable de un fichero a un encargado de tratamiento (Google, Facebook, Oracle o la empresa que sea) requiere de la suscripción de un contrato de procesamiento de datos". Para eso, sin embargo, el usuario deberá ser informado del uso que se le va a dar a sus datos y deberá consentir expresamente la cesión.

"Los datos sanitarios merecen una especial protección", recalca Julio Mayol, director médico del Hospital Clínico San Carlos. Salvo "que se solicite expresamente (lo que no ocurre en organizaciones públicas, excepto en los ensayos clínicos) los datos pertenecen a los pacientes y solo pueden utilizarse con fines y condiciones bien delimitadas por quien tiene su custodia (el centro sanitario)".

Salud para la venta

Durante siglos, los médicos han realizado el juramento hipocrático, para mantener en secreto "lo que ven o escuchan en la vida de sus pacientes", asegura el rotativo británico. Hoy en día, el acceso a internet permite que millones de personas consulten sus síntomas cada día para calmar sus preocupaciones médicas. Tenemos la ilusión de que lo que consultamos se queda en el ámbito privado, pero no es así.

Financial Times analizó los tipos de datos que estaban compartiendo tras dar el consentimiento para cookies en todos los sitios web que lo solicitaron. Sin embargo, las políticas de privacidad que los reporteros de FT aceptaron no describían adecuadamente que estos datos confidenciales se compartirían con terceros o con qué fines se iban a compartir.

Los datos compartidos incluyen:

- Los nombres de las medicinas que se consultaron en webs como Drugs.com y que se enviaron al bloque de anuncios DoubleClick de Google.

- Los síntomas que se compartieron en el verificador de síntomas de WebMD y los diagnósticos recibidos, incluidos conceptos como sobredosis de drogas, que se compartieron con Facebook.

- La información del ciclo menstrual y de ovulación que se pone en BabyCentre y que terminó en Amazon Marketing, entre otros sitios.

Además, palabras clave como enfermedad cardíaca y considerando el aborto se compartieron desde sitios como la Fundación Británica del Corazón, Bupa y Healthline a compañías como Scorecard Research y Blue Kai (propiedad del gigante de software Oracle).

Desde la adopción del Reglamento General de Protección de Datos (RGPD) en mayo de 2018, la industria de la publicidad online en Europa, valorada según Financial Times en 200.000 millones de dólares, ha estado sujeta a normas más estrictas en torno a la recopilación y el procesamiento de datos.

Ahora es ilegal que los anunciantes compartan los datos más confidenciales, incluso sobre salud y orientación sexual, sin consentimiento explícito. En otras palabras: el usuario debe aceptar compartir específicamente sus datos de "categoría especial", y se le informará de cómo serán utilizados y por quién. Ninguno de los sitios web probados solicitó este tipo de consentimiento explícito y detallado.

"La ley protege especialmente cuando los datos no están anonimizados", explica Sergio de Juan-Creix, abogado experto en derecho digital y profesor colaborador de la UOC. "Si estamos hablando de datos anónimos o agregados no aplicaría la normativa de protección de datos en la medida en que dichos datos no identifican ni pueden ser asociados a ninguna persona".

En su opinión, "la revolución digital, precisamente, tiene como uno de sus motores principales el estudio de datos anónimos como, por ejemplo, el reciente estudio que pretende realizar el INE u otros hubs de datos que sirven para testar el coche autónomo".

Te puede interesar