Los mercados de seguros de salud de EE. UU. compartieron datos de ciudadanía y raza con gigantes de la tecnología publicitaria

 (techcrunch.com)
1 puntos por GN⁺ 3 시간 전 | 1 comentarios | Compartir por WhatsApp
  • Según una nueva investigación de Bloomberg, casi todos los 20 mercados de seguros de salud operados por gobiernos estatales de EE. UU. compartieron información de solicitudes de residentes con gigantes de la publicidad y la tecnología como Google, LinkedIn, Meta y Snap
  • Los rastreadores tipo píxel colocados en sitios sensibles de solicitud de atención médica aumentaron los riesgos de privacidad al recopilar información de visitantes del sitio web
  • El mercado de seguros de salud de New York compartió información de solicitudes con varias empresas tecnológicas, incluido si el solicitante había proporcionado información sobre familiares encarcelados
  • El mercado de seguros de salud de Washington, D.C. preguntó por el género y la raza de los solicitantes, y el rastreador de píxel de TikTok solo ocultó parte de la información racial; también se compartieron con TikTok direcciones de correo electrónico, números de teléfono e identificadores nacionales
  • Washington, D.C. dejó de desplegar el rastreador de TikTok, y Virginia eliminó de su sitio web el rastreador de Meta después de que se confirmara que se compartían códigos postales ZIP de residentes con Meta

El problema de los píxeles de rastreo en los mercados estatales de seguros de salud

  • Según una nueva investigación de Bloomberg, casi todos los 20 mercados de seguros de salud operados por gobiernos estatales de EE. UU. compartieron información de solicitudes de residentes con gigantes de la publicidad y la tecnología como Google, LinkedIn, Meta y Snap
  • El problema central está en los rastreadores tipo píxel que recopilan información de visitantes del sitio web
    • Estos rastreadores suelen usarse para analítica web e identificación de errores, pero si se implementan con una configuración incorrecta en sitios con datos médicos sensibles, pueden derivar en recolección de información personal
    • Son herramientas comunes en la publicidad digital, pero en contextos sensibles como la información de solicitudes médicas aumentan los riesgos de privacidad
  • El mercado de seguros de salud de New York compartió información de solicitudes con varias empresas tecnológicas, incluido si el solicitante había proporcionado información sobre familiares encarcelados
  • El mercado de seguros de salud de Washington, D.C. también preguntó por el género y la raza de los solicitantes, y el rastreador de píxel de TikTok intentó ocultar parte de la información
    • Según Bloomberg, algunos datos raciales fueron enmascarados, pero otros no
    • Un vocero del mercado de Washington, D.C. dijo que también se compartieron con TikTok direcciones de correo electrónico, números de teléfono e identificadores nacionales de residentes
  • Washington, D.C. dejó de desplegar el rastreador de TikTok, y Virginia eliminó de su sitio web el rastreador de Meta después de que Bloomberg confirmara que se compartían códigos postales ZIP de residentes con Meta

Riesgos recurrentes de compartir datos médicos

  • Este problema ya había ocurrido antes en startups de telemedicina y grandes empresas del sector salud
  • Varias empresas y grandes compañías del sector salud tuvieron que notificar a millones de personas que su información médica fue recopilada sin intención y compartida con grandes tecnológicas
  • Los ingresos de esas grandes tecnológicas provienen del uso de datos de consumidores para publicidad
  • La investigación de Bloomberg muestra que, cuando los rastreadores de píxel se colocan en sitios web gubernamentales, pueden afectar a una población mucho más amplia
  • Bloomberg señaló que este año más de 7 millones de personas en EE. UU. compraron seguro de salud a través de mercados estatales

Lecturas relacionadas

1 comentarios

 
GN⁺ 3 시간 전
Comentarios de Hacker News

  • Usé el sitio web del mercado de seguros de salud del estado de Colorado para tomarme unos meses entre trabajos, y sentí que todo el proceso fue una invasión brutal
    Ingresé mucha información para obtener una cotización, y esperaba que esos datos pudieran compartirse para calcularla, pero al final ni siquiera recibí una cotización
    Parecía que la información no pasó entre sistemas sino directamente a varias personas, y en lugar de obtener resultados útiles en el sitio, solo me dijeron que un asesor se pondría en contacto, y durante semanas recibí llamadas y mensajes de texto a toda hora de cientos de asesores
    Le pregunté a uno de ellos cómo podía detenerlo, y me respondió que era imposible por el cierre del gobierno

    • Puede que hayas caído en un sitio privado de captación de prospectos que compra el primer resultado patrocinado de Google y se hace pasar por el sitio oficial de Colorado
      https://i.imgur.com/d2fZlTc.png
    • Esta es exactamente la realidad de que el gobierno federal de EE. UU. ni siquiera intente hacer algo como el GDPR

  • El “compartir” real fue usar el píxel de Meta y herramientas de rastreo equivalentes de TikTok, y probablemente el mercado de seguros de salud intentaba llevar a la gente a inscribirse en un plan mediante anuncios de retargeting o marketing basado en audiencias similares
    Visto de forma estrecha, hasta podría parecer razonable, pero en el momento en que usas un píxel, los datos se “comparten” automáticamente con Meta, ByteDance y otros, y quedan disponibles para toda clase de fines maliciosos que ellos quieran darles

    • Incluso si fuera para que el mercado estatal de seguros de salud aumente las inscripciones subsidiadas, se puede considerar inapropiado que haga cualquier tipo de segmentación o marketing
      Puede que me equivoque, pero no creo que la misión bajo la ACA contemple que se haga segmentación o marketing a sí misma
      El mero hecho de que exista una suposición implícita de que naturalmente harían eso ya es parte del problema
    • Es realmente malicioso
      Una vez que conocen tu identidad, pueden cruzarla con bases de datos de la industria de seguros e inferir varias condiciones de salud y otros datos
      Si saben si una mujer está recibiendo atención prenatal a tiempo, un mercadólogo puede predecir su fecha de parto con bastante confianza y con una precisión de alrededor de una semana

  • Tanto enviar los datos como recibirlos debería ser ilegal
    Hay que prenderle fuego a ambos lados de ese puente

    • Todos los datos recolectados deberían requerir consentimiento explícito tanto para la recolección inicial como para compartirlos con terceros
      Se debería explicar por qué se recolectan y qué función dejaría de ser posible si no se recolectan, y bloquear una función porque alguien no consintió un dato que no es absolutamente necesario para que esa función opere debería ser una violación de la ley
    • Se debería proteger explícitamente el derecho a mentir sobre la raza en cualquier contexto
      Es mucho más fácil arruinar un conjunto de datos que esconderse de él
    • Esto es un píxel de rastreo, así que está diseñado para engañar a los usuarios y hacer que ellos mismos envíen los datos
    • No me sorprendería que ambos ya fueran ilegales
      Solo que hoy en día la correlación entre “X es ilegal” y “las grandes organizaciones no hacen X” ya no es lo que era antes
    • Es muy probable que empresas tecnológicas y contratistas ofensivos usen esos datos para reforzar las actividades del departamento de guerra
      Me pregunto por qué querrían datos de raza y ciudadanía, ah… ya veo…

  • Las empresas tecnológicas más ricas del mundo y los multimillonarios se hicieron ricos violando la privacidad de la gente y vendiendo publicidad invasiva

    • Más que “vender publicidad invasiva”, se acerca más a manipular algoritmos de contenido para favorecer su propia visión y dirigirlos a cada persona para lograr el máximo efecto
    • Si ves a las 15 personas más ricas del mundo, 11 de ellas no se hicieron ricas de esa manera
    • Por ejemplo, faltan el descarado capitalismo de compadres en Rusia después de 1991 y los verdaderos ricos que desde hace tiempo invierten repetidamente en empresas que generan dinero
      Como Charlie Munger y Warren Buffett, que no hicieron timing del mercado sino inversión de largo plazo
    • Se hicieron ricos porque la gente fue lo bastante tonta como para creer que los servicios gratuitos no tenían costo
    • Pero entonces, ¿quién hace clic en esos anuncios?

  • En los servicios públicos es todavía peor. La confianza ya es frágil
    Solicitar seguro de salud no debería implicar además preocuparte por quedar registrado en un grafo de rastreo

    • ¿De verdad es tan difícil de entender que uno podría querer limitar la cobertura del seguro de salud a residentes legales?
      O que tampoco suena tan absurdo que, sea cual sea la medida que tome el gobierno, se pueda rastrear metadatos sobre si el servicio está operando de esa manera

  • Desde la perspectiva de alguien que no conoce bien el sistema legal de EE. UU., no lo entiendo
    Si esto era rastreo de Meta/Facebook mediante píxeles, ¿por qué no se les puede demandar?
    O si ese rastreo es legal en este caso concreto, ¿por qué demonios es legal?

  • Investigación de Bloomberg: https://www.bloomberg.com/features/2026-healthcare-advertisi...

  • Ojalá alguien de EE. UU. lo explicara. En este contexto, ¿qué demonios significa raza y cómo se determina?

    • Se informa por declaración propia según las categorías raciales reconocidas por el censo de EE. UU.
      Hay blanco, negro, asiático, nativo americano/nativo de Alaska, nativo hawaiano o isleño del Pacífico, otra categoría o dos o más categorías
      La identidad hispana/latina va en una casilla aparte, por motivos que son difíciles de explicar sin repasar décadas de decisiones burocráticas
    • En todas las etapas del sistema educativo de EE. UU., al menos por ahora, se enseña que la raza es una construcción social
      El concepto de genética de poblaciones se ve mucho después, en clases de ciencias naturales más avanzadas
    • Es una confusión común al hablar de temas raciales entre europeos y estadounidenses
      En el contexto de EE. UU., raza se refiere a origen, procedencia y herencia, y en los formularios del gobierno aparece como “¿Cuál es su raza? Blanco, negro, hispano, etc.”
      Desde la intención, es fundamentalmente distinto de la expresión europea que significa especie, como el francés ‘la race humaine’
      Esa diferencia sutil importa en el debate. Cuando hablé de diferencias raciales con personas suizas, creyeron que yo estaba hablando de propaganda nazi
      Todos pertenecemos a la especie humana, y dentro de la especie humana hay varias razas, y todas son iguales
    • Hay varios factores de riesgo y algunos valores de análisis que difieren entre grupos raciales
      Por ejemplo, en mis resultados de laboratorio hay al menos dos elementos con valores de referencia distintos para pacientes “African-American” y “non-AA”
      https://en.wikipedia.org/wiki/Sickle_cell_disease#United_Sta...
    • Yo diría que es algo que cada persona declara por sí misma

  • Sigue sorprendiéndome que muchos desarrolladores web todavía no entiendan que en el momento en que incluyen JavaScript ajeno en su sitio, ese tercero obtiene acceso total a todo lo que hay en la página, incluidos los datos enviados por los clientes

  • “Si proporcionó detalles sobre si tiene familiares encarcelados”
    Eso ni siquiera parece una señal tan fuerte, más bien un detalle a nivel de metadatos