Am J Med, febrero de 2019 

Cuando The New York Times y The Observer dieron la noticia en marzo de que una firma de consultoría poco conocida llamada Cambridge Analytica había usado datos privados de millones de usuarios de Facebook, supuestamente sin su consentimiento, pocos lectores podrían haber previsto las principales implicaciones para su atención médica. Ciertamente, no podían saber que la lista de clientes de Cambridge Analytica se extendía mucho más allá de las victoriosas campañas políticas de Ted Cruz y Donald Trump, a un importante proveedor de atención médica, el Hospital Langone de la Universidad de Nueva York, y un importante proveedor de seguros, el Hiscox Ltd., ubicado en Londres. Incluso ahora, el público sigue sin darse cuenta de las amenazas a su información de salud personal de las nuevas tecnologías y de rápido desarrollo.

Durante los últimos 2 años, nuestra investigación ha estado descubriendo estos riesgos tecnológicos para la privacidad de la información de salud y generando inquietudes sobre posibles abusos. Durante la mayor parte de la historia humana, la información de salud personal ha sido recopilada, mantenida y analizada principalmente por profesionales médicos dentro del entorno controlado de diagnóstico y tratamiento. Nuestras leyes establecen la limitación de este alcance. La Health Insurance Portability and Accountability Act (HIPAA, por sus siglas en inglés), que rige el uso, almacenamiento y uso compartido de nuestros registros de salud, solo se aplica a los proveedores de atención médica y los planes de seguro y sus “socios comerciales”. La era de la innovación tecnológica ha destruido este contenido. Ahora tenemos rastreadores de ejercicio y movimiento, teléfonos inteligentes y relojes inteligentes que recopilan datos biométricos; servicios de pruebas genéticas directas al consumidor que analizan y venden toda nuestra historia familiar; y aplicaciones de software y sitios web que los consumidores usan para motivar, monitorear y compartir su progreso hacia un estilo de vida saludable. La HIPAA no se aplica a ninguno de estos actores digitales. Cada vez más, compartimos nuestra información personal más confidencial con corporaciones, gobiernos y vecinos, a veces a sabiendas, a menudo sin saberlo, sin ninguna de las protecciones que exigimos anteriormente cuando los mismos datos estaban en manos de expertos con licencia.

En un próximo capítulo de un libro y un artículo en el American Journal of Law & Medicine, identificamos cinco categorías de daños que podrían surgir de esta “revolución digital de la salud”.

El primer tipo de daño es el acto mismo de violación de la privacidad en sí. La confidencialidad es un principio fundamental de nuestro sistema de salud. Sin él, los pacientes pierden la confianza en los médicos y las instituciones médicas y evitan la investigación. Solo cuando sienten que su historia personal es segura, los pacientes pueden tomar decisiones informadas con confianza en sus profesionales cuidadores. La comunicación segura es, por lo tanto, el núcleo de la salud de nuestra sociedad, la sostenibilidad económica de la industria médica y nuestra autonomía personal para tomar decisiones sobre nuestros cuerpos.

En segundo lugar, las empresas pueden tener más oportunidades de discriminar a los empleados por condiciones preexistentes, discapacidades o genes. Dicha discriminación está prohibida por la Ley de Cuidado de Salud Asequible (ACA), la Ley de Estadounidenses con Discapacidades (ADA) y la Ley de No Discriminación de Información Genética (GINA), respectivamente, y las empresas empleadoras tienen prohibido solicitar esta información para evitar dicho uso indebido. Sin embargo, cada ley tiene una excepción, que permite a los empleadores recopilar estos datos de los empleados que participan en programas “voluntarios” de bienestar en el lugar de trabajo, muchos de los cuales ahora incluyen dispositivos digitales y sitios web que rastrean comportamientos privados. Incluso si esta información se usa ilegalmente, es difícil probar la discriminación intencional si se ha accedido legalmente.

Tercero, las nuevas tecnologías pueden tener impactos adversos para la salud si: 1) se usan sin la supervisión de un médico; 2) se interpretan como consejo médico; o 3) están vinculadas a un diagnóstico o tratamiento médico sin demostrar la eficacia necesaria. La evidencia experimental es mixta, por ejemplo, con respecto a las mejoras en la actividad de ejercicio entre los consumidores que usan rastreadores de ejercicios. El historial es aún menos seguro para las aplicaciones y los relojes que las compañías están diseñando actualmente para monitorear los signos vitales y otros marcadores de enfermedades.

En cuarto lugar, los dispositivos que recopilan información geográfica precisa pueden poner en riesgo la seguridad física de los consumidores, especialmente si estos datos no están lo suficientemente encriptados o si los consumidores no saben cuán ampliamente se comparten entre la red de otros usuarios de dispositivos. Según una estimación, el 70% de dichos dispositivos transmiten información personal sin cifrado.

Finalmente, el movimiento de salud digital puede exacerbar las desigualdades sociales al penalizar a los consumidores menos favorecidos que tienen menor acceso o comprensión de las nuevas tecnologías, o si los empleadores y otras instituciones utilizan estas innovaciones para recompensar a los usuarios más activos, elevando implícitamente las primas y reduciendo salarios para poblaciones vulnerables.

Los reguladores no han estado cegados a estos riesgos. La Administración de Alimentos y Medicamentos (FDA, por sus siglas en inglés), en particular, ha considerado la posibilidad de regular la “salud digital” bajo su autoridad legal sobre “dispositivos médicos”. Sin embargo, hasta la fecha no lo ha hecho. La 21st Century Cures Act reforzó el razonamiento de la FDA al distinguir los productos destinados a “mantener o alentar un estilo de vida saludable” de la definición tradicional de la FDA de “dispositivos médicos” como “diagnóstico, curación, mitigación, prevención o tratamiento de una enfermedad o condición”. La última guía de la FDA indica que tales dispositivos de “bienestar general” representan “bajo riesgo” para los usuarios.

Mientras tanto, la Unión Europea (UE) ha adoptado protecciones más estrictas a través de su nuevo Reglamento General de Protección de Datos (GDPR), que entró en vigencia el 25 de mayo de 2018. Incluso en los Estados Unidos, los usuarios de software han sido bombardeados con políticas de privacidad actualizadas que reflejan la filosofía central del GDPR: informar a los consumidores qué hacen las empresas con sus datos, solicitar su consentimiento explícito y permitirles ver y eliminar los datos si lo desean. Desafortunadamente, la mayoría de los usuarios pueden no tener el tiempo, la energía o el conocimiento técnico para ejercer estas opciones y cambiar significativamente el status quo. Con el consentimiento de un usuario, el GDPR no establece límites estrictos sobre quién puede acceder a los datos o qué puede hacer con ellos; tampoco aborda los problemas de discriminación, salud, seguridad o derechos civiles asociados con datos biométricos o genéticos.

Por lo tanto, las amenazas a nuestra información personal de salud permanecen en gran medida muy activas. Al mismo tiempo, la oleada de indignación desde marzo augura una nueva era de conciencia de la privacidad digital. Muchas empresas se han comprometido a reforzar la protección de sus datos y tranquilizar así a sus clientes. Es posible prever un futuro en el que el mercado clasifique a las empresas en cuanto a su protección de privacidad y las recompense en consecuencia, utilizando plataformas basadas en la Web donde los usuarios puedan revisarlas y compararlas. Sin embargo, incluso en este escenario optimista, los clientes deberían poder confiar en los reguladores gubernamentales para proteger su salud y seguridad de las vulnerabilidades que están más allá de su capacidad de vigilancia.

Ha llegado el momento de actualizar nuestras salvaguardas para adaptarse a la naturaleza cambiante de la atención de salud. La HIPAA debe abordar los nuevos medios a través de los cuales los pacientes comparten su información de salud personal, la definición de la FDA de “dispositivos médicos” debe adaptarse a las nuevas tecnologías que los consumidores utilizan para cuidar mejor su salud, y las entidades reguladoras necesitan un marco unificador para coordinar sus jurisdicciones superpuestas para guiar la privacidad digital como lo está intentando la UE. En base a esta privacidad, hemos construido nuestra atención médica. No huyamos ahora del desafío para ceñirnos a las olas de innovación que se avecinan.

Orlando AW, Rosoff AJ. The New Privacy Crisis: What’s Health Got to Do with It? Am J Med. 2019 Feb;132(2):127-128. doi: 10.1016/j.amjmed.2018.09.033.

http://bit.ly/2GIpfUv