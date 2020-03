Actualización: Después de la publicación de este artículo, GoodRx publicó una declaración diciendo que planeaba dejar de compartir información médica personal con Facebook, había nombrado un nuevo vicepresidente de privacidad de la información y estaba ofreciendo una forma para que los usuarios de GoodRx puedan borrar sus datos. Para mayor información sobre nuestros hallazgos e instrucciones sobre cómo proteger tu información médica, ve el seguimiento de los cambios en Consumer Reports. Este artículo se publicó originalmente el 25 de febrero de 2020.

Hace unas semanas, una residente de Filadelfia llamada Marie recibió una receta para un nuevo medicamento, pero éste no estaba cubierto por su seguro médico. “Era demasiado caro para poder pagarlo por mi cuenta”, dice ella. (Al igual que otros consumidores con los que hablamos, Marie nos pidió que no publicáramos su apellido para preservar su privacidad). “Entonces contacté a mi doctora. Ella me recomendó GoodRx y dijo que podía pagar el medicamento con uno de sus cupones”.

La doctora tenía razón. “El descuento fue de unos $500”, dice Marie. “Estaba emocionada de ir a surtir la receta y no tener que preocuparme más por eso”.

Millones de personas como Marie han descargado la aplicación GoodRx. Las comparaciones de precios y los cupones que proporciona pueden ahorrar dinero en medicamentos con receta que de otra manera estarían fuera del alcance de muchos pacientes. Es por eso que Consumer Reports y otras organizaciones han recomendado GoodRx en el pasado.

Sin embargo, hay un intercambio involucrado.

Mientras personas como Marie ahorran dinero con GoodRx, los productos digitales de la compañía envían datos personales sobre ellas a más de 20 compañías en Internet. Google, Facebook y una empresa de mercadotecnia llamada Braze reciben los nombres de los medicamentos que la gente está buscando, junto con otros detalles que podrían permitirles identificar qué teléfono o computadora portátil se está utilizando.

Eso preocupa a pacientes como Marie, junto con los médicos y defensores de la salud que entrevistamos.

“Se está convirtiendo en una situación en la que la privacidad es para los privilegiados”, dice Dena Mendelsohn, asesora principal de políticas de Consumer Reports. “La gente usa GoodRx cuando se les ha recetado algo para mejorar su salud, que en algunos casos puede ser un medicamento que les cambia la vida. Pero la gente no debería estar en una posición en la que tenga que elegir qué es más importante, su salud o su privacidad”.

Se comparten los nombres de los medicamentos

Para determinar cómo GoodRx comparte los datos, monitoreamos el tráfico usando una herramienta de captura de paquetes de datos para observar la aplicación móvil Android y el sitio web de la compañía, mientras buscábamos ofertas en una serie de medicamentos con receta.

Varios de los socios comerciales de la compañía recibieron los nombres de los medicamentos, junto con los números de identificación y otra información que puede usarse para identificar a las personas. Los datos pueden revelar información confidencial que muchas personas mantendrían en privado, excepto con sus amigos y familiares cercanos.

Como prueba buscamos descuentos en Lexapro, un antidepresivo; PrEP y Edurant, utilizados para prevenir y tratar el VIH, respectivamente; Cialis, para la disfunción eréctil; Clomid, un medicamento utilizado en tratamientos de fertilidad, y Seroquel, un antipsicótico que suele recetarse para controlar la esquizofrenia y el trastorno bipolar.

Con la información proveniente de nuestro teléfono y navegador de prueba, una compañía podría inferir detalles muy confidenciales sobre los usuarios de GoodRx que sufren de condiciones crónicas serias y hacer suposiciones sobre su orientación sexual.

Braze, una empresa de mercadotecnia, recibió los nombres de los medicamentos, las farmacias donde buscamos surtir las recetas y los números de identificación que las empresas de publicidad y análisis usan para rastrear el comportamiento de consumidores específicos a través de la web.

Al igual que otras compañías con las que hablamos, Braze asegura a Consumer Reports que los datos recopilados no se comparten ampliamente con los corredores de datos o las compañías de publicidad. Braze dice que los datos solo se usan para ayudar a GoodRx a orientar a sus propios usuarios con información.

Del mismo modo, una compañía llamada Branch dice que solo usa los datos que recopila de GoodRx para asegurarse de que los enlaces dentro de la aplicación móvil funcionen correctamente. Los ejecutivos de GoodRx dicen que la compañía no vende ni comparte los datos de salud de los usuarios con otras compañías para apoyar la publicidad dirigida.

“Cuando creemos que un usuario se está quedando sin medicamentos, usamos Braze para enviar un correo electrónico o un recordatorio por mensaje de texto”, dice Thomas Goets, jefe de investigación de GoodRx. “También podemos notificar a los usuarios cuando encontramos un mejor precio para su receta”, dice. “Para llegar a nuevos clientes que puedan encontrar útil a GoodRx, colocamos anuncios de GoodRx en plataformas de terceros, incluyendo Facebook y Google, y volvemos a dirigirnos a los usuarios que han visitado GoodRx para animarlos a que vuelvan a utilizar el servicio”.

Tanto Google como Facebook niegan el uso de información de recetas para dirigirse con anuncios a las personas. “Prohibimos la publicidad personalizada y los perfiles publicitarios basados en información confidencial, incluyendo las recetas de un usuario”, dice un portavoz de Google.

Un portavoz de Facebook dice: “No queremos que los sitios web compartan con nosotros la información personal de salud de la gente, es una violación de nuestras políticas. Después de una revisión inicial, creemos que el uso que hace GoodRx de nuestras herramientas comerciales requiere una investigación más profunda y estamos contactando a la empresa”.

Nuestras pruebas de la aplicación y el sitio web de GoodRx fueron dirigidas por Bill Fitzgerald, un investigador de la privacidad del laboratorio digital de CR. “Observamos que se transmitía información confidencial”, dice. “Si Facebook no quiere esta información y GoodRx no quiere enviarla, eso no debería suceder. La aplicación y el sitio no necesitan ser diseñados de esta manera”.

Los usuarios de GoodRx que contactamos dijeron estar sorprendidos de que tal información confidencial se haya compartido con cualquier propósito.

“Simplemente asumí que tenía que haber algún tipo de ley de protección o algo asociado con eso porque son datos médicos”, dice Cam, un usuario de GoodRx que trabaja como analista de negocios en Nueva York.

“Mi instinto me decía que estaba bien, probablemente debido a mi experiencia pasada con la información médica”, dice Marie de Filadelfia. “Supuse que esta era mi aplicación privada de recetas”.

“No parece correcto”, dice ella.

No, la ley HIPAA no aplica

Los médicos que entrevistamos dicen que se preocupan a diario por la forma en que los pacientes pueden pagar los medicamentos que necesitan para tratar enfermedades graves. Todos dicen que recomiendan GoodRx como solución, muchos sin darse cuenta de que podría revelarse información privada.

Erin T. Bird, M.D., una uróloga en Temple, Texas, frecuentemente menciona GoodRx a sus pacientes. “Es una conversación que ocurre con casi todas las recetas”, dice Bird, especialmente cuando se trata de disfunción eréctil, incontinencia urinaria y cáncer, condiciones que requieren medicamentos que son costosos en muchos planes de seguro y potencialmente embarazosos para los pacientes.

Bird dice que está sorprendida de que la aplicación GoodRx y el sitio web compartan la información de las recetas de los pacientes.

“Creo que la mayoría de los médicos pensarían que en el ámbito de la atención médica existen algunas protecciones para el consumidor. Yo habría asumido eso”, dice Bird.

Bird y otros profesionales médicos están obligados a manter la información médica privada y segura bajo HIPAA o Health Insurance Portability and Accountability Act [una ley federal que establece normas acerca de quién puede ver y recibir información sobre tu salud]. Es probable que hayas tratado con HIPAA antes, se describe en los documentos que firmas cuando vas a la consulta de un nuevo médico.

“Si la gente piensa que la ley HIPAA protege los datos de salud, entonces probablemente cree que cualquier información de salud en cualquier contexto estará protegida. Ese no es el caso”, dice Deven McGraw, director de regulación de la empresa de tecnología de salud del consumidor Citizen, y ex subdirector de privacidad de la información de salud de la Oficina de Derechos Civiles del Departamento de Salud y Servicios Humanos de los Estados Unidos.

Sin embargo, la ley HIPAA no se aplica a GoodRx ni a muchos otros sitios web y aplicaciones “directas al consumidor” que brindan información médica y farmacéutica. No se aplica a los datos de frecuencia cardíaca generados por un reloj deportivo o Fitbit, información que se introduce en aplicaciones de seguimiento de periodos o datos de carreras que se mantienen en aplicaciones de carreras y ciclismo como Strava. En lo que respecta a la ley, dicha información no tiene más protección de la que tienen tus “me gusta” en Instagram.

Las principales empresas están muy interesadas en los datos sobre la salud de los consumidores. El año pasado, el buró de datos y control de crédito Experian anunció que había asignado a cada persona en los Estados Unidos, unos 328 millones de estadounidenses, un “identificador de paciente universal”. Google y Amazon están invirtiendo públicamente en esfuerzos para recopilar información sobre la salud de los consumidores y adquirir o asociarse con empresas de atención médica.

La ley HIPAA puede hacer que la información médica sea más valiosa para las compañías de Internet.

“Puedo comprar una lista de personas que hayan abierto un nuevo negocio o hayan comprado un BMW”, dice Jeff Greenfield, cofundador de la empresa de publicidad C3 Metrics, pero es mucho más difícil localizar a las personas con diabetes o colesterol alto debido a la ley HIPAA. “Hay dinero sobre la mesa, cientos de millones, miles de millones de dólares al año en total, en dólares potenciales de publicidad”.

Un intercambio “necesario”

Los servicios de cupones de recetas no son las únicas aplicaciones que comparten información confidencial con terceros.

Un estudio reciente del Consejo de Consumidores de Noruega, un grupo de defensa, analizó 10 aplicaciones, entre ellas Grindr, OkCupid, Tinder y las aplicaciones de seguimiento de períodos menstruales Clue y MyDays, y descubrió que estaban suministrando colectivamente información personal a decenas de empresas, que en algunas aplicaciones puede incluir detalles sobre el género, la sexualidad, las opiniones políticas y el consumo de drogas de los usuarios.

En enero, una investigación de Gizmodo encontró que una aplicacioón de botón de pánico asociada con Tinder compartía datos con muchas de las mismas compañías que vimos cuando miramos GoodRx. La semana pasada, un reporte de Jezebel encontró un intercambio de información similar en el mundo de los servicios de terapia en línea, como BetterHelp.

GoodRx dice que tiene cuidado con la información de los consumidores y que obtiene la mayor parte de sus ingresos a través de las tarifas de referencia que se cobran cuando los consumidores surten sus recetas con un cupón de GoodRx, en lugar de a través de la publicidad.

Sin embargo, cuando usas una aplicación, ya sea una calculadora, GoodRx o una aplicación de meditación, puedes estar entrando en una relación con docenas de otras compañías. Incluso si tuvieras tiempo de revisar las políticas de privacidad con una lupa, es posible que nunca sepas dónde van a parar tus datos o para qué se van a utilizar.

Los usuarios de GoodRx con los que habló CR encontraron eso preocupante.

“Las máquinas pueden descomponerse, un humano puede cometer un error y luego todo está ahí afuera. Ya ha sucedido antes”, dice Hanna, una usuaria de GoodRx que vive en Nueva York y realiza trabajos de mercadotecnia en la industria cosmética. Hanna usa la aplicación para verificar los precios de su método anticonceptivo, así como de Lexapro, Trazodone y Wellbutrin, medicamentos que toma todos los días para la ansiedad y la depresión.

Pero eso no le impedirá a ella ni a otros consumidores con los que hablamos, usar GoodRx o aplicaciones similares. “El servicio que están dando, con el estado de nuestro seguro médico en este país es, probablemente necesario”, dice Hanna. “Mis medicamentos de $300 cuestan unos $28 con GoodRx. Yo lo aprovecharía. ¿Entiendes a lo que me refiero?”

Nota del editor: Este artículo se ha actualizado para aclarar los resultados de un estudio realizado por el Consejo de Consumidores de Noruega. Se encontró que varias aplicaciones compartían datos personales, pero no todas compartían el mismo tipo de datos o con las mismas compañías externas. El artículo fue publicado originalmente el 25 de febrero de 2020.

