Meta, HIPAA y acusaciones de violación de la intimidad

December 07, 2024 | 6 minutes read
Meta, HIPAA y acusaciones de violación de la intimidad

El 10 de agosto de 2022, se anunció que Meta Platforms Inc, antes conocida como Facebook, se enfrentaba a acusaciones de invadir la privacidad personal de ciudadanos estadounidenses en relación con datos sanitarios. Más concretamente, una persona conocida simplemente como “John Doe” presentó una denuncia ante un tribunal federal de California en la que alegaba que hasta 664 sistemas hospitalarios y centros sanitarios del estado habían enviado los datos médicos de sus respectivos pacientes a Meta Platforms Inc. a través del sistema de seguimiento Pixel de la empresa. Como se describe en el sitio web de la empresa, “el Meta Pixel es un fragmento de código en su sitio web que puede ayudarle a comprender mejor la eficacia de su publicidad y las acciones que la gente realiza en su sitio, como visitar una página o añadir un artículo a su cesta”.

Aunque la publicidad selectiva no es en absoluto una práctica ilegal, y constituye la forma en que muchas empresas y negocios de todo el mundo generan gran parte de sus ingresos en un ejercicio fiscal determinado, la forma en que estas organizaciones obtienen los datos personales que utilizan para dirigir el tráfico selectivo y las campañas publicitarias en Estados Unidos ha sido objeto de un escrutinio adicional a raíz de la anulación del histórico caso judicial Roe contra Wade en junio de 2022. Como muchos estados del país ya han iniciado el proceso de modificación de la legislación relativa al aborto y la salud reproductiva, muchos defensores de la privacidad han advertido de que las prácticas de recopilación de datos de las principales empresas tecnológicas, como Meta, pueden poner en peligro la vida de los ciudadanos estadounidenses.

La herramienta Meta Pixel

Además, las acusaciones formuladas por “John Doe” en el estado de California no son, ni mucho menos, las primeras que se formulan contra la empresa Meta, ya que otra denuncia presentada por una “Jane Doe” en el estado de California también alega que la herramienta Pixel da a la empresa “la capacidad de recopilar subrepticiamente todas las interacciones de los usuarios con el sitio web, desde lo que un usuario hace clic hasta la información personal introducida en un sitio web”, sin obtener previamente el consentimiento de dichos clientes antes de recopilar sus datos personales. Incluso descontando el impacto de la reciente anulación del caso Roe contra Wade, las acusaciones que se han hecho contra Meta en las dos denuncias en nombre de ciudadanos residentes en el estado de California constituirían una violación de la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA).

Cumplimiento de la HIPAA

En virtud de las numerosas disposiciones de la HIPAA, los proveedores médicos que operan en Estados Unidos son responsables de salvaguardar la Información Sanitaria Protegida (PHI) de sus numerosos pacientes, ya que los centros sanitarios de todo el país suelen ser los principales objetivos de las filtraciones de datos. Además, las empresas como Meta que recopilan información personal de consumidores dentro de EE.UU. también tienen la obligación legal de acatar las disposiciones de leyes federales sobre privacidad como la HIPAA, entre otras, en lo que respecta a las campañas de publicidad dirigida y otras actividades relevantes. No obstante, existe un desfase entre los requisitos que deben cumplir las organizaciones médicas en virtud de la HIPPA y los avances tecnológicos que se han producido en todo el mundo en los últimos años.

Como referencia, la HIPPA se aprobó originalmente en 1996, y las formas en que las empresas pueden recopilar información y datos personales de los consumidores se han revolucionado por completo desde entonces. Por ejemplo, los teléfonos inteligentes y los dispositivos móviles que contienen servicios de geolocalización no existían en 1996, y las disposiciones de la HIPPA se redactaron en gran medida en el contexto de los proveedores médicos que protegen la privacidad y los datos de los pacientes médicos, y las empresas de terceros recibieron poca consideración. Por estas razones, el gobierno federal de EE.UU. promulgó la Ley de Tecnología de la Información Sanitaria para la Salud Económica y Clínica (HITECH) en 2009, con el objetivo tanto de promover el uso y la protección de los Datos Electrónicos Sanitarios (EHR), como de las responsabilidades de terceros en lo que respecta a la protección de la privacidad de los pacientes sanitarios en EE.UU.

La posición de Meta

Por otro lado, Meta Platforms Inc mantiene que la herramienta Pixel de la empresa no está diseñada para enviar información sensible como datos médicos a la empresa, y va más allá al afirmar que la herramienta cuenta con una función que filtra automáticamente dichos datos en caso de que esta información sensible se revele por error. Sin embargo, a pesar de esta postura, sólo en los últimos meses se han presentado docenas de casos similares contra la empresa. Aunque los pormenores de estos casos varían en función de cada caso, todos ellos tienen en común que la herramienta Meta Pixel recopila información personal de forma abusiva y engañosa para los consumidores y las empresas estadounidenses que la utilizan.

Por otra parte, los casos que se han planteado contra Meta Platforms Inc. con respecto a la protección de los datos sanitarios en virtud de la HIPAA también ponen de manifiesto malentendidos generales sobre el alcance y la aplicabilidad de la ley. A este respecto, si bien algunas disposiciones de la HITECH se aplican a organizaciones de terceros que pueden interactuar con profesionales de la salud de alguna forma o manera, la ley sigue perteneciendo en gran medida a los profesionales de la salud que protegen la información sensible de sus pacientes. Por ejemplo, si un paciente tiene cierta información sanitaria sobre él en su página de Facebook, esta información no está protegida por las disposiciones de la HIPAA. En este caso, es posible que la herramienta Píxel haya recogido datos personales que ya se habían hecho públicos.

Debido al hecho de que el gobierno federal de EE.UU. aún no ha aprobado una ley federal integral de protección de datos y privacidad personal como el Reglamento General de Protección de Datos de la UE (GDPR), las acusaciones de violaciones de privacidad como las que se han hecho contra Meta Platforms Inc sólo seguirán ocurriendo. Con este fin, tanto los legisladores federales como las legislaturas estatales tendrán que considerar las medidas que están tomando colectivamente para garantizar que la información personal de los estadounidenses está siendo protegida en todos los niveles, ya que las empresas tecnológicas han demostrado que encontrarán maneras de ofrecer publicidad dirigida a los consumidores por cualquier medio necesario.

Related Reads

canada-facial-recognition-new-calls-for-regulation
December 13, 2024 | 5 minutes read
Canadá, reconocimiento facial, peticiones de regulación

Los defensores de la privacidad en Canadá piden al gobierno federal que establezca restricciones y leyes sobre el uso de la tecnología de reconocimiento facial.

Conozca Más »
data-warehouses-new-privacy-laws-and-business
December 13, 2024 | 5 minutes read
Almacenes de datos, nuevas leyes de privacidad y empresas

Un almacén de datos se define como un depósito de datos generados y recogidos por los distintos sistemas operativos de una empresa.

Conozca Más »
the-payment-application-data-security-standard-pa-dss
December 13, 2024 | 4 minutes read
Norma de seguridad de datos de aplicaciones de pago (PA-DSS)

La PA-DSS hace referencia a un conjunto de requisitos orientados a ayudar a los proveedores de software a mantener seguras las aplicaciones de pago.

Conozca Más »
what-is-tiny-ml-what-are-its-business-applications
December 13, 2024 | 5 minutes read
¿Qué es Tiny ML? ¿Cuáles son sus aplicaciones empresariales?

Tiny ML es un campo del aprendizaje automático que estudia modelos ejecutables en dispositivos pequeños y de baja potencia, como microcontroladores.

Conozca Más »
data-anonymization-privacy-and-business-security
December 13, 2024 | 5 minutes read
Anonimización de datos, privacidad y seguridad empresarial

La anonimización de datos protege la información personal al modificarla para que no se pueda identificar a una persona.

Conozca Más »
what-is-a-data-flow-diagram-privacy-compliance
December 13, 2024 | 5 minutes read
¿Qué es un diagrama de flujo de datos? La privacidad

Los mapas de flujo de datos son un método para trazar el flujo de datos a través de un proceso o físicamente a través de una red con fines de privacidad.

Conozca Más »