La Ley Federal de Privacidad del Paciente no cubre la mayoría de las aplicaciones de seguimiento del período
Aurich Lawson | Getty Images ProPublica es una redacción de investigación ganadora del Premio Pulitzer. Suscríbase al boletín The Big Story para recibir historias como esta en su bandeja de entrada. Tras la decisión de la Corte Suprema en Roe v. Wade, los defensores de la privacidad y la salud reproductiva han expresado su temor de que los datos de las aplicaciones de seguimiento del período puedan usarse para encontrar personas que han tenido abortos. Estás bien. La Ley de Portabilidad y Responsabilidad de Seguros Médicos, la ley federal de privacidad del paciente conocida como HIPAA, no se aplica a la mayoría de las aplicaciones que rastrean los ciclos menstruales, ni a muchas aplicaciones de salud y kits de pruebas en el hogar. En 2015, ProPublica informó que HIPAA, que se aprobó en 1996, no se ha mantenido al día con los cambios tecnológicos y no cubre las pruebas de paternidad en el hogar, los rastreadores de actividad física o las aplicaciones de salud. La historia era sobre una mujer que compró una prueba de paternidad casera en una farmacia local y se conectó a Internet para obtener los resultados. Parte de la dirección del sitio web del laboratorio llamó su atención como consultora de ciberseguridad. Cuando cambió ligeramente la URL, apareció una larga lista de resultados de pruebas de unas 6.000 personas más. Ella se quejó en Twitter y el sitio fue cerrado. Pero cuando alertó a la Oficina de Derechos Civiles del Departamento de Salud y Servicios Humanos de EE. UU., que supervisa el cumplimiento de la HIPAA, los funcionarios le dijeron que no podían hacer nada al respecto. Esto se debe a que HIPAA solo cubre los datos de los pacientes en poder de los proveedores de atención médica, las aseguradoras y las cámaras de compensación de datos y sus socios comerciales. Deven McGraw es el exdirector asociado de Protección de la Información de Salud en la Oficina de Derechos Civiles del HHS. Ella dijo que la decisión de derrocar a Roe, llamada Dobbs v. Jackson Women’s Health Organization debería generar un debate más amplio sobre los límites de HIPAA. «De repente, la gente se está dando cuenta de que se está recopilando una gran cantidad de datos confidenciales fuera de la HIPAA y dicen: ‘¿Qué vamos a hacer?'», dijo McGraw, quien ahora es responsable de los datos. administración e intercambio de datos en Invitae, una empresa de genética médica. «Ha sido así por un tiempo, pero ahora es más visible». McGraw señaló que este no es solo el caso de las aplicaciones de seguimiento de períodos, sino también de algunas aplicaciones que almacenan registros de vacunas COVID-19. Dado que el Congreso escribió HIPAA, los legisladores tendrían que actualizarlo para cubrir estos casos. «Nuestras prácticas de privacidad de la salud están muy desactualizadas», dijo. “Pero las agencias no pueden arreglar eso. Eso está en el Congreso”. El laboratorio digital de Consumer Reports evaluó ocho aplicaciones de seguimiento del período esta primavera y descubrió que cuatro permitían el seguimiento de terceros por parte de empresas distintas al fabricante de la aplicación. Cuatro aplicaciones almacenaron datos de forma remota, no solo en el dispositivo del usuario. Eso hace que la información esté potencialmente sujeta a una violación de datos o una citación de las fuerzas del orden, aunque una de las empresas encuestadas por Consumer Reports dijo que cerraría en lugar de divulgar los datos de los usuarios. En un comunicado de prensa la semana pasada, HHS trató de disipar las preocupaciones con algunos consejos que suenan tranquilizadores. «Informes recientes indican que a muchas pacientes les preocupa que los rastreadores menstruales y otras aplicaciones de información de salud en los teléfonos inteligentes puedan comprometer su derecho a la privacidad al exponer los datos de geolocalización, que podrían ser utilizados indebidamente por aquellos que desean rechazar el tratamiento», dijo el HHS en el comunicado de prensa. El documento cita al secretario del HHS, Xavier Becerra, sobre la protección de HIPAA: «HHS apoya a los pacientes y proveedores en la protección de los derechos de privacidad y la información de salud reproductiva de HIPAA», dijo Becerra. Instó a cualquiera que crea que se han violado sus derechos de privacidad a presentar una queja ante la Oficina de Derechos Civiles. El comunicado de prensa reconoció más tarde que, en la mayoría de los casos, las normas de la HIPAA no protegen la privacidad ni la seguridad de la información de salud de las personas cuando acceden o almacenan teléfonos celulares o tabletas personales. Proporcionó orientación sobre los pasos que las personas pueden tomar para proteger su información. Desde la decisión judicial de revocar Roe, algunas aplicaciones de seguimiento de períodos han tomado medidas para minimizar el riesgo de compartir información personal. Una de esas empresas, llamada Flo, dijo que estaba desarrollando un «modo anónimo» que no requeriría que los usuarios proporcionen su nombre o dirección de correo electrónico. «Flo no comparte ni vende datos de salud con otras compañías, pero quería dar ese paso adicional para tranquilizar a los usuarios que viven en estados afectados por la prohibición del aborto», dijo la compañía en un comunicado de prensa. “Es importante tener en cuenta que una vez que se habilite este modo, los usuarios ya no podrán recuperar datos si el dispositivo se pierde, se modifica o se lo roban, y puede haber limitaciones en el uso de todos los beneficios de personalización de la aplicación. Por esta razón, Flo ofrece a los usuarios afectados el modo anónimo como opción, en lugar de habilitarlo de manera predeterminada». En un comunicado posterior a la decisión de la Corte Suprema, el grupo de derechos civiles digitales Electronic Frontier Foundation dijo que los consumidores deberían poder acceder a «configuraciones de privacidad la configuración de privacidad que usan Preste atención a los servicios, desactive los servicios de ubicación para aplicaciones que no los necesitan y use servicios de mensajería cifrada. «Las organizaciones deben proteger a los usuarios permitiendo el acceso anónimo, deteniendo el seguimiento del comportamiento, fortaleciendo las políticas de eliminación de datos, cifrando los datos en tránsito, habilitando el cifrado de mensajes de extremo a extremo de forma predeterminada, evitando el seguimiento de la ubicación y asegurándose de que los usuarios sean notificados cuando sus datos está almacenado”, se lee en la declaración EFF. “Y los legisladores federales y estatales deben aprobar leyes de privacidad significativas. Todos estos pasos son necesarios para proteger la privacidad y están muy retrasados”.