Estados Unidos pone coto al comercio opaco de datos de las aplicaciones de salud

Los datos médicos son demasiado sensibles como para que las empresas los puedan intercambiar a la ligera. El regulador de Estados Unidos, la Comisión Federal de Comercio (FTC en sus siglas inglesas), acaba de poner bajo aviso a las compañías que gestionan aplicaciones relacionadas con la salud de que cualquier movimiento relacionado con ese tipo de información deberá realizarse con el consentimiento del usuario al que le afecte. De no ser así, la empresa responsable se enfrentará a multas de hasta 43.792 dólares por violación y día. El movimiento cobra especial relevancia porque la mayoría de las grandes tecnológicas (Amazon, Google, Microsoft o Apple) se han lanzado en los últimos tiempos al asalto del mercado sanitario.

La normativa estadounidense ha sido tradicionalmente laxa en lo tocante a la protección de la privacidad. Con una importante excepción: los datos sanitarios. La Ley de Transferencia y Responsabilidad de Seguro Médico (HIPAA, en sus siglas inglesas) fijó en 1996 los estándares. Quedó prohibido facilitar datos médicos a nadie que no sea el propio paciente, a menos que se cuente con su consentimiento. Una norma de 2009, la Health Breach Notification Rule, extendió esas responsabilidades al entorno digital: las empresas sujetas al HIPAA deben mantener la misma confidencialidad en el ciberespacio.

La nueva orden de la FTC amplía todavía más el foco de la normativa: las empresas cuya actividad principal no sea la salud pero que aun así gestionen datos médicos deberán cumplir también con las mismas garantías. Aunque no las menciona, el regulador se refiere a empresas como Google, Apple, Amazon o Microsoft, que llevan tiempo recogiendo este tipo de datos de varias fuentes, como dispositivos conectados o aplicaciones.

“La Comisión se ha dado cuenta de que las aplicaciones de salud, que pueden rastrear desde los niveles de glucosa en sangre de los diabéticos hasta parámetros relacionados con la fertilidad o las horas de sueño, cada vez recopilan más datos sensibles y personales de los consumidores”, destaca el comunicado de la FTC. “Estas aplicaciones tienen la responsabilidad de asegurarse de que mantienen a buen recaudo los datos que recogen, lo que incluye prevenir el acceso no autorizado a esa información”.

Las aplicaciones vinculadas a la salud y otros dispositivos conectados, señala la FTC, no solo son ampliamente usadas por la población, más si cabe tras la pandemia, sino que son objetivos codiciados para los ciberdelincuentes. “Y aún así, hay pocas protecciones para su privacidad”, se indica en el informe.

“Aunque [la normativa de 2009] impone algunas medidas para que las tecnológicas que hacen mal uso de nuestra información rindan cuentas, existe el problema de que se mercantilice la información médica sensible de la gente. Las empresas pueden usar esa información para alimentar su publicidad dirigida o sus herramientas analíticas”, dijo la comisaria Lina M. Khan en un comunicado. “Dada la prevalencia de la publicidad dirigida, la Comisión debería supervisar qué datos se recogen y si los modelos de negocio que se desarrollan a su alrededor crean incentivos que ponen en riesgo la seguridad de esos datos”, añadió.

En la Unión Europea, si una empresa quiere compartir los datos personales de sus clientes con otras compañías debe ponerlo en conocimiento del usuario. Así lo establece el Reglamento General de Protección de Datos (RGPD), una de las normas más garantistas del mundo en este sentido. La regulación estadounidense siempre ha sido más permisiva en términos de privacidad que en Europa. “Existen normativas que defienden la privacidad de los usuarios, como la del Estado de California, pero todavía no hay una norma federal. Por lo general son menos estrictos, aunque la tendencia es que poco a poco vayan convergiendo con nosotros”, explica Borja Adsuara, experto en derecho digital.

“En Estados Unidos, la normativa no suele poner tanto énfasis en la protección de los individuos, pero las empresas saben que si se saltan la ley serán perseguidas de forma implacable”, apunta por su parte Frederic Llordachs, cofundador de Doctoralia, un portal de recomendación de facultativos que él define como “el Booking de médicos” y buen conocedor de la normativa aplicable al sector.

El asalto tecnológico de la salud

La orden de la FTC es un claro aviso a las grandes tecnológicas de que el regulador va a estar pendiente de cómo tratan los datos médicos. El sector sanitario es, de hecho, uno de los que más atracción ejercen en la actualidad sobre las GAFAM (Google, Amazon, Facebook, Apple y Microsoft). Quizás la apuesta más ambiciosa en este sentido es Amazon Care, un programa ya disponible en algunas ciudades de Estados Unidos que combina la telemedicina a través de una aplicación propia con las visitas a domicilio de facultativos.

Microsoft, por su parte, desembolsó en abril unos 16.500 millones de euros para comprar Nuance, la empresa de inteligencia artificial y reconocimiento de voz más respetada en los ambientes médicos. Al tratarse de la segunda mayor adquisición de la historia de la compañía (solo le gastó más, unos 22.000 millones, al comprar LinkedIn), el mensaje que dio a la industria fue claro: quieren convertirse en la referencia en el procesamiento de datos sanitarios.

Alphabet, la matriz del buscador más usado del mundo, tiene una división entera, Google Health, dedicada a “desarrollar herramientas e iniciativas que ayuden a todo el mundo a tomar decisiones de salud más informadas”. Uno de los pilares de su estrategia, según subraya su web, es hacer más accesible la información médica. En cuanto a Apple, el empeño de la compañía en recoger datos de la salud de los usuarios de sus productos, especialmente del iPhone y del Apple Watch, es bien conocido.

Estas empresas y otras muchas más deberán ser más cuidadosas a partir de ahora con el tratamiento que le apliquen a los datos de sus usuarios. “La FTC debe usar todas las herramientas a su alcance para proteger los datos médicos de los usuarios, aunque también tenemos que controlar los modelos de negocio que los monetizan”, tuiteó Khan.

Puedes seguir a EL PAÍS TECNOLOGÍA en Facebook y Twitter o apuntarte aquí para recibir nuestra newsletter semanal.