El pasado 10 de marzo de 2023, la empresa americana Cerebral, creadora de una plataforma que presta servicios virtuales de salud mental, realizó un comunicado en el que indicaba que había descubierto que había compartido datos personales, incluida información médica, de más de 3 millones de pacientes con empresas tecnológicas como Google, Meta (Facebook) y TikTok (la “Brecha de Seguridad”).

Cerebral compartió dichos datos a través de tecnologías de seguimiento facilitadas entre otros por las anteriores empresas tecnológicas y que Cerebral incorporó en su plataforma el 12 de octubre de 2019. Las tecnologías de seguimiento son herramientas que permiten a los sitios web y aplicaciones rastrear el comportamiento de los usuarios en línea para distintos fines, entre ellos publicitarios.

Entre los datos compartidos figurarían nombres, números de teléfono, direcciones de correo electrónico, fechas de nacimiento, direcciones de IP, e información médica (tratamiento solicitado por el paciente y sus respuestas a las preguntas realizadas a través de la plataforma).

Cerebral reveló la Brecha de Seguridad el 1 de marzo de 2023 al Departamento de Salud y Servicios Humanos de EEUU por entender que: “había divulgado cierta información que podría estar considerada como información de salud protegida por la HIPAA”.

HIPPA es la Ley de Portabilidad y Responsabilidad de Seguros Médicos de 1996, una ley federal que requiere la creación de estándares nacionales para proteger la información confidencial de salud del paciente de ser divulgada sin el consentimiento o conocimiento del paciente.

Según el comunicado, cuando Cerebral tuvo conciencia de la Brecha de Seguridad, procedió a eliminar o reconfigurar las tecnologías de seguimiento de su plataforma para prevenir que se continuara compartiendo los datos personales de sus clientes.

Conclusión:

Resulta llamativo que la razón por la que Cerebral ha reconocido la Brecha de Seguridad no es por haber compartido datos como nombres, números de teléfono, direcciones de correo electrónico, fechas de nacimiento, direcciones de IP, de más de 3 millones de usuarios, sino únicamente por haber compartido datos médicos protegidos por la HIPPA. Todavía está por ver que si la Brecha de Seguridad no ha afectado a ningún ciudadano europeo.

Como saben nuestros lectores, el RGPD considera la información médica de un individuo una categoría especial de datos personales, y esta especialmente protegida por el artículo 9 del RGPD.

El presente caso recalca la importancia de la protección de datos personales, y de lo que puede suceder cuando las empresas no toman las debidas medidas de seguridad para proteger los datos personales de sus clientes.

También es un recordatorio del peligro de utilizar tecnologías de seguimiento en plataformas o páginas web que de alguna manera puedan transmitir datos personales a las grandes empresas tecnológicas.

Si deseas estar informado de las sanciones más relevantes por infracción del RGPD, tanto en España como en el resto de Europa, por favor no dudes en suscribirte a nuestro blog.