Facebook recibe información médica confidencial de sitios web de hospitales

Aurich Lawson | Getty Images Una herramienta de seguimiento instalada en los sitios web de muchos hospitales recopila información de salud confidencial de los pacientes, incluidos detalles sobre sus condiciones médicas, recetas y citas médicas, y la envía a Facebook. El marcado probó los sitios web de los 100 mejores hospitales de Newsweek en Estados Unidos. Para 33 de ellos, encontramos el rastreador llamado Meta Pixel, que enviaba a Facebook un paquete de datos cuando una persona hacía clic en un botón para programar una cita con el médico. Los datos están vinculados a una dirección IP, un identificador, que es como la dirección de correo de una computadora y generalmente se puede asociar con una persona u hogar específico, creando una confirmación confidencial de la solicitud de cita para Facebook.
Por ejemplo, en el sitio web del Centro Médico de los Hospitales Universitarios de Cleveland, al hacer clic en el botón Programar en línea en la página de un médico, el metapíxel envió a Facebook el texto del botón, el nombre del médico y el término de búsqueda que usamos para encontrarlo: «Aborto». . Al hacer clic en el botón Programar en línea ahora para un médico en el sitio web del Hospital Froedtert en Wisconsin, el metapíxel envió a Facebook el texto del botón, el nombre del médico y la afección, que seleccionamos en un menú desplegable: «Alzheimer». El marcado también encontró que Meta Pixel se instaló en los portales de pacientes protegidos con contraseña de siete sistemas de atención médica. En cinco páginas de estos sistemas, hemos documentado que el píxel envía datos de Facebook sobre pacientes reales que se han ofrecido como voluntarios para participar en el proyecto Pixel Hunt, una colaboración entre The Markup y Mozilla Rally. El proyecto es de origen colectivo donde cualquiera puede instalar el complemento del navegador Rally de Mozilla para enviar los datos de marcado en el metapíxel tal como aparece en los sitios web visitados. Los datos enviados a los hospitales incluían los nombres de los medicamentos de los pacientes, descripciones de sus reacciones alérgicas y detalles de sus próximas citas médicas. Los ex reguladores, expertos en seguridad de datos de salud y funcionarios de privacidad que revisaron los hallazgos de The Markup dijeron que los hospitales en cuestión pueden haber violado la Ley federal de Portabilidad y Responsabilidad del Seguro Médico (HIPAA). La ley prohíbe a las entidades afectadas, como hospitales, compartir información de salud personal con terceros, como Facebook, a menos que una persona haya dado su consentimiento expreso por adelantado o en virtud de contratos específicos. Ni los hospitales ni Meta dijeron que habían celebrado dichos contratos, y The Markup no encontró evidencia de que los hospitales o Meta obtuvieran el consentimiento expreso de los pacientes. «Estoy profundamente preocupado por lo que [the hospitals] involucrados en la recopilación y divulgación de sus datos», dijo David Holtzman, un asesor de privacidad de salud que anteriormente se desempeñó como asesor principal de privacidad en la Oficina de Derechos Civiles del Departamento de Salud y Servicios Humanos de EE. UU., que hace cumplir la HIPAA. «No puedo decir [sharing this data] es ciertamente una violación de HIPAA. Es muy probable que sea una violación de HIPAA». El portavoz del Centro Médico de los Hospitales Universitarios de Cleveland, George Stamatis, no respondió a las preguntas de The Markup, pero dijo en una breve declaración que el hospital «se comporta[s] con todas las leyes federales y estatales aplicables y los requisitos reglamentarios». Después de revisar los hallazgos de The Markup, el Hospital Froedtert eliminó el metapíxel de su sitio web «por precaución», escribió Steve Schooff, un portavoz del hospital, en un comunicado. Hasta el 15 de junio, otros seis hospitales también habían eliminado píxeles de sus páginas de reserva de citas, y al menos cinco de los siete sistemas de atención médica que tenían metapíxeles instalados en sus portales de pacientes habían eliminado esos píxeles. Los 33 hospitales que encontró The Markup y que envían los detalles de las citas de los pacientes a Facebook informaron más de 26 millones de admisiones de pacientes y visitas ambulatorias combinadas en 2020, según los últimos datos disponibles de la Asociación Estadounidense de Hospitales. Nuestra investigación se limitó a poco más de 100 hospitales; Es probable que el intercambio de datos afecte a muchos más pacientes e instituciones de los que hemos identificado. Facebook en sí no está sujeto a HIPAA, pero los expertos entrevistados para esta historia expresaron su preocupación sobre cómo el gigante de la publicidad podría usar los datos personales de salud que recopila para su propio beneficio. «Este es un ejemplo extremo de cómo los tentáculos de la gran tecnología llegan a lo que consideramos un espacio de datos protegido», dijo Nicholson Price, profesor de derecho de la Universidad de Michigan que estudia big data y atención médica. «Creo que eso es espeluznante, problemático y potencialmente ilegal» desde la perspectiva de los hospitales. El marcado no pudo determinar si Facebook usó los datos para orientar anuncios, entrenar sus algoritmos de recomendación o beneficiarse de ellos de otra manera.