Los mercados de salud son sorprendidos compartiendo datos de pacientes

En un avance significativo con respecto a la privacidad de los datos de atención médica, Virginia y Washington D.C. han anunciado que suspenderán sus prácticas de recopilación e intercambio de datos luego de una investigación exhaustiva realizada por Bloomberg. La investigación reveló que los mercados de seguros médicos en estas jurisdicciones estaban transmitiendo información personal confidencial sobre sus usuarios directamente a empresas de tecnología publicitaria, lo que genera serias preocupaciones sobre violaciones de privacidad y cumplimiento normativo.

Los datos que se compartieron incluían información altamente confidencial, como el estado de ciudadanía de los usuarios y la demografía racial, según la investigación detallada de Bloomberg. Esta información, combinada con otros detalles de identificación personal, se transfirió a gigantes de la tecnología publicitaria sin el consentimiento explícito de los pacientes ni un conocimiento exhaustivo de los acuerdos para compartir datos. El descubrimiento ha provocado una acción inmediata por parte de los funcionarios de salud estatales que reconocieron la gravedad de la violación de la privacidad y las posibles ramificaciones legales de continuar con tales prácticas.

El escándalo del intercambio de datos pone de relieve una creciente preocupación en la industria de la salud sobre cómo las redes publicitarias de terceros monetizan y aprovechan la información de los pacientes. Estas empresas de tecnología publicitaria pueden utilizar datos demográficos y relacionados con la salud para crear perfiles publicitarios dirigidos que ayuden a las empresas farmacéuticas y a los proveedores de servicios de salud a llegar a poblaciones específicas. Sin embargo, la práctica plantea preguntas fundamentales sobre el consentimiento informado y si los pacientes entienden cómo los especialistas en marketing utilizan sus datos de inscripción médica.

El mercado de atención médica de Virginia y el intercambio de seguros médicos de D.C. habían estado operando bajo el supuesto de que compartir estos datos demográficos y de inscripción con los anunciantes estaba permitido según sus marcos de gestión de datos existentes. Sin embargo, la investigación de Bloomberg expuso lagunas en sus protecciones de privacidad y reveló prácticas que, según muchos defensores de la privacidad, nunca deberían haberse permitido en primer lugar. Los mercados recopilaron información sobre ciudadanía como parte de sus procesos de verificación de inscripción, con el objetivo de garantizar que solo las personas elegibles adquirieran seguro médico a través de sus plataformas.

Las implicaciones de esta divulgación de datos personales de salud se extienden más allá de las simples violaciones de la privacidad. Los pacientes que se inscribieron en los mercados de seguros médicos de Virginia y D.C. creían que su información confidencial estaría protegida bajo la Ley de Responsabilidad y Portabilidad del Seguro Médico (HIPAA) y otras regulaciones de privacidad a nivel estatal. Sin embargo, las prácticas de intercambio de datos aparentemente operaban en un área gris donde los operadores del mercado creían que podían compartir datos de inscripción con terceros con fines de marketing, a pesar de la naturaleza sensible de la información involucrada.

Las empresas de tecnología publicitaria llevan mucho tiempo buscando acceso a datos demográficos de atención sanitaria porque representan una valiosa información de marketing. Cuando los anunciantes conocen detalles específicos sobre el estado del seguro médico de las personas, la documentación de ciudadanía y el origen racial, pueden crear campañas de segmentación sofisticadas. Esta información es particularmente valiosa para las compañías farmacéuticas que buscan comercializar medicamentos para grupos demográficos específicos, los proveedores de seguros que buscan reclutar nuevos clientes y los proveedores de servicios de salud que buscan llegar a poblaciones específicas con sus ofertas.

La decisión de Virginia y Washington D.C. de suspender sus prácticas de recopilación de datos representa un reconocimiento importante de las preocupaciones sobre privacidad que destacó la investigación de Bloomberg. Los funcionarios estatales reconocieron que continuar compartiendo esta información mientras las prácticas estaban bajo escrutinio podría exponerlos a una importante responsabilidad legal y a una reacción pública. La pausa también brinda a estas jurisdicciones la oportunidad de revisar sus políticas de gobierno de datos e implementar protecciones de privacidad más sólidas para los usuarios del mercado.

Los defensores de la privacidad han expresado cada vez más la necesidad de contar con protecciones más sólidas en torno a los datos de atención médica, particularmente en lo que se refiere a la información de inscripción recopilada a través de mercados de seguros administrados por el estado o asociados con el estado. Estas plataformas suelen contar con la confianza de poblaciones vulnerables que tal vez no comprendan completamente cómo se podría compartir su información con terceros. El incidente en Virginia y D.C. subraya la facilidad con la que la información demográfica sensible sobre atención médica puede fluir desde las plataformas de salud gubernamentales a las redes de publicidad comercial.

La investigación de Bloomberg representa un ejemplo de periodismo de investigación que cumple una importante función de interés público al exponer prácticas que muchos considerarían poco éticas o ilegales. Al examinar los flujos de datos entre los mercados de salud y las empresas de tecnología publicitaria, la investigación arrojó luz sobre una práctica que no era muy conocida por el público en general y que probablemente sorprendió a muchas de las personas cuya información se compartía. La investigación generó atención regulatoria inmediata y cambios de políticas.

A medida que Virginia y D.C. avancen con la pausa de sus acuerdos de intercambio de datos, deberán determinar cómo manejar la información ya transmitida a las redes publicitarias y establecer nuevos protocolos para políticas de manejo de datos que protejan mejor la privacidad del paciente. Es probable que los funcionarios de salud estatales deban realizar auditorías exhaustivas de todos los acuerdos de intercambio de datos de terceros actualmente vigentes y determinar qué relaciones violan los principios de privacidad o las regulaciones estatales y federales.

Las implicaciones más amplias de este incidente sugieren que los mercados de seguros médicos en los Estados Unidos pueden necesitar reexaminar sus propias prácticas de intercambio de datos. Si los mercados de Virginia y D.C. compartieran este tipo de información confidencial con empresas de tecnología publicitaria, es razonable preguntarse si podrían estar ocurriendo prácticas similares en otros estados. Los reguladores federales y los fiscales generales estatales pueden verse motivados a investigar si otros mercados de salud están participando en acuerdos de intercambio de datos de pacientes comparables que justifiquen una intervención inmediata.

De cara al futuro, este incidente probablemente generará debates sobre qué nuevas regulaciones u orientaciones podrían ser necesarias para evitar que se produzcan violaciones de privacidad similares en el futuro. Es posible que se solicite una legislación federal explícita que aclare qué tipos de datos de inscripción en atención médica pueden y no pueden compartirse con terceros, y bajo qué circunstancias dicho intercambio sería permisible. El incidente también plantea dudas sobre si las regulaciones actuales de HIPAA brindan protección suficiente a las personas que se inscriben en los mercados de seguros médicos estatales.

La pausa en la recopilación y el intercambio de datos por parte de Virginia y D.C. representa un primer paso importante para abordar las preocupaciones de privacidad planteadas por la investigación de Bloomberg. Sin embargo, los funcionarios estatales y los defensores de la privacidad reconocen que aún queda mucho trabajo por hacer para garantizar que la información médica confidencial esté protegida adecuadamente. El incidente sirve como un claro recordatorio de que la privacidad de los datos de atención médica requiere una vigilancia constante y que incluso los programas de salud gubernamentales pueden exponer inadvertidamente a sus usuarios a riesgos cuando no existen salvaguardas de privacidad adecuadas.