As¨ª comparten las webs m¨¦dicas los datos de salud de sus usuarios con los anunciantes

Google no es la ¨²nica empresa?que recibe datos sanitarios de los ciudadanos. Financial Times publica hoy que algunos de los sitios web de salud m¨¢s populares del Reino Unido (entre ellos?Babycenter o Drugs) comparten datos confidenciales de sus usuarios?con docenas de empresas en todo el mundo. Estos datos incluyen s¨ªntomas m¨¦dicos, diagn¨®sticos, nombres de medicamentos e informaci¨®n menstrual y de fertilidad. Las empresas que reciben los datos van desde gigantes de publicidad como Google, Amazon, Facebook y Oracle a corredores de datos menos conocidos y firmas adtech como Scorecard y OpenX.

The Wall Street Journal public¨® el pasado lunes que Google ha?recibido sin permiso datos personales sobre la salud de decenas millones de estadounidenses provenientes de Ascension, una de las principales compa?¨ªas sanitarias del pa¨ªs.

Utilizando herramientas de c¨®digo abierto para analizar un centenar de sitios web brit¨¢nicos de salud, que incluyen WebMD, Healthline, Babycentre y Bupa, la investigaci¨®n de Financial Times descubri¨® que el 79% de los sitios suelen dejar cookies en los ordenadores de los usuarios. Las cookies (galletas en espa?ol) son peque?os trozos de c¨®digo que cuando se incrustan en su navegador permiten a compa?¨ªas privadas rastrear a personas en internet. Esta pr¨¢ctica se hizo sin el consentimiento del usuario, tal y como establece la ley.

M¨¢s informaci¨®n

Google quiere tus datos m¨¦dicos: ?sabes si te protegen las leyes?

Google recolect¨® sin permiso datos m¨¦dicos de millones de personas

El brazo publicitario de Google, DoubleClick, fue, con mucho, el destino m¨¢s com¨²n para los datos, ya que apareci¨® en el 78% de los sitios probados, seguido por Amazon, que estuvo presente en el 48% de los casos. Le siguen Facebook, Microsoft y la firma de adtech AppNexus.

"Estos hallazgos son bastante notables y muy preocupantes", asegura a FT Wolfie Christl, un tecn¨®logo e investigador que ha estado investigando la industria adtech. "Desde mi punto de vista, este tipo de datos es claramente sensible, tiene protecciones especiales bajo la legislaci¨®n europea y la transmisi¨®n de estos datos probablemente viola la ley".

En Europa, explica Alejandro Touri?o, socio director de Ecija, ¡°cualquier cesi¨®n de datos de un responsable de un fichero a un encargado de tratamiento (Google, Facebook, Oracle o la empresa que sea) requiere de la suscripci¨®n de un contrato de procesamiento de datos". Para eso, sin embargo, el usuario deber¨¢ ser informado del uso que se le va a dar a sus datos y deber¨¢ consentir expresamente la cesi¨®n.

"Los datos sanitarios merecen una especial protecci¨®n", recalca Julio Mayol, director m¨¦dico del Hospital Cl¨ªnico San Carlos. Salvo "que se solicite expresamente (lo que no ocurre en organizaciones p¨²blicas, excepto en los ensayos cl¨ªnicos) los datos pertenecen a los pacientes y solo pueden utilizarse con fines y condiciones bien delimitadas por quien tiene su custodia (el centro sanitario)".

Salud para la venta

Durante siglos, los m¨¦dicos han realizado el juramento hipocr¨¢tico, para mantener en secreto "lo que ven o escuchan en la vida de sus pacientes", asegura el rotativo brit¨¢nico. Hoy en d¨ªa, el acceso a internet permite que millones de personas consulten sus s¨ªntomas cada d¨ªa para calmar sus preocupaciones m¨¦dicas. Tenemos la ilusi¨®n de que lo que consultamos se queda en el ¨¢mbito privado, pero no es as¨ª.?

Financial Times analiz¨® los tipos de datos que estaban compartiendo tras dar el consentimiento para cookies en todos los sitios web que lo solicitaron. Sin embargo, las pol¨ªticas de privacidad que los reporteros de FT aceptaron no describ¨ªan adecuadamente que estos datos confidenciales se compartir¨ªan con terceros o con qu¨¦ fines se iban a compartir.

Los datos compartidos incluyen:

• Los nombres de las medicinas que se consultaron en webs como Drugs.com y que se enviaron al bloque de anuncios DoubleClick de Google.
• Los s¨ªntomas que se compartieron en el verificador de s¨ªntomas de WebMD y los diagn¨®sticos recibidos, incluidos conceptos como sobredosis de drogas, que se compartieron con Facebook.
• La informaci¨®n del ciclo menstrual y de ovulaci¨®n que se pone en BabyCentre y que termin¨® en Amazon Marketing, entre otros sitios.

Adem¨¢s, palabras clave como enfermedad card¨ªaca y considerando el aborto se compartieron desde sitios como la Fundaci¨®n Brit¨¢nica del Coraz¨®n, Bupa y Healthline a compa?¨ªas como Scorecard Research y Blue Kai (propiedad del gigante de software Oracle).

Desde la adopci¨®n del Reglamento General de Protecci¨®n de Datos (RGPD) en mayo de 2018, la industria de la publicidad online en Europa, valorada seg¨²n Financial Times?en 200.000 millones de d¨®lares, ha estado sujeta a normas m¨¢s estrictas en torno a la recopilaci¨®n y el procesamiento de datos.

Ahora es ilegal que los anunciantes compartan los datos m¨¢s confidenciales, incluso sobre salud y orientaci¨®n sexual, sin consentimiento expl¨ªcito. En otras palabras: el usuario debe aceptar compartir espec¨ªficamente sus datos de "categor¨ªa especial", y se le informar¨¢ de c¨®mo ser¨¢n utilizados y por qui¨¦n. Ninguno de los sitios web probados solicit¨® este tipo de consentimiento expl¨ªcito y detallado.

"La ley protege especialmente cuando los datos no est¨¢n anonimizados", explica Sergio de Juan-Creix, abogado experto en derecho digital y profesor colaborador de la UOC. "Si estamos hablando de datos an¨®nimos o agregados no aplicar¨ªa la normativa de protecci¨®n de datos en la medida en que dichos datos no identifican ni pueden ser asociados a ninguna persona". En su opini¨®n, "la revoluci¨®n digital, precisamente, tiene como uno de sus motores principales el estudio de datos an¨®nimos como, por ejemplo, el reciente estudio que pretende realizar el INE u otros hubs de datos que sirven para testar el coche aut¨®nomo".