Google no es el único al que le llegan los datos sanitarios de ciudadanos. Financial Times publica hoy que Algunos de los sitios web de salud más populares del Reino Unido (dos de los analizados son babycenter.com o drugs.com) comparten datos confidenciales de las personas con docenas de empresas en todo el mundo. Estos datos incluyen síntomas médicos, diagnósticos, nombres de medicamentos e información menstrual y de fertilidad. Las empresas que reciben los datos van desde gigantes de publicidad como Google, Amazon, Facebook y Oracle, a corredores de datos menos conocidos y firmas adtech como Scorecard y OpenX.

The Wall Street Journal publicó el pasado lunes que Google ha recibido sin permiso datos personales sobre la salud de decenas millones de estadounidenses provenientes de Ascension, una de las principales compañías sanitarias del país,

Utilizando herramientas de código abierto para analizar 100 sitios web británicos de salud, que incluyen WebMD, Healthline, Babycentre y Bupa, esta investigación de Financial Times descubrió que el 79% de los sitios suelen dejar cookies en los ordenadores de los usuarios. Las cookies (galletas en español) son pequeños trozos de código que cuando se incrustan en su navegador permiten compañías de terceros para rastrear a personas en Internet. Esta práctica se hizo sin el consentimiento del usuario, tal y como establece la ley.

El brazo publicitario de Google, DoubleClick, fue, con mucho, el destino más común para los datos, ya que apareció en el 78% de los sitios probados, seguido por Amazon, que estuvo presente en el 48% de los casos. Le siguen Facebook, Microsoft y la firma de adtech AppNexus.

"Estos hallazgos son bastante notables y muy preocupantes", asegura a FT Wolfie Christl, un tecnólogo e investigador que ha estado investigando la industria adtech. "Desde mi punto de vista, este tipo de datos es claramente sensible, tiene protecciones especiales bajo la legislación europea y la transmisión de estos datos probablemente viola la ley".

En Europa, explica Alejandro Touriño, socio director de Ecija, “cualquier cesión de datos de un responsable de un fichero a un encargado de tratamiento (Google, Facebook, Oracle o la empresa que sea) requiere de la suscripción de un contrato de procesamiento de datos. Para eso, sin embargo, el usuario deberá ser informado del uso que se le va a dar a sus datos y deberá consentir expresamente la cesión.

"Los datos sanitarios merecen una especial protección", recalca Julio Mayol, director médico del Hospital Clínico San Carlos. Salvo "que se solicite expresamente (lo que no ocurre en organizaciones públicas, excepto en los ensayos clínicos) los datos pertenecen a los pacientes y solo pueden utilizarse con fines y condiciones bien delimitadas por quien tiene su custodia (el centro sanitario)".

Salud para la venta

Durante siglos, los médicos han jurado el juramento hipocrático, para mantener en secreto "lo que veo o escucho en la vida de mis pacientes", asegura el rotativo británico. Hoy en dia, el acceso a internet permite que lo que primero hagan millones de personas sea consultar sus síntomas cada día para calmar sus preocupaciones médicas. tenemos la ilusión de que lo que consultamos se queda en el ámbito privado. No es así.

Financial Times analizó los tipos de datos que estaban compartiendo tras dar el consentimiento para cookies en todos los sitios web que lo solicitaron. Sin embargo, las políticas de privacidad que los reporteros de FT aceptaron no describían adecuadamente que estos datos confidenciales se compartirían con terceros o para qué fines se iban a compartir.

Los datos compartidos incluyen:

los nombres de las medicinas que se consultaron en webs como Drugs.com se enviaron al bloque de anuncios DoubleClick de Google.

los síntomas que se compartieron en el verificador de síntomas de WebMD y los diagnósticos recibidos, incluidos conceptos como sobredosis de drogas, se compartieron con Facebook.

la información del ciclo menstrual y de ovulación que se pone en BabyCentre terminó en Amazon Marketing, entre otros sitios.

Además, palabras clave como enfermedad cardíaca y considerando el aborto se compartieron desde sitios como la Fundación Británica del Corazón, Bupa y Healthline a compañías como Scorecard Research y Blue Kai (propiedad del gigante de software Oracle).

Desde la adopción del Reglamento General de Protección de Datos (GDPR) en la UE a nivel europeo en mayo de 2018, la industria de la publicidad online de la UE, valorada según Financial Times en 200.000 millones de dólares, ha estado sujeta a normas más estrictas en torno a la recopilación y el procesamiento de datos.

Ahora es ilegal que los anunciantes compartan los datos más confidenciales, incluso sobre salud y orientación sexual, sin consentimiento explícito, donde el usuario acepta compartir específicamente sus datos de "categoría especial", y se le informa cómo será utilizado y por quién. Ninguno de los sitios web probados solicitó este tipo de consentimiento explícito y detallado.

La ley protege especialmente cuando los datos no están anonimizados, explica Sergio de Juan-Creix, abogado experto en derecho digital y profesor-colaborador de la UOC. "Si estamos hablando de datos anónimos o agregados no aplicaría la normativa de protección de datos en la medida en que dichos datos no identifican ni pueden ser asociados a ninguna persona". En su opinión, "la revolución digital, precisamente, tiene como uno de los motores el estudio de datos anónimos como, por ejemplo, el reciente estudio que pretende realizar el INE u otros hubs de datos que sirven para testar el coche autónomo".