Los sitios web de hospitales siguen filtrando datos de pacientes a anunciantes.

      Una nueva investigación de Bloomberg-Feroot encuentra que nueve de las 10 principales empresas de salud de EE. UU. todavía están cargando rastreadores publicitarios en las mismas páginas donde los pacientes inician sesión y se registran. La historia sigue repitiéndose porque nada lo ha detenido.

      Hay, hasta ahora, una forma familiar en las investigaciones sobre el seguimiento en línea. Un reportero o investigador carga un sitio web, observa lo que se carga en segundo plano y descubre, a menudo de manera impactante, a dónde va la información.

      La última investigación de Bloomberg, publicada este mes, ha encontrado que casi nada ha cambiado en el rincón de internet donde sería más difícil defender ese hecho: los sitios web de las empresas de atención médica más grandes de América.

      Trabajando con la firma de cumplimiento de privacidad Feroot Security, Bloomberg examinó los sitios web de las diez principales compañías de seguros de salud, hospitales y laboratorios que cotizan en bolsa en EE. UU. Nueve de las diez tenían rastreadores publicitarios y de análisis instalados en las páginas de registro o inicio de sesión de usuarios.

      Aproximadamente el 15 por ciento de la muestra más amplia de sitios web de salud que el equipo examinó podía leer las pulsaciones exactas en las páginas de inicio de sesión, lo que significa que las terceras partes involucradas podrían, en principio, recopilar números de Seguro Social, nombres de usuario, contraseñas, direcciones de correo electrónico, horarios de citas, detalles de facturación y diagnósticos médicos.

      Es, dependiendo de cómo se lo enmarque, una historia sobre la persistencia o una historia sobre el fracaso regulatorio. Probablemente ambas.

      ¿Cómo llegaron los rastreadores allí y por qué siguen allí?

      La forma del problema ha sido visible durante años. Un estudio académico publicado en Health Affairs encontró que el 98.6 por ciento de los sitios web de hospitales de EE. UU. incluían seguimiento de terceros.

      Escribimos en 2022 que 33 de los 100 principales sitios web de hospitales de EE. UU. tenían el Pixel de Meta enviando datos a Facebook cada vez que un paciente hacía clic en un botón para programar una cita. El equipo de investigación de STAT mostró en 2023 que casi todos los sitios web de hospitales en el país estaban filtrando datos de visitantes a proveedores de tecnología publicitaria a pesar de las promesas de privacidad explícitas.

      Los reguladores federales intervinieron. La Oficina de Derechos Civiles y la Comisión Federal de Comercio advirtieron conjuntamente a aproximadamente 130 hospitales y proveedores de telemedicina en 2023 que el uso de tecnologías de seguimiento en páginas dirigidas a pacientes arriesgaba violaciones de HIPAA y de la ley de protección al consumidor.

      La industria de la salud se opuso. En junio de 2024, un juez federal en Texas se alineó con las asociaciones de hospitales, dictaminando que HHS había excedido su autoridad al intentar extender HIPAA a una categoría de seguimiento de páginas web no autenticadas. Desde entonces, el apetito de la agencia por hacer cumplir la ley se ha enfriado visiblemente.

      El resultado es una categoría de actividad en línea que todos los involucrados saben que es sensible, que ha sido objeto de estudio académico, advertencia regulatoria y litigio federal, y que, según la evidencia de Bloomberg, no es menos común en 2026 de lo que era en 2022.

      A dónde fluye realmente la información

      Las terceras partes más comúnmente identificadas por las herramientas de Feroot son familiares: el píxel de seguimiento de Meta, Google Analytics, LinkedIn Insights, TikTok Pixel y una larga lista de proveedores de publicidad y corredores de datos.

      Los datos que reciben pueden incluir la URL de la página, términos de búsqueda ingresados en el buscador de síntomas de un hospital, acciones de programación y, en casos capaces de registrar pulsaciones, campos ingresados antes de la presentación. Una vez que esos datos salen del dominio del hospital, el hospital, por consenso de la industria, tiene un control limitado sobre lo que sucede con ellos.

      El caso de marketing para los rastreadores es simple. Apoyan la atribución publicitaria, la medición de conversiones y la construcción de audiencias, las mismas funciones para las que existen en sitios web de comercio minorista o medios.

      La defensa, cuando se ofrece, es que los rastreadores están configurados para no capturar información de salud protegida, y que los hospitales tienen acuerdos de asociado comercial (o no los necesitan) con los proveedores relevantes.

      La investigación de Bloomberg, al igual que las académicas y periodísticas anteriores, sugiere que esta defensa es más difícil de sostener en la práctica que en teoría.

      Los rastreadores, una vez incrustados, hacen lo que hacen los rastreadores. Configurarlos para que se comporten con la discreción que HIPAA espera es una disciplina que la mayoría de los sitios web de atención médica no han mantenido a gran escala.

      Hay una versión suave, casi filosófica de este problema. Navegar por un sitio web de un hospital es, cada vez más, el primer paso en un viaje de atención médica. Las páginas que un paciente mira, los síntomas que busca y los proveedores que considera son, en conjunto, un retrato de su salud física y mental. Ese retrato no se vuelve menos sensible porque se haya ensamblado inadvertidamente.

      También hay una versión más aguda. La misma infraestructura publicitaria que impulsa el comercio electrónico cotidiano está, en esta categoría, ingiriendo datos sobre embarazos, tratamiento de salud mental, adicción y diagnósticos graves, a menudo sin el conocimiento del paciente y, ciertamente, sin su consentimiento significativo.

      El ecosistema de publicidad y corredores de datos que sigue, la cadena de reventa e inferencia que anima los anuncios programáticos, es lo suficientemente opaco como para que incluso el proveedor original del rastreador no pueda describir completamente a dónde termina la información.

      El hecho de que el recientemente ampliado servicio de Salud AI de Amazon esté diseñado para operar dentro de un entorno compatible con HIPAA es un contraste útil: cuando las empresas quieren manejar los datos de salud con cuidado, pueden. El predeterminado para la mayoría de los sitios web de hospitales, según el informe de Bloomberg, es que no lo hacen.

      El camino que cierra esto

      Hay, en principio, tres formas en que los rastreadores se detienen. La primera es regulatoria: una acción de cumplimiento por parte de HHS o la FTC que sobreviva a la apelación y produzca un acuerdo real de consecuencias.

      La segunda es judicial: una demanda colectiva que produzca daños lo suficientemente grandes como para superar la utilidad de marketing de los rastreadores. La tercera es reputacional: una empresa de atención médica concluye que el costo de marca de ser nombrada en investigaciones como la de Bloomberg supera el aumento de conversión que los rastreadores ofrecen.

      Ninguno de esos caminos ha cerrado, hasta ahora, de manera confiable. La decisión de Texas ha amortiguado la ruta regulatoria. El ecosistema de demandas colectivas se está moviendo, pero lentamente. El daño reputacional, en atención médica, tiene una vida media limitada. Esa es la razón estructural por la que la misma investigación, con hallazgos en gran medida similares, se ha publicado cada dos o tres años durante la mayor parte de una década.

      Los pacientes que reciben los rastreadores, mientras tanto, son en su mayoría inconscientes. La protección a corto plazo más realista, un bloqueador de anuncios más un navegador centrado en la privacidad, es el tipo de autoayuda que no debería ser la solución predeterminada para una categoría de datos que la ley trata como protegida. Que sea, en 2026, la solución predeterminada es la historia.