top of page

Facebook podría enfrentar demanda tras recibir información médica sensible


La red social más popular de todos los tiempos, se encuentra bajo el ojo del huracán, tras descubrirse que en 33 de 100 de los mejores hospitales de Estados Unidos fue instalada una herramienta de seguimiento que recopila información médica sensible de los pacientes y luego es enviada a Facebook. Los datos incluyen detalles sobre sus condiciones médicas, recetas y citas con el especialista.


El rastreador, llamado Meta Pixel, que envía a Facebook un paquete de datos cada vez que una persona hace clic en un botón para programar una cita con el médico. Los datos se conectan a una dirección IP creando una recepción íntima de la solicitud de cita para la red.


Hasta los momentos se ha descubierto que Meta Pixel ha sido instalado dentro de portales de pacientes protegidos por contraseñas de siete sistemas de salud.


Un ejemplo de lo ocurrido se dio en el sitio web del Centro Médico de los Hospitales Universitarios de Cleveland. Cuando una persona daba click el botón "Programar en línea" de la página de un médico, toda esa información fue enviada a Meta Pixel, desde el nombre del profesional en el área de salud hasta la hora y el motivo por cuál el paciente programa una cita.


Ex reguladores, expertos en seguridad de datos sanitarios y defensores de la privacidad aseguran que los hospitales en cuestión podrían haber violado la Ley Federal de Portabilidad y Responsabilidad del Seguro Médico (HIPAA). Dicha ley prohíbe a las entidades cubiertas, como los hospitales, compartir información sanitaria de identificación personal con terceros como Facebook, excepto cuando un individuo haya dado su consentimiento expreso por adelantado o en virtud de determinados contratos.


Entretanto, se dice que no hay algún acuerdo entre los hospitales y Facebook que sostenga un consentimiento por parte de los pacientes para "compartir sus datos médicos".


"Estoy profundamente preocupado por lo que los hospitales están haciendo con la captura de sus datos y el intercambio de los mismos", dijo David Holtzman, un consultor de privacidad de la salud que anteriormente se desempeñó como asesor principal de privacidad en la Oficina de Derechos Civiles del Departamento de Salud y Servicios Humanos de Estados Unidos, que hace cumplir la HIPAA. "No puedo decir que compartir estos datos sea con seguridad una violación de la HIPAA. Es bastante probable que sea una violación de la HIPAA".

Portavoces de algunos hospitales se han pronunciado, entre ellos, el portavoz del Centro Médico de los Hospitales Universitarios de Cleveland, George Stamatis, quien aseguró que el lugar "cumple con todas las leyes federales y estatales aplicables y los requisitos reglamentarios."


Hasta el 15 de junio, otros seis hospitales también habían eliminado los píxeles de sus páginas de reserva de citas y al menos cinco de los siete sistemas sanitarios que tenían Metapíxeles instalados en sus portales de pacientes los habían retirado. Uno de ellos fue el Hospital Froedtert según su comunicado fue "por exceso de precaución.


Por el momento Meta, la empresa matriz de Facebook no se ha pronunciado al respecto, Los rumores dicen que esta información podría haber sido utilizada para orientar los anuncios publicitarios de interés a ese segmento. Esto último es una alternativa bastante creíble ya que, semanas atrás la empresa habló sobre la crisis que estaba atravesando y la congelación de personal, donde indirectamente culpó a Apple por habilitar una opción que permite a los usuarios no compartir sus datos para evitar cualquier tipo de publicidad.


Funcionamiento del Meta Pixel:


El Meta Pixel es un fragmento de código que rastrea a los usuarios mientras navegan por un sitio web, registrando qué páginas visitan, en qué botones hacen clic y cierta información que introducen en formularios. Es una de las herramientas de rastreo más prolíficas de Internet: está presente en más del 30% de los sitios más populares de la web.


A cambio de instalar su píxel, Meta proporciona a los propietarios de sitios web análisis sobre los anuncios que han colocado en Facebook e Instagram y herramientas para dirigirse a las personas que han visitado su sitio web.


Una reconocida página estadounidense creó su propia cuenta de MyChart a través de Novant Health para seguir investigando y descubrió que el Meta Pixel recogía otra serie de información sensible.


Al hacer clic en un botón, el píxel indicaba a Facebook el nombre y la dosis de un medicamento de su historia clínica, así como las notas que habían introducido sobre la prescripción. El píxel también le dijo a Facebook qué botón habían pulsado en respuesta a una pregunta sobre la orientación sexual.


Epic Systems, la empresa de software que está detrás de MyChart, ha "recomendado específicamente una mayor precaución en torno al uso de scripts de análisis personalizados", escribió en un correo electrónico Stirling Martin, vicepresidente senior de la empresa.

"Casi cualquier paciente se escandalizaría si descubriera que se está proporcionando a Facebook una forma fácil de asociar sus recetas con su nombre", dijo Glenn Cohen, director de la facultad del Centro Petrie-Flom de Política de Derecho Sanitario, Biotecnología y Bioética de la Facultad de Derecho de Harvard. "Aunque quizás haya algo en la arquitectura legal que permita que esto sea lícito, está totalmente fuera de las expectativas de lo que los pacientes piensan que las leyes de privacidad sanitaria hacen por ellos".

La recopilación de datos por parte de Facebook en los sitios web de los hospitales ha sido objeto de múltiples demandas en varios estados, con resultados dispares. Esos casos implican tipos de datos que, según los expertos en derecho sanitario, son netamente sensibles.


Ahora bien, Meta afirma explícitamente en las condiciones de servicio de sus herramientas comerciales que el píxel y otros rastreadores sí recogen información personal identificable para diversos fines.


Facebook lanzó su sistema de filtrado de datos sanitarios sensibles hasta julio de 2020, tres años después de que el Houston Methodist empezara a utilizar el píxel.


Por otro lado, los defensores de la privacidad afirman que este tipo de solución es un excelente ejemplo de la incapacidad de la industria de la publicidad en línea para controlarse a sí misma.


"El genio maligno del sistema de Facebook es que crea este pequeño fragmento de código que hace el fisgoneo por ellos y luego simplemente lo pone en el universo y Facebook puede tratar de reclamar una negación plausible", dijo Alan Butler, director ejecutivo del Centro de Información de Privacidad Electrónica. "El hecho de que esto esté ahí fuera en los sitios web de los hospitales es una prueba de lo rotas que están las normas".

La Oficina de Derechos Civiles del Departamento de Servicios Humanos de EE.UU. "no puede hacer comentarios sobre investigaciones abiertas o potenciales", escribió la portavoz Rachel Seeger en un comunicado.


"En general, las entidades cubiertas por la HIPAA y los asociados comerciales no deberían compartir información identificable con empresas de redes sociales, a menos que cuenten con la autorización de la HIPAA (del individuo) y con el consentimiento de la ley estatal", dijo Iliana Peters, abogada de privacidad del bufete Polsinelli, que anteriormente dirigió la aplicación de la HIPAA en la Oficina de Derechos Civiles.

Este suceso no es algo de sorprender puesto que, siempre han habido rumores fuertes sobre este tema y era un secreto a voces acerca de cómo Facebook obtenía información, sin embargo, era información que no había sido confirmada hasta ahora. Es cuestión de días para que quizás el accionista de Meta emita algún comunicado al respecto.

bottom of page