Perspectivas
El informe de riesgo global inaugural de J.S. Held examina los posibles riesgos y oportunidades comerciales en 2024
LEER MÁSEn los últimos años se han incrementado las inquietudes relacionadas con la privacidad, especialmente con el uso generalizado de herramientas de seguimiento de terceros, como los píxeles de seguimiento, las cookies y la atribución móvil vinculada a aplicaciones de dispositivos móviles relacionadas con sitios web. Estas herramientas de tecnología publicitaria (AdTech) permiten a los propietarios de sitios web rastrear el comportamiento de los usuarios y recopilar datos personales, como direcciones IP, tipo de navegador e identificadores de dispositivos, en parte para ayudar a las empresas a determinar la participación de los usuarios en sus sitios web y las oportunidades de segmentación relacionadas. AdTech permite a los anunciantes llegar al público de los sitios web y determinar la eficacia de sus campañas publicitarias digitales. Estos rastreadores también plantean el riesgo potencial de transferencias de información personal a terceros si no se administran adecuadamente, o sin la debida consideración del cumplimiento de las normativas.
Esto es especialmente importante en el sector de la salud, donde los datos de los pacientes son muy delicados y deben protegerse. El uso de herramientas de seguimiento de terceros, como Meta Pixel, cookies y atribución móvil vinculada a aplicaciones móviles, ha suscitado inquietud entre clientes y usuarios en relación con la privacidad de los datos de la salud. Estas herramientas pueden recopilar información personal de identificación (PII) y otros datos sensibles, como la información relacionada con la atención de la salud que entra en el ámbito de la Ley de Responsabilidad y Portabilidad del Seguro de Salud (HIPAA) y la información de salud protegida (PHI).
El uso cada vez más extendido de esta tecnología ha provocado un aumento de las demandas colectivas contra empresas que no protegen adecuadamente los datos de los usuarios o no obtienen el consentimiento adecuado para la recopilación de datos. En muchos casos, se trataba de demandas de protección de la privacidad por el uso de herramientas de terceros por parte de proveedores de atención de la salud, como los hospitales. Algunos de estos casos basan sus alegatos en la violación de las leyes federales y estatales sobre escuchas telefónicas.
Este artículo trata sobre el creciente uso de estas tecnologías de seguimiento, como píxeles, cookies y otras, para recopilar información sobre los usuarios y el riesgo para la privacidad de los consumidores, especialmente en la industria de la salud. Y lo que es más importante, también examina las consiguientes amenazas financieras y para la reputación de las empresas que comparten involuntariamente estos datos personales con terceros, y lo que pueden hacer los directivos para proteger a sus organizaciones cuando utilizan estas tecnologías.
Pensemos en una empresa emergente de telesalud centrada en la salud mental que compartió inadvertidamente datos de pacientes. La empresa afirmó haber determinado "que había revelado cierta información que puede estar regulada como información sobre la salud protegida ("PHI") en virtud de la HIPAA a determinadas plataformas de terceros y a algunos subcontratistas sin haber obtenido las garantías exigidas por la HIPAA".
Otras empresas de telesalud han sido objeto de escrutinio por compartir información sobre pacientes sin el debido consentimiento. Demandantes particulares han presentado demandas colectivas alegando que las plataformas utilizadas para recopilar los datos, como Meta, compartieron información médica de los consumidores con su empresa matriz Meta Platforms Inc. a través de su herramienta de seguimiento de píxeles.
En una demanda colectiva putativa presentada ante un tribunal federal de Illinois, una demandante alegó que un hospital de Chicago había incrustado engañosamente código fuente de terceros en su sitio web y en su portal para pacientes MyChart sin su consentimiento. También sostuvo que este código fuente, que no puede ser visto por quienes utilizan el sitio web y el portal, originó transmisiones de sus datos personales identificables de pacientes a Facebook, Google y otros con fines publicitarios.
De hecho, la Comisión Federal de Comercio adoptó recientemente medidas coercitivas contra dos plataformas digitales de salud por compartir supuestamente datos sobre la salud de los usuarios con terceros con fines publicitarios. En ambos casos se utilizaron píxeles de seguimiento de terceros, que permiten a estas plataformas recopilar y analizar información sobre la actividad de los usuarios o pacientes. Las empresas aceptaron la prohibición de la Comisión Federal de Comercio de compartir información sobre la salud con fines publicitarios y, en uno de los casos, la prohibición de revelar otros datos personales con fines de redireccionamiento.
Además, el Departamento de Salud y Servicios Humanos (HHS) de EE. UU. publicó un boletín a finales del año pasado que aclara que las entidades reguladas por la HIPAA no están autorizadas a utilizar tecnologías de seguimiento de tal forma que se produzca una divulgación no permitida de información sobre la salud protegida (PHI) a proveedores de tecnología de seguimiento con fines de marketing, sin el consentimiento de las personas conforme a la HIPAA. El HHS señaló que tales divulgaciones "pueden dar lugar a usurpaciones de identidad, pérdidas económicas, discriminación, estigmatización, angustia mental u otras consecuencias negativas graves para la reputación, la salud o la seguridad física de la persona o de otras personas identificadas en la PHI de la persona".
La exclusión voluntaria es una forma de proteger la privacidad y la seguridad de los datos. Al rechazar el seguimiento (ya sea al visitar un sitio web desde una computadora o un dispositivo móvil), los usuarios pueden minimizar la posibilidad de que sus datos sean recopilados y utilizados para publicidad segmentada u otros fines.
Sin embargo, las opciones de inclusión y exclusión a veces pueden no ser claras, sobre todo en el caso de las aplicaciones móviles. Algunas aplicaciones móviles pueden estar controlando o haciendo un seguimiento subrepticio de la información o no son tan transparentes a la hora de ofrecer a los usuarios opciones de inclusión y exclusión como parte de sus mecanismos de atribución móvil. Esto puede ocurrir durante la instalación de aplicaciones o en cualquier momento posterior.
En cuanto a la atribución móvil, los kits de desarrollo de software (SDK) se utilizan para hacer un seguimiento del comportamiento de los usuarios en las aplicaciones móviles. Estos SDK pueden recopilar una serie de datos, como el tipo de dispositivo, el uso de la aplicación y la ubicación. Los usuarios pueden rechazar la recopilación de datos desactivando el seguimiento en la configuración de su dispositivo o desinstalando la aplicación para reducir la posibilidad de que se transfieran datos confidenciales. No obstante, algunas empresas han sido criticadas por dificultar la exclusión voluntaria de los usuarios o por no informarles sobre las prácticas de recopilación de datos.
En una línea similar, hay una serie de opciones de configuración que los administradores de marketing de sitios web dentro de una organización pueden implementar proactivamente para reducir los riesgos relacionados con la privacidad. Para prevenir mejor estos riesgos que pueden derivar en demandas colectivas, los administradores deben considerar la ayuda de consultores de privacidad y tecnología externos, que pueden emplear métodos avanzados. Por ejemplo, desactivar la opción "Automatic Advanced Matching" (Coincidencias avanzadas en sitios web) en el panel de Meta Pixel o comprobar que esté activado el anonimato de las direcciones IP (cuando se utiliza Google Tag Manager), entre otras opciones.
Los consultores externos adecuados pueden ayudar a mejorar los sitios web de las empresas de diversas maneras para proteger la privacidad de los clientes y los riesgos relacionados con el uso de AdTech. Pueden ayudar a identificar las mejores opciones de configuración para las empresas y a desarrollar estrategias eficaces de administración de riesgos que cumplan las normas de protección de la privacidad que exige el gobierno.
Cuando se produce un litigio y se contrata a una firma de abogados, se puede recurrir a expertos consultores externos para que presten asistencia, en particular con respecto a la identificación, recopilación, análisis y elaboración de informes periciales defendibles sobre el contenido relacionado con la tecnología publicitaria (tanto el orientado a los usuarios/clientes como el código "back-end", o servidor, los artefactos relacionados, los registros y las bases de datos). Esto puede incluir la preservación forense y la captura de fuentes de datos como:
Una vez recopilados, los datos suelen analizarse y comentarse con el asesor jurídico y las principales partes interesadas como parte de la estrategia y los debates relacionados. Las conclusiones también pueden presentarse por escrito, junto con informes y testimonios de expertos, cuando así se solicite o corresponda.
Los expertos consultores también pueden ofrecer asesoramiento en una fase temprana para respaldar la estrategia del litigio y las cuestiones relacionadas con la privacidad como parte de la presentación de pruebas y de cualquier posible informe y testimonio de expertos. Además, cerca o después de la conclusión del litigio, o como parte de los pasos de recuperación, los expertos pueden trabajar con las principales partes interesadas de la organización y con el abogado para garantizar que se aplican las medidas adecuadas de cumplimiento relacionadas con la privacidad. Estas incluyen, entre otras, la configuración de anuncios de cookies, ajustes de configuración o exclusión en los paneles de herramientas de seguimiento u otras correcciones relacionadas. Dichas acciones variarán en función del contenido del sitio web de la organización y de la implementación de la tecnología de seguimiento y los programas de cumplimiento correspondientes.
Las empresas deben ser conscientes de los problemas de privacidad cuando utilicen tecnologías como herramientas de seguimiento de terceros o recurran a la atribución móvil vinculada a aplicaciones relacionadas con el sitio web. Los usuarios y visitantes del sitio web también deben ser conscientes de los riesgos asociados a estas herramientas. El cumplimiento de la HIPAA y otras leyes de privacidad es fundamental para proteger la información personal sensible, y obtener el consentimiento adecuado para la recopilación de datos es esencial.
Una vez que se presenta una demanda por divulgación indebida de información personal, es necesario contratar a consultores externos que puedan ayudar en las demandas colectivas relacionadas con la privacidad prestando un asesoramiento sólido y defendible. Los servicios de expertos relacionados con las consideraciones de privacidad y los esfuerzos generales de detección de extremo a extremo son imperativos en tales circunstancias.
Para evitar litigios, el escrutinio normativo y las multas, así como para mitigar el riesgo general, las empresas deben tomar la iniciativa en lo que se refiere a la tecnología de seguimiento en sus sitios web al establecer los programas de cumplimiento y las medidas de protección adecuadas.
Le agradecemos a Antonio Rega y Joseph Hoang por aportar su conocimiento y experiencia, que fueron de gran ayuda en esta investigación.
Antonio Rega es director general del grupo de Investigaciones Digitales y Descubrimiento de J.S. Held, dentro del área de Investigaciones globales. Tiene más de 20 años de experiencia brindando consultoría y asesoramiento, y es experto en las áreas de análisis forense digital, privacidad de datos y administración de la información, activos digitales/tecnología blockchain, y descubrimiento en nombre de corporaciones internacionales y firmas de abogados. Con sede en Nueva York, Antonio se dedica a dirigir investigaciones complejas y asuntos que implican descubrimiento y análisis proactivos y reactivos, con frecuencia realizando exámenes forenses en profundidad de información almacenada electrónicamente (ESI) a través de repositorios (basados en la nube, localizados o móviles). Asiste regularmente a clientes con asesoramiento y estrategia en todas las fases de investigaciones, cumplimiento normativo o necesidades en litigios, como solicitudes normativas relacionadas con la privacidad, respuestas a citaciones gubernamentales y necesidades relacionadas con la administración de la información, entre otras áreas de especialización.
Antes de incorporarse a J.S. Held, Antonio dirigió investigaciones a gran escala y asuntos de cumplimiento relacionados con investigación forense digital, privacidad de datos y descubrimiento electrónico en varias consultoras destacadas. Ha sido orador invitado en la Facultad de Derecho de la Universidad de Fordham para tratar el tema de privacidad de datos y tecnología relacionada. También contribuye con material y debates como editor de contenidos para la Asociación Americana de Colegios de Abogados (ABA), además de participar como miembro del grupo de trabajo sobre secretos comerciales de la Sedona Conference 12.
Antonio es examinador de fraudes certificado (CFE); examinador certificado de EnCase (EnCE); examinador certificado en Informática (CCE); examinador certificado de rastreo de criptomonedas (CTCE); auditor certificado en criptomonedas (CCA) del Blockchain Council; investigador certificado de TRM Labs (TRM-CI); investigador privado (IP) con licencia para el estado de Texas y auditor certificado en privacidad de la información (CIPM)- pendiente.
Puede contactarse con Antonio enviando un correo electrónico a [email protected] o llamando al +1 551 345 8502.
A medida que más aspectos de nuestras vidas y trabajo se digitalizan, la superposición inherente entre la privacidad de los datos y los programas de seguridad cibernética se hace cada vez más evidente. En este artículo, damos una mirada inicial a la relación entre la privacidad de datos y la seguridad cibernética...
El ecosistema de la seguridad moderna es diverso y cambiante, un lugar donde el riesgo cibernético es prioritario para los líderes de todos los niveles, y las amenazas a la seguridad/privacidad de la información y los datos evolucionan a la velocidad...