Lo que el truco de Sony puede enseñarle sobre la privacidad de su salud

Dejando a un lado los chismes jugosos de Hollywood y el estreno de una película cancelada, hay otra consecuencia del hackeo de Sony que ha sido menos publicitado pero potencialmente más grave: la publicación de material sensible sobre las facturas médicas y las condiciones de salud de los empleados, algunos de los cuales incluyen nombres e información identificable.

Entre los correos electrónicos y documentos robados de Sony Pictures Entertainment, publicados durante las últimas semanas por un grupo de piratas informáticos conocido como Guardianes de la Paz, se encontraba una hoja de cálculo tomada de un servidor de recursos humanos que detallaba las altas facturas médicas de 34 empleados y sus familias.

Estos empleados no fueron nombrados en la hoja de cálculo. Pero la información potencialmente identificable (como las fechas de nacimiento y los géneros) acompañó los recuentos de los costos médicos y las afecciones por las que se estaba tratando a las personas, como cáncer, insuficiencia renal, cirrosis hepática alcohólica y partos prematuros.

Otros Los documentos filtrados incluían nombres, además de menciones de reclamos de seguro rechazados para los hijos o cónyuges de los empleados. Bloomberg.com informa que en un memorando, el departamento de recursos humanos de Sony 'entró en gran detalle sobre el tipo de tratamiento que estaba recibiendo el niño, cómo le estaba yendo, la ubicación de la instalación y las conversaciones que la aseguradora tuvo con los proveedores de cuidado del niño'.

Este tipo de violación puede ser aterrador, incluso cambiar la vida de las personas directamente afectadas. Pero también debería ser preocupante para cualquiera que se pregunte acerca de sus propios derechos de privacidad, cuánto deben saber las empresas sobre los registros médicos de sus empleados y qué tan seguros son realmente esos registros.

Los estadounidenses están protegidos por el Health La Ley de Portabilidad y Responsabilidad de Seguros de 1996, también conocida como HIPAA, que establece reglas sobre quién puede acceder a sus registros médicos y de seguros, y eso se aplica a la información electrónica, escrita u oral. Según la HIPAA, su compañía de seguros no puede compartir información médica identificable con su empleador sin su consentimiento.

Pero los empleados a menudo dan su consentimiento (a veces sin darse cuenta) al firmar documentos cuando son contratados, dice Lara Cartwright-Smith , JD, MPH, profesor asociado de investigación en la Escuela de Salud Pública del Instituto Milken de la Universidad George Washington y codirector de HealthInfoLaw.org. También pueden revelar información confidencial de forma voluntaria, por ejemplo, cuando buscan ayuda de su departamento de beneficios para obtener la aprobación de las reclamaciones.

La HIPAA no se aplica a la mayoría de los empleadores, solo a los planes de salud y proveedores de atención médica, por lo que Una vez que su empleador tiene información médica confidencial, no es necesario que la proteja de la misma manera. Y, en general, los derechos de privacidad no están protegidos en caso de un delito, dice Cartwright-Smith, asumiendo que la víctima de ese delito (Sony, en este caso) había hecho todo lo posible para prevenirlo.

"Piense en ello como si alguien irrumpiera en el consultorio de su médico y robara su historial", dice. Su médico no hizo nada malo, por lo que probablemente no será responsable. Y los archivos digitales en estos días pueden ser tan seguros o inseguros como los archivos en papel '.

Enviar correos electrónicos sobre reclamos de empleados o mantener archivos de costosas facturas médicas no parece problemático en sí mismo, agrega Cartwright-Smith, asumiendo los materiales se estaban utilizando por razones comerciales legítimas y no con fines invasivos o discriminatorios.

Pam Dixon, directora ejecutiva del Foro Mundial de Privacidad sin fines de lucro, está de acuerdo en que una hoja de cálculo de altos costos médicos 'probablemente no una lista inusual para ver en el departamento de recursos humanos. ' Pero dice que Sony tiene la obligación de mantener protegida esa información y limitar los riesgos innecesarios. "Ciertamente consideraría que es una buena práctica no discutir asuntos de salud de los empleados en correos electrónicos y de manera no segura".

Y Sony puede ser responsable si se descubre que la compañía no tomó las medidas necesarias para salvaguardar tal materiales, dice ella. Dixon cita el caso reciente de una clínica de salud mental en Alaska que fue pirateada y luego multada por el gobierno por no actualizar su software de protección antivirus.

"Creo que este es un momento decisivo para la información confidencial, Dice Dixon. "Si no se ha mantenido actualizado con su seguridad, si no está proporcionando una protección realmente de vanguardia para este tipo de información confidencial, tiene responsabilidad".

Bajo La regla de notificación de infracciones de salud de la Comisión Federal de Comercio, las empresas que recopilan información de salud personal deben notificar a los empleados si esa información se ve comprometida o se filtra, dice Dixon. California también tiene sus propias leyes que requieren que los empleadores mantengan seguros los registros médicos y notifiquen a los empleados en caso de incumplimiento.

De hecho, los ex empleados de Sony presentaron esta semana dos demandas colectivas diferentes contra Sony por no proteger sus datos y por no notificarles sobre el ataque de manera oportuna. Dicen que Sony conocía las debilidades de la seguridad digital durante años y no tomó precauciones como el uso de firewalls, la encriptación de archivos y el almacenamiento de datos en redes protegidas. Sony Pictures no respondió de inmediato a las solicitudes de Health de comentar sobre la demanda.

Es posible que no pueda mantener en privado toda su información médica a sus empleadores; ellos tienen derecho a solicitar notas del médico, justificación de permiso familiar o información médica que puede afectar directamente cómo hace su trabajo, pero puede limitar a qué tienen acceso.

'Lea todo antes de firmar cuando complete la documentación del seguro o cualquier cosa relacionada a un programa de bienestar en el lugar de trabajo ', dice Cartwright-Smith,' y asegúrese de comprender dónde se compartirá su información de salud '.

Dixon dice que el truco de Sony probablemente obligará a otras compañías a tomar una buena examinará su propia seguridad y, con suerte, pondrá nuevas salvaguardias en todas las industrias. Para asegurarse de que su empleador esté prestando atención, solo pregunte.

'Para cualquier persona que tenga una afección crónica o que tenga familiares con una afección crónica, no es terrible ir a Recursos Humanos y decir: Estoy realmente preocupado por lo que pasó; ¿Qué procedimientos tiene para asegurarse de que no suceda aquí? '', dice Dixon. "Creo que la mayoría de los empleadores en este momento le dan una prioridad muy alta a la revisión de estos procedimientos".

Los empleados también pueden protegerse solicitando y guardando su propia copia de su historial médico actual de su seguro. empresa y su médico, dice Dixon. De esa manera, si alguien roba su información médica y la usa para buscar su propio tratamiento médico, un delito conocido como robo de identidad médica, tendrá una copia "antes" para ayudar a separar las entradas legítimas de las ilegales.

Mantener la información de salud privada fuera de las redes sociales también puede protegerlo en caso de que sus registros médicos sean pirateados o compartidos ilegalmente, dice Dixon. "Si ha publicado información en otro lugar en el pasado que no estaba asegurada, puede perder muchos de sus derechos de confidencialidad".

Por último, dice, no incluya información personal en las correspondencias laborales y evite discutir problemas de salud graves con sus compañeros de trabajo. "Si hay una conversación informal alrededor del enfriador de agua, no hay problema, pero manténgalo ligero y manténgalo fuera del correo electrónico".