Corredores de datos poco conocidos venden datos confidenciales de salud mental, a veces por unos pocos cientos de dólares y con poco esfuerzo para ocultar información personal como nombres y direcciones, según un estudio publicado el lunes.
La investigación, realizada durante un período de dos meses en la Universidad de Duke Escuela de Políticas Públicas de Sanford, que estudia el ecosistema de empresas que compran y venden datos personales, implicó pedir a 37 corredores de datos datos masivos sobre la salud mental de las personas. Once de ellos acordaron vender información que identificaba a las personas por problemas, como depresión, ansiedad y trastorno bipolar, y a menudo los clasificaban por información demográfica como edad, raza, puntaje crediticio y ubicación.
Los investigadores no compraron los datos, pero en muchos casos recibieron muestras gratuitas para demostrar que el corredor era legítimo, una práctica común en la industria. El estudio no nombra a los intermediarios de datos.
Algunos de los corredores fueron particularmente arrogantes con los datos confidenciales. Uno no exigió cómo se utilizó la información vendida y dijo que podía ofrecer los nombres y direcciones de personas con «depresión, trastorno bipolar, problemas de ansiedad, trastorno de pánico, cáncer, trastorno de estrés postraumático, trastorno obsesivo-compulsivo y trastorno de personalidad». «. , así como personas que han tenido derrames cerebrales y datos sobre sus razas y etnias”, dice el informe.
«[T]La industria parece carecer de un conjunto de mejores prácticas para administrar los datos de salud mental de las personas, particularmente en las áreas de privacidad y verificación del comprador. » encontró el informe.
Si bien los precios de los registros de salud mental alquilados y vendidos variaron ampliamente, algunas compañías los ofrecieron a precios bajos, tan bajos como $ 275 por información sobre 5,000 personas.
El uso de aplicaciones que ofrecen asesoramiento y otros servicios de salud mental ya estaba en aumento antes de que llegara la pandemia de covid. En abril de 2020, la Administración de Alimentos y Medicamentos relajado sus recomendaciones contra las aplicaciones de salud mental no verificadas, dada la combinación del estrés de las personas por la pandemia y el impulso de la atención médica remota.
Los corredores de datos, que se dedican a comprar, reempaquetar y vender información de identificación de personas y detalles sobre ellas, se han convertido en una industria próspera pero oscura. Las empresas del sector rara vez son conocidas y, a menudo, hablan poco públicamente sobre sus prácticas comerciales.
Hasta ahora, el Congreso no ha logrado aprobar una legislación significativa sobre la industria, que gasta millones en cabildeo.
A diferencia de algunos países, Estados Unidos no tiene una ley general de privacidad que proteja la mayoría de la información privada y personal de la compra y venta. Cierta información médica puede estar protegida por leyes como la Ley de Portabilidad y Responsabilidad de Seguros Médicos, comúnmente conocida como HIPAA. Pero HIPAA solo se aplica cuando esa información está en manos de una «entidad cubierta» específica, como un hospital o algún tipo de organización de atención médica.
Justin Sherman, investigador principal de la Escuela de Políticas Públicas de Sanford de Duke que dirige su proyecto de corretaje de datos y supervisó el informe, dijo que otras entidades que almacenan datos de salud, incluida la mayoría de las aplicaciones telefónicas, no están reguladas por HIPAA, lo que deja a los corredores de datos con una número de opciones para comprar legalmente esos datos.
“La gente asume que HIPAA cubre todo tipo de datos de salud en todas partes. Y eso no es cierto”, dijo.
«Hay muchos, muchos lugares de donde podrían provenir estos datos, porque muchas entidades no están cubiertas por las restricciones de intercambio de datos de atención médica de HIPAA», dijo Sherman.
Aunque el informe no analiza cómo los corredores adquirieron esta información de salud mental en primer lugar, un informe de Consumer Reports encuesta en 2021 descubrió que algunas aplicaciones populares de salud mental vendían datos de usuarios a empresas de publicidad, incluido Facebook. Facebook no respondió a una pregunta para hacer comentarios, pero le dijo a Consumer Reports que no tiene un acuerdo que limite el uso de los datos de los usuarios de estas compañías de salud mental.
Pam Dixon, directora ejecutiva del Foro Mundial de Privacidad, un grupo sin fines de lucro que trabaja para mejorar la protección de la privacidad a nivel nacional y mundial, dijo que las leyes confusas sobre la privacidad de la atención médica hacen que sea prácticamente imposible que una persona navegue por información de salud que debería permanecer privada.
«Hay mucha confusión entre los consumidores acerca de cuándo nuestros registros de salud están o no protegidos por la ley de privacidad de la salud», dijo. «Sería casi imposible para la persona promedio que no es un abogado de privacidad saber si un sitio web está protegido por HIPAA o no».
Dixon advirtió contra la conclusión de que la información de salud mental se comerciaba más que otra información personal y dijo que la industria de corretaje de datos estaba fuera de control.
“No hay forma posible en este momento de que cualquier ser humano, si quisiera, pudiera optar por no participar en todas las actividades de corretaje de datos en el mundo”, dijo.
“Recuerde que alguien está comprando estos datos, de lo contrario no habría modelo de negocio”, dijo.