El lenguaje de privacidad de la aplicación de salud mental abre agujeros para los datos del usuario

En el mundo de las aplicaciones de salud mental, los escándalos de privacidad se han vuelto casi rutinarios. Cada pocos meses, los informes o la investigación descubren prácticas de intercambio de datos aparentemente sin escrúpulos en aplicaciones como Crisis Text Line, Talkspace, BetterHelp y otras: las personas dieron información a esas aplicaciones con la esperanza de sentirse mejor, luego resulta que sus datos se usaron en formas que ayudan a las empresas a ganar dinero (y no las ayudan).

Me parece como un juego retorcido de whack-a-mole. Cuando por debajo escrutinioaplicaciones a menudo cambiar o ajustar sus políticas, y luego aparecen nuevas aplicaciones o problemas. No soy solo yo: investigadores de Mozilla dijo esta semana que las aplicaciones de salud mental tienen algunas de las peores protecciones de privacidad de cualquier categoría de aplicaciones.

Observar el ciclo en los últimos años me interesó en cómo, exactamente, eso sigue sucediendo. Se supone que los términos de servicio y las políticas de privacidad de las aplicaciones rigen lo que las empresas pueden hacer con los datos de los usuarios. Pero la mayoría de la gente apenas los lee antes de firmar (presionar aceptar), e incluso si los leen, a menudo son tan complejos que es difícil conocer sus implicaciones en un vistazo rápido.

“Eso hace que sea completamente desconocido para el consumidor lo que significa incluso decir que sí”, dice David Grande, profesor asociado de medicina en la Facultad de Medicina de la Universidad de Pensilvania que estudia la privacidad de la salud digital.

Entonces, ¿qué significa decir que sí? Eché un vistazo a la letra pequeña de algunos para tener una idea de lo que sucede debajo del capó. La “aplicación de salud mental” es una categoría amplia y puede cubrir cualquier cosa, desde líneas directas de asesoramiento entre pares hasta chatbots de IA y conexiones individuales con terapeutas reales. Las políticas, protecciones y regulaciones varían entre todas las categorías. Pero encontré dos características comunes entre muchas políticas de privacidad que me hicieron preguntarme cuál era el punto de tener una política en primer lugar.

Podemos cambiar esta política en cualquier momento.

Incluso si lee detenidamente una política de privacidad antes de inscribirse en un programa de salud mental digital, e incluso si se siente realmente cómodo con esa política, la empresa puede regresar y cambiar esa política cuando lo desee. Puede que te lo digan, puede que no.

Jessica Roberts, directora del Health Law and Policy Institute de la Universidad de Houston, y Jim Hawkins, profesor de derecho de la Universidad de Houston, señaló los problemas con este tipo de lenguaje en un artículo de opinión de 2020 en la revista Ciencia. Alguien podría registrarse con la expectativa de que una aplicación de salud mental protegerá sus datos de cierta manera y luego reorganizar la política para dejar sus datos abiertos a un uso más amplio del que se siente cómodo. A menos que vuelvan a comprobar la política, no lo sabrán.

Una aplicación que miré, Happify, dice específicamente en su política que los usuarios podrán elegir si quieren que los nuevos usos de los datos en cualquier nueva política de privacidad se apliquen a su información. Pueden optar por no participar si no quieren ser incluidos en la nueva política. BetterHelp, por otro lado, dice que el único recurso si a alguien no le gusta la nueva política es dejar de usar la plataforma por completo.

Tener este tipo de flexibilidad en las políticas de privacidad es por diseño. El tipo de datos que recopilan estas aplicaciones es valioso, y es probable que las empresas quieran aprovechar cualquier oportunidad que pueda surgir para nuevas formas de usar esos datos en el futuro. “Hay muchos beneficios en mantener estas cosas muy abiertas desde la perspectiva de la empresa”, dice Grande. “Es difícil predecir un año o dos años, cinco años en el futuro, sobre qué otros usos novedosos se le podrían ocurrir a estos datos”.

Si vendemos la empresa, también vendemos tus datos

Sentirse cómodo con todas las formas en que una empresa usa sus datos en el momento en que se registra para usar un servicio tampoco garantiza que otra persona no esté a cargo de esa empresa en el futuro. Todas las políticas de privacidad que examiné incluían un lenguaje específico que decía que, si la aplicación se adquiere, se vende, se fusiona con otro grupo u otra cosa comercial, los datos van con ella.

La política, entonces, solo se aplica en este momento. Es posible que no se aplique en el futuro, después de que ya haya estado usando el servicio y le haya dado información sobre su salud mental. “Entonces, se podría argumentar que son completamente inútiles”, dice John Torous, investigador de salud digital en el departamento de psiquiatría del Centro Médico Beth Israel Deaconess.

Y los datos podrían ser específicamente por qué una empresa compra a otra en primer lugar. La información que las personas brindan a las aplicaciones de salud mental es muy personal y, por lo tanto, muy valiosa, posiblemente más que otros tipos de datos de salud. Los anunciantes pueden querer dirigirse a personas con necesidades específicas de salud mental para otros tipos de productos o tratamientos. Las transcripciones de chat de una sesión de terapia se pueden extraer para obtener información sobre cómo se sienten las personas y cómo responden a diferentes situaciones, lo que podría ser útil para los grupos que desarrollan programas de inteligencia artificial.

“Creo que es por eso que hemos visto más y más casos en el espacio de la salud del comportamiento: ahí es donde los datos son más valiosos y más fáciles de recopilar”, dice Torous.


Le pregunté a Happify, Cerebral, BetterHelp y 7 Cups sobre estos términos específicos en sus políticas. Solo Happify y Cerebral respondieron. Portavoces de ambos describieron el lenguaje como “estándar” en la industria. “En cualquier circunstancia, el usuario individual tendrá que revisar los cambios y aceptar”, dijo la portavoz de Happify, Erin Bocherer, en un correo electrónico a el borde.

La política de Cerebral sobre la venta de datos es beneficiosa porque permite que los clientes continúen con el tratamiento si hay un cambio en la propiedad, dijo un comunicado enviado por correo electrónico a el borde por la portavoz Anne Elorriaga. El lenguaje que permite a la compañía cambiar los términos de privacidad en cualquier momento “nos permite mantener informados a nuestros clientes sobre cómo procesamos su información personal”, dice el comunicado.

Ahora, esas son solo dos pequeñas secciones de las políticas de privacidad en las aplicaciones de salud mental. me saltaron encima como fragmentos específicos de lenguaje que dan un amplio margen para que las empresas tomen decisiones radicales sobre los datos de los usuarios, pero el resto de las políticas a menudo hacen lo mismo. Muchas de estas herramientas de salud digital no cuentan con profesionales médicos que hablen directamente con los pacientes, por lo que no están sujetas a Directrices de la ley HIPAA en torno a la protección y divulgación de la información de salud. Incluso si deciden seguir las pautas de HIPAA, todavía tienen amplias libertades con los datos de los usuarios: la regla permite que los grupos compartan información de salud personal siempre que sea anonimizada y sin información de identificación.

Y estas políticas generales no son solo un factor en las aplicaciones de salud mental. También son comunes en otros tipos de aplicaciones de salud (y aplicaciones en general), y las empresas de salud digital a menudo tienen un tremendo poder sobre la información que las personas les brindan. Objetivo mental los datos de salud reciben un escrutinio adicional porque la mayoría de las personas se sienten diferentes acerca de estos datos que otros tipos de información de salud. Una encuesta de adultos estadounidenses publicada en Red JAMA Abierta en enero, por ejemplo, descubrió que la mayoría de las personas tenían menos probabilidades de querer compartir información digital sobre la depresión que sobre el cáncer. Los datos pueden ser increíblemente confidenciales: incluyen detalles sobre las experiencias personales de las personas y las conversaciones vulnerables que tal vez deseen que se mantengan confidenciales.

Llevar la atención médica (o cualquier actividad personal) en línea generalmente significa que Internet absorbe una cierta cantidad de datos, dice Torous. Esa es la compensación habitual, y las expectativas de privacidad total en los espacios en línea probablemente no sean realistas. Pero, dice, debería ser posible moderar la cantidad que sucede. “Nada en línea es 100 por ciento privado”, dice. “Pero sabemos que podemos hacer las cosas mucho más privadas de lo que son ahora”.

Aún así, es difícil hacer cambios que realmente mejoren la protección de datos para la información de salud mental de las personas. La demanda de aplicaciones de salud mental es alta: su uso se disparó en popularidad durante la pandemia de COVID-19, cuando más personas estaban buscando tratamientopero todavía hay no había suficiente atención de salud mental accesible. Los datos son valiosos y no hay presiones externas reales para que las empresas cambien.

Entonces, las políticas, que dejan espacios para que las personas pierdan el control de sus datos, siguen teniendo las mismas estructuras. Y hasta que el próximo gran informe de los medios llame la atención sobre un caso específico de una aplicación específica, es posible que los usuarios no sepan las formas en que son vulnerables. Sin control, dice Torous, ese ciclo podría erosionar la confianza en la salud mental digital en general. “La atención médica y la atención de la salud mental se basan en la confianza”, dice. “Creo que si continuamos por este camino, eventualmente comenzaremos a perder la confianza de los pacientes y los médicos”.

Leave a Comment

Your email address will not be published.