Los hospitales, a pesar de ser lugares donde la gente espera implícitamente que sus datos personales se mantengan privados, utilizan con frecuencia tecnologías de seguimiento en sus sitios web para compartir información del usuario con Google, Meta, intermediarios de datos y otros terceros, según una investigación publicada hoy.
Académicos de la Universidad de Pensilvania analizaron una muestra representativa a nivel nacional de 100 hospitales de cuidados intensivos no federales (esencialmente hospitales tradicionales con departamentos de emergencia) y descubrieron que el 96 por ciento de sus sitios web transmitían datos de los usuarios a terceros.
Además, no todos estos sitios web tenían una política de privacidad. Y del 71 por ciento que lo hizo, el 56 por ciento reveló compañías de terceros específicas que podrían recibir información del usuario.
“Es impactante y realmente incomprensible”, dijo el Dr. Ari Friedman, profesor asistente de medicina de emergencia en la Universidad de Pensilvania, quien, junto con Matthew McCoy, Angela Wu, Sam Burdyl, Yungjee Kim, Noell Kristen Smith y Rachel Gonzales – autor del artículo.
“La gente se ha preocupado por la privacidad de la salud durante muchísimo tiempo”, señaló Friedman en una entrevista con El registro. “Es muy fundamental para la naturaleza humana. Incluso si se trata de información que habrías compartido con otras personas, todavía hay una pérdida, solo una pérdida intrínseca, cuando ni siquiera tienes control sobre con quién compartes esa información”.
Hay una pérdida intrínseca cuando ni siquiera tienes control sobre con quién compartes esa información.
El último trabajo de los investigadores se basa en un estudio que publicaron hace un año sobre 3.747 sitios web de hospitales no federales de EE. UU. Esto encontró que el 98,6 por ciento rastreó y transfirió los datos de los visitantes a grandes empresas de tecnología y redes sociales, empresas de publicidad y corredores de datos.
Para encontrar los rastreadores en los sitios web, el equipo revisó la página de inicio de cada hospital el 26 de enero utilizando webXray, una herramienta de código abierto que detecta solicitudes HTTP de terceros y las relaciona con las organizaciones que reciben los datos. También registraron la cantidad de cookies de terceros por página.
¿Quién está viendo tus datos?
Un nombre en particular destacó en cuanto a quién recibía la información de los visitantes del sitio web.
“En todos los estudios que hemos realizado, en cualquier parte del sistema de salud, Google, cuya empresa matriz es Alphabet, aparece en casi todas las páginas, incluidos los hospitales”, observó Friedman.
“A partir de ahí, decae”, continuó. “Meta estaba en poco más de la mitad de las páginas web de los hospitales, y Meta Pixel es notable porque parece ser una de las entidades más llamativas que existen en términos de seguimiento”.
Tanto las tecnologías de seguimiento de Meta como las de Google han sido objeto de denuncias penales y demandas a lo largo de los años, al igual que algunas empresas de atención sanitaria que compartieron datos con estos y otros anunciantes.
Además, entre el 20 y el 30 por ciento de los hospitales comparten datos con Adobe, señaló Friedman. “Todo el mundo conoce Adobe para archivos PDF. Según tengo entendido, también tienen una división de seguimiento dentro de su división de publicidad”.
Otros incluyen empresas de telecomunicaciones y marketing digital como The Trade Desk y Verizon, además de los gigantes tecnológicos Oracle, Microsoft y Amazon, según Friedman. Luego también están las empresas de análisis como Hotjar y corredores de datos como Acxiom.
“Y dos tercios de los sitios web de los hospitales tenían algún tipo de transferencia de datos a un dominio de terceros que ni siquiera pudimos identificar”, añadió.
De las 71 políticas de privacidad del sitio web del hospital que encontró el equipo, 69 abordaban los tipos de información del usuario que se recopiló. Los más comunes fueron las direcciones IP (80 por ciento), el nombre y la versión del navegador web (75 por ciento), las páginas visitadas en el sitio web (73 por ciento) y el sitio web desde el que llegó el usuario (73 por ciento).
Sólo el 56 por ciento de estas políticas identificaron a las empresas de terceros que recibían información del usuario.
Si bien esto pone a los visitantes del sitio web del hospital en riesgo de que se recopilen y compartan sus datos con otras personas que tal vez no quieran, también representa un riesgo para los propios hospitales, anotaron los investigadores.
Los hospitales no están obligados legalmente a publicar políticas de privacidad de sitios web que detallen cómo recopilan los datos de los visitantes y con quién los comparten. Pero si tienen una política de privacidad, es mejor que se aseguren de que sus procesos de eliminación de información personal previa solicitud, por ejemplo, sigan a la policía gubernamental, o podrían enfrentar la ira de reguladores como la Comisión Federal de Comercio.
“Los sitios web que recopilan categorías específicas de información de ciertos usuarios también pueden estar sujetos a otros requisitos federales y estatales específicos en términos de recopilación de datos y notificación”, advierte el documento.
“Si bien la demanda contra el General de Masas Brigham y el Instituto del Cáncer Dana Farber se presentó conforme a la ley de Massachusetts, los demandantes han presentado demandas colectivas similares en varios estados”.
Mass General Brigham terminó pagando un acuerdo de 18,4 millones de dólares para resolver una demanda colectiva que alegaba que las instituciones compartían información de identificación personal sobre pacientes con Facebook, Google y otras empresas.
Un replanteamiento fundamental
Por supuesto, la amenaza a la privacidad de los datos se extiende más allá de los sitios web de los hospitales, como Friedman se apresura a señalar.
“¿Por qué los hospitales tienen seguimiento en sus páginas web?” Me lo he preguntado. “No es que estén recibiendo sobornos de Google y Acxiom, intermediarios de datos, anunciantes y empresas de redes sociales que venden los datos de sus pacientes a cambio de dinero.
“Lo hacen porque este material está omnipresente en toda la Web. Lo están haciendo porque hay una economía publicitaria de decenas de miles de millones de dólares”.
Si bien presenta un desafío importante para los proveedores de atención médica en general y para los hospitales en particular, también es una oportunidad.
“Muchos hospitales son hospitales académicos y tienen departamentos de informática con los que podrían colaborar y diseñar nuevas herramientas y nuevas empresas, algo en lo que las universidades son buenas”, señaló Friedman. “Construya un nuevo sitio web que no implique tanto seguimiento.
Pero mientras tanto, y en lugar de cualquier ley federal de privacidad de datos en los EE. UU., la protección de la información personal recae en el individuo. Y para eso, Friedman recomienda las herramientas basadas en navegador Ghostery y Privacy Badger, que identifican y bloquean transferencias a dominios de terceros.
“No afecta casi en absoluto su experiencia de navegación”, explicó. “Es gratis. Y se sorprenderá de la cantidad de seguimiento que realmente se realiza y de la cantidad de datos que realmente fluyen hacia terceros”. ®
