Una herramienta de seguimiento que aparece en los sitios web de muchos hospitales ha estado recopilando información de salud confidencial de los pacientes y la envía a Facebook. Esta información incluye detalles sobre las condiciones médicas, recetas y citas médicas del paciente.
El informe llega de El marcadoque realizó una prueba que incluía sitios web de Semana de noticiasLos 100 mejores hospitales de Estados Unidos. Según ellos, 33 de los sitios tenían un rastreador llamado Meta Pixel. Este rastreador envía datos de Facebook cada vez que una persona hace clic en un botón para programar una cita con el médico. Estos datos se conectan a una dirección IP y crean un recibo de la solicitud de cita para Facebook.
Información del paciente de seguimiento de metapíxeles para Facebook
Metapíxel ayuda a rastrear a los usuarios mientras navegan a través de un sitio web. Registra qué páginas visitan, botones en los que hacen clic y cierta información que se ingresa en los formularios. Una de las herramientas de seguimiento más prolíficas de Internet, actualmente está presente en más del 30 por ciento de los sitios más populares de la web.
A cambio de instalar Meta Pixel, el gigante de las redes sociales proporciona a los propietarios de sitios web análisis sobre los anuncios colocados en Facebook e Instagram, así como herramientas para ayudar a dirigirse a las personas que visitan su sitio web.
Por ejemplo, tomemos el sitio web del University Hospitals Cleveland Medical Center. Si los usuarios hacen clic en el botón “Programar en línea” de la página del médico, Meta Pixel enviará a Facebook el texto del botón, el nombre del médico y el término de búsqueda que el sitio web utilizó para encontrarla: en este caso, “interrupción del embarazo”. .
Se descubrió que Pixel estaba instalado dentro de portales de pacientes protegidos con contraseña de siete sistemas de salud.
Además, El marcado También recopiló datos a través de pacientes voluntarios reales. En colaboración con Mozilla Rally y El marcadola iniciativa de colaboración colectiva involucró a personas que instalaron el complemento del navegador Rally de Mozilla para enviar datos a El marcado sobre Meta Pixel tal como aparece en la visita de un usuario al sitio. Los datos muestran que la información enviada a los hospitales incluye los nombres de los medicamentos de los pacientes, descripciones de reacciones alérgicas y detalles sobre las próximas citas médicas.
Mirando HIPAA
Según varios involucrados en la comunidad de la salud, incluidos reguladores, expertos en seguridad de datos de salud y defensores de la privacidad, todos afirman que los hospitales en cuestión pueden violar la Ley federal de Responsabilidad y Portabilidad del Seguro Médico (HIPAA).
HIPAA prohíbe a las entidades cubiertas, como los hospitales, compartir información de salud de identificación personal con terceros. Se excluye cuando los particulares expresan contenidos por adelantado, o determinados contratos. Ni los hospitales contactados ni Meta dijeron que tenían tales contratos. Había poca evidencia que sugiriera que los hospitales o Facebook estuvieran obteniendo el consentimiento expreso. HIPPA también enumera la dirección IP como uno de los 18 identificadores cuando se vincula a información sobre las condiciones de salud, la atención o el pago de una persona, que califica como información de salud protegida.
Además, si un paciente inicia sesión en Facebook cuando visita un sitio web con Meta Pixel, algunos navegadores pueden adjuntar cookies de terceros que permiten a Meta vincular datos de píxeles con cuentas específicas de Facebook. Es probable que esto facilite que Facebook obtenga información de los pacientes.
Hasta el 15 de junio, siete hospitales eliminaron píxeles de sus páginas de reserva de citas. Además, al menos cinco de los siete sistemas de salud que instalaron Meta Pixels en sus portales de pacientes eliminaron esos píxeles.
De los 33 hospitales que se descubrió que enviaban detalles de citas de pacientes a Facebook, informaron un colectivo de más de 26 millones de admisiones de pacientes y visitas ambulatorias en 2020. Esto es según los datos más recientes disponibles de la Asociación de Hospitales de Estados Unidos. Cabe señalar que la investigación vio un límite de alrededor de 100 hospitales.
Respuesta de Meta sobre información del paciente
No está claro exactamente cómo utiliza Facebook la información de los pacientes que obtiene. La empresa no respondió a las preguntas de El marcado. Sin embargo, el portavoz Dale Hogan envió un correo electrónico parafraseando brevemente la política de datos de salud sensibles de la compañía.
Hogan escribe,
Es probable que Hogan se refiera a un sistema de filtrado de información de salud confidencial que Facebook lanzó en julio de 2020. El sistema fue una respuesta a una Wall Street Journal artículo, así como una investigación del Departamento de Servicios Financieros de Nueva York. En el informe final del departamento de febrero de 2021, Meta declaró que el sistema “aún no funciona con total precisión”.
En el pasado, los empleados de Facebook han expresado lo bien que la empresa protege en general los datos confidenciales.
Meta estados dentro de su negocio términos de servicio de herramientas que el píxel y otros rastreadores de hecho recopilan información de identificación personal para diversos fines.
Probando los datos
Ir más lejos, El marcado utilizó tanto cuentas ficticias creadas por periodistas como datos de los voluntarios de Mozilla Rally. Descubrieron que Meta Pixel hacía que fuera bastante fácil identificar a los pacientes. Por ejemplo, cuando alguien de El marcado Al hacer clic en el botón “Finalizar reserva” en la página de un médico del Scripps Memorial Hospital, el píxel envió a Facebook no solo el nombre del médico, sino también su campo de medicina. El píxel también envió el nombre, apellido, dirección de correo electrónico, número de teléfono, código postal y ciudad de residencia que se ingresó en el formulario de reserva.
Mientras que Meta Pixel “hash” los detalles de la persona, es decir, ocultándolos mediante criptografía antes de enviarlos a Facebook. Sin embargo, esto no impide que la empresa utilice los datos. Sorprendentemente, Meta pudo utilizar la información hash para vincular datos de píxeles a ciertos perfiles de Facebook.
Scripps Memorial no respondió a las preguntas de El marcado. Sin embargo, eliminó a Metal Pixel de su proceso de reserva de citas.
En general, la mayoría de los hospitales contactados para la historia no respondieron a las preguntas. Tampoco explicaron el motivo de la instalación de Meta Pixel. Sin embargo, algunos sí defendieron su decisión de utilizar el rastreador. Un portavoz del Northwestern Memorial Hospital de Chicago insiste en que el código fue “examinado”. Sin embargo, no pudieron explicar el proceso de investigación.
La privacidad de la información de salud del paciente
Además, el Hospital Metodista de Houston en Texas proporcionó detalles a las preguntas. Según el hospital, comenzaron a utilizar Meta Pixel en 2017. Un portavoz del hospital afirmó que estaban “confiados” en las salvaguardias de Facebook al no compartir información.
El marcado Probé el sitio web metodista de Houston. Al hacer clic en “Programar cita” en la página del médico, Meta Pixel envió a Facebook el texto del botón, el nombre del médico y el término de búsqueda utilizado para encontrarlo. En este caso, este término era “aborto domiciliario”.
Houston Medical declaró que esta información no entra en la categoría de información de salud protegida. Afirman que esto se debe a que es posible que un paciente no cumpla y confirme la cita. También es posible que estén reservando la cita para alguien que no sea ellos mismos.
El hospital eliminó Meta Pixel de su sitio web días después de responder a las preguntas de los periodistas. No vale la pena que el píxel se instalara tres años antes de que Facebook lanzara su sistema de filtrado.
