Meta y Novant Healthcare, nuevos problemas de privacidad

December 05, 2024 | 5 minutes read
Meta y Novant Healthcare, nuevos problemas de privacidad

El 22 de agosto de 2022, el proveedor sanitario estadounidense Novant Health reveló que había sufrido una filtración de datos que afectó a más de un millón de personas. Esta violación de datos fue causada por el script de seguimiento de anuncios Meta Pixel, un “script de seguimiento de JavaScript que los anunciantes de Facebook pueden añadir a su sitio web para realizar un seguimiento del rendimiento de la publicidad”. Según Novant Health, la herramienta Meta Pixel había recopilado accidentalmente la información personal de los millones de pacientes atendidos por el proveedor de servicios sanitarios, lo que comenzó en mayo de 2020, cuando Novant Health empezó a realizar campañas promocionales para las vacunas COVID-19 en la página de Facebook de la organización. Asimismo, estas campañas utilizaban anuncios de Facebook, ya que Novant Health había “añadido el código Meta Pixel a su página para medir el funcionamiento de los anuncios.”

Como resultado de estas acciones, una amplia gama de información personal fue revelada al público en general sin la debida autorización. Más concretamente, las categorías de datos personales que se divulgaron en el transcurso de la filtración incluían direcciones de correo electrónico, números de teléfono, direcciones IP, información de contacto en caso de emergencia, información sobre citas y selecciones de menú del portal, entre otra información pertinente. Dicho todo esto, aunque la filtración de datos sufrida recientemente por Novant Health podría parecer en apariencia uno de los muchos sucesos de este tipo que ocurren prácticamente a diario, los factores que influyeron en la filtración tienen su origen en problemas de privacidad y protección de datos a mayor escala.

Publicidad dirigida

Como en el caso de muchas invasiones de la privacidad que tienen lugar a escala mundial, las formas en que empresas como Meta utilizan campañas de publicidad dirigida para obtener ingresos se encuentran en el centro de la violación de datos de Novant Health. Hasta este punto, el grupo sanitario no fue pirateado por un ciberdelincuente o un mal actor, ya que el culpable del ataque fue la propia herramienta Pixel de Meta, debido a la integración que esta herramienta tiene tanto con Meta, como con los sitios web en línea que ejecutan anuncios dirigidos. Como se indica en el sitio web de Meta, la herramienta Pixel está diseñada para “ayudarle a comprender mejor la eficacia de su publicidad y las acciones que la gente realiza en su sitio, como visitar una página o añadir un artículo a su carrito”. Sin embargo, debido a la naturaleza inherente de los sitios web de medios sociales como Facebook, hay un tesoro de datos personales que la herramienta Pixel también puede recopilar inadvertidamente cuando la herramienta se utiliza para realizar publicidad dirigida.

Para ilustrar aún más este punto, la violación de datos de Novant Health que tuvo lugar esta semana no es la primera vez en 2022 que la herramienta Meta Pixel se ha visto implicada en algún nivel de violación de la privacidad. Por ejemplo, una denuncia presentada ante un tribunal federal de California el 10 de agosto por una persona conocida como John Doe alegaba que hasta 664 grupos médicos y centros sanitarios de todo el estado habían enviado la información médica de sus respectivos pacientes a Meta a través de la herramienta Pixel. Además, en julio de 2022, una desconocida presentó una denuncia similar en California, en la que afirmaba que la herramienta Pixel de Meta otorga a la empresa “la capacidad de recopilar subrepticiamente todas las interacciones del usuario con el sitio web, desde lo que hace clic hasta la información personal que introduce en un sitio web”.

Violaciones de la HIPAA

A pesar de que cualquier filtración de datos, independientemente del alcance y la escala de un incidente de este tipo, tendrá invariablemente consecuencias adversas para muchas de las partes afectadas, la reciente filtración de datos de Novant Health también constituye una violación de la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA). Dado que las disposiciones de la HIPPA obligan a los proveedores de asistencia sanitaria a salvaguardar la información sanitaria protegida (PHI) de sus numerosos pacientes, cualquier acceso no autorizado a dicha información se considera una infracción de la ley. Así las cosas, Novant Health se enfrenta a sanciones económicas y medidas disciplinarias en los próximos meses por no haber protegido la privacidad de los numerosos pacientes a los que atiende.

Por otra parte, también se puede argumentar que las prácticas de recopilación de datos de Meta son las culpables de la filtración de datos, ya que es probable que los proveedores de asistencia sanitaria como Novant Health no tuvieran en cuenta que la herramienta Pixel podría utilizarse para facilitar una filtración de datos. Por consiguiente, las disposiciones de la HIPAA se establecieron mucho antes del auge de nuestra actual era digital, ya que las formas en que se producen actualmente las violaciones de datos son diferentes de las formas en que se han producido sucesos similares en el pasado. Como tal, la ley no tiene en cuenta el papel que desempeña la publicidad dirigida en el mundo de los negocios, y mucho menos las formas en que tales prácticas comerciales pueden dar lugar a violaciones de la privacidad.

Aunque los detalles de la reciente filtración de datos de Novant Health aún no se han desvelado, el número de personas cuya información personal ha quedado expuesta sigue siendo muy preocupante. Además, el papel que ha desempeñado Meta en la filtración de datos es igualmente preocupante, ya que la línea que separa la publicidad dirigida y la protección de la privacidad personal de los consumidores es extremadamente delgada. Por estas razones, los proveedores de atención sanitaria como Novant Health deben hacer todo lo posible para salvaguardar la información médica de sus pacientes, ya que los ciudadanos estadounidenses pueden hacer muy poco para evitar que empresas tecnológicas como Meta roben sus datos personales sin su consentimiento.

Related Reads

canada-facial-recognition-new-calls-for-regulation
December 13, 2024 | 5 minutes read
Canadá, reconocimiento facial, peticiones de regulación

Los defensores de la privacidad en Canadá piden al gobierno federal que establezca restricciones y leyes sobre el uso de la tecnología de reconocimiento facial.

Conozca Más »
data-warehouses-new-privacy-laws-and-business
December 13, 2024 | 5 minutes read
Almacenes de datos, nuevas leyes de privacidad y empresas

Un almacén de datos se define como un depósito de datos generados y recogidos por los distintos sistemas operativos de una empresa.

Conozca Más »
the-payment-application-data-security-standard-pa-dss
December 13, 2024 | 4 minutes read
Norma de seguridad de datos de aplicaciones de pago (PA-DSS)

La PA-DSS hace referencia a un conjunto de requisitos orientados a ayudar a los proveedores de software a mantener seguras las aplicaciones de pago.

Conozca Más »
what-is-tiny-ml-what-are-its-business-applications
December 13, 2024 | 5 minutes read
¿Qué es Tiny ML? ¿Cuáles son sus aplicaciones empresariales?

Tiny ML es un campo del aprendizaje automático que estudia modelos ejecutables en dispositivos pequeños y de baja potencia, como microcontroladores.

Conozca Más »
data-anonymization-privacy-and-business-security
December 13, 2024 | 5 minutes read
Anonimización de datos, privacidad y seguridad empresarial

La anonimización de datos protege la información personal al modificarla para que no se pueda identificar a una persona.

Conozca Más »
what-is-a-data-flow-diagram-privacy-compliance
December 13, 2024 | 5 minutes read
¿Qué es un diagrama de flujo de datos? La privacidad

Los mapas de flujo de datos son un método para trazar el flujo de datos a través de un proceso o físicamente a través de una red con fines de privacidad.

Conozca Más »