Contenido
Una investigación de Radio France ha generado controversia sobre la forma en que Doctolib protege los datos médicos de sus clientes. Si el caso se centra en un punto muy específico del sitio, a saber, las citas médicas, ilustra, sin embargo, una comunicación que es al menos imprecisa en el sitio.
Se trata de una nueva polémica que acaba de estallar de cara a Doctolib. El 20 de mayo, la unidad de investigación de Radio France publicó en Francia Información y Francia Inter una encuesta sobre la omnipresente plataforma para concertar citas médicas a través de Internet: el sitio afirma que más de 42 millones de mujeres y hombres franceses utilizan sus servicios. En cuestión ? Deficiencias en la protección de determinados datos médicos.
“Al contrario de lo que la empresa ha afirmado durante mucho tiempo, desarrolla Radio France, nuestros datos personales no están completamente encriptados”. Más concretamente, el corazón de la encuesta se centra en la cuestión de las citas, cuya gestión difiere claramente de las normas que aplica Doctolib a los datos personales y médicos. En estas condiciones, prosigue Radio France, Doctolib difícilmente puede pretender protegerlo todo.
Es cierto que la comunicación de Doctolib en este asunto ayudó a estirar el palo para ser golpeado. En una página dedicada a la seguridad de los datos, dice que «todos los datos en Doctolib están encriptados, en reposo y en tránsito», lo que sugiere que no hay excepciones. En ningún momento se hace mención de trato diferenciado para las citas.
Doctolib generaliza su punto, hablando de «todos los datos». // Fuente: Captura de pantallaUna afirmación general sobre la seguridad de los datos
Es en este intersticio que engulló a Radio France, y no es inexacto. De hecho, la comunicación de Doctolib es general y puede inducir a error, especialmente a los usuarios de Internet que no son muy conscientes de estas sutilezas. Con razón se quedan estupefactos cuando se enteran de que, de hecho, ciertas partes del servicio, que tampoco son insignificantes, como las citas, no se benefician del mismo grado de confidencialidad.
Esto plantea preguntas periféricas: cuando una plataforma afirma usar cifrado de extremo a extremo para proteger los datos de sus clientes, ¿hasta dónde debemos llegar al interpretar este compromiso? ¿Significa esto que todos los datos son personales, cualquiera que sea su naturaleza, incluidos los que no son personales ni sensibles? ¿Todos tienen que serlo, de todos modos?
Doctolib anunció la adopción del cifrado de extremo a extremo el 19 de junio de 2020, “un paso adicional para asegurar los datos personales de salud de sus usuarios”, dijo el sitio. Con este desarrollo, se vuelve “estrictamente imposible que cualquier otra persona acceda a estos datos, incluso en operaciones de soporte o mantenimiento”. Solo los pacientes y la profesión médica ven los datos.
Entonces, ¿la exclusión obvia de elementos de cifrado de extremo a extremo (reunión) constituye una promesa incumplida? Esta es la conclusión a la que llega Radio Francia: si Doctolib afirma que esta protección está en todas partes, pero que de hecho tiene acceso a la información periférica, entonces hay puntos de fragilidad, aunque solo sea en el discurso. Esto es lo que Radio France pretende mostrar, en cualquier caso.
Trato diferenciado en las citas, defendido por Doctolib
El caso obviamente pasó ante los ojos de Doctolib, que cortó un cable en Twitter desestimar las alegaciones de la investigación, así comouna página dedicada en su sitio web. Es en estas dos publicaciones, pero también en una respuesta enviada por correo electrónico a varios medios, incluido Web, que el sitio especificó que el cifrado de extremo a extremo no se aplica a la gestión del soporte, tanto por razones técnicas como de servicio.
«No usamos [la technologie de chiffrement de bout en bout] para citas por una sencilla razón: para garantizar el correcto funcionamiento de nuestros servicios (por ejemplo, para permitir el envío de SMS para recordatorios de citas)”, defiende el servicio, destacando además que ningún otro servicio en el mundo lo hace, que él sepa. Claramente, Doctolib afirma estar a la vanguardia de la seguridad y la confidencialidad, aunque no sea perfecto.
Cabe señalar que el tema del cifrado de extremo a extremo no debe oscurecer el hecho de que se utilizan otros métodos de cifrado, en tránsito (es decir, en circulación entre el servidor y el usuario de Internet), el famoso HTTPS para evitar el tráfico «en claro». «) y en reposo (en el servidor, para evitar riesgos en caso de accesos fraudulentos a las bases de datos).
Cuestionado río arriba por Radio Francia, Doctolib había justificado este trato diferenciado por el riesgo de causar un “gran impacto” en su comunidad, con el riesgo de tener que prescindir de ciertas funciones, como las advertencias por SMS.
Este problema del equilibrio entre la máxima seguridad posible y un rico ecosistema lo encontramos en determinadas aplicaciones móviles, como Google Allo y Telegram, que prefieren no ofrecer cifrado de extremo a extremo por defecto, precisamente para anteponerse a determinados servicios que también podemos considerarlo muy práctico y esencial: el cifrado de extremo a extremo está ciertamente disponible, pero debe activarlo caso por caso.
A veces hay que arbitrar entre necesidades en conflicto. ¿Se debe cuantificar todo a riesgo de privarse de ciertos servicios que son útiles para las personas? // Fuente : DoctolibDe hecho, Doctolib ilustra con el caso de la gestión de la agenda médica el problema del arbitraje entre necesidades contradictorias: tal como está, Doctolib sugiere que no puede proporcionar un servicio coherente y práctico (desde las notificaciones hasta el soporte) si todo está encriptado y fuera. de vista de Doctolib. Esto no significa que los datos de salud deban dejarse abiertos a los vientos, pero muestra las limitaciones que pueden existir entre necesidades en competencia.
Aunque la declaración de Doctolib se hubiera beneficiado de ser más clara desde el principio, la demostración de Radio France tiene, sin embargo, debilidades. Por lo tanto, que se muestren datos simples al abrir la consola de Google Chrome no es una situación absurda. Si estuvieran encriptados, el navegador no podría interpretarlos y por tanto mostrarlos en pantalla. Como todo lo demás, por cierto. Respecto al cifrado de extremo a extremo, es necesario que en los extremos, precisamente, salga el cifrado.
Además, la cuestión del cifrado de extremo a extremo no debe oscurecer otra realidad: la empresa aún debe seguir reglas internas estrictas con respecto al acceso a los datos (en el sentido amplio, no solo a los datos que son personales), con registro para que sepa quién hace qué, accede a qué, cuándo, dónde y cómo. En otras palabras, el RGPD y toda la legislación siguen siendo válidos, con o sin cifrado, bajo pena de fuertes sanciones.
¿Una cita médica, datos de salud?
En resumen, detrás de la cuestión del cifrado en Doctolib se encuentran otras cuestiones: ¿Qué son los datos de salud? ¿Una cita “no cuantificada” con un proctólogo, un oncólogo o un sexólogo permite inferir la situación médica del paciente? ¿Debería extenderse esta protección, a riesgo de perder funcionalidades “ricas” (como el envío de SMS en este caso) que no se podrían tener con el cifrado?
La plataforma admite que el diario médico del paciente puede transmitir elementos sensibles, precisamente. «La fecha y hora de su cita son los únicos datos personales contenidos en los mensajes enviados por Doctolib», leemos por ejemplo en otra página sobre datos personales. Además, otra información (motivo de consulta, documento compartido, etc.) siendo datos de salud, no son visibles para el servicio.
La posibilidad de inducir la condición médica de un paciente según sus citas recuerda todo el debate sobre los metadatos. Estos cubren toda la información técnica que rodea a una comunicación (por ejemplo, en el caso de una llamada telefónica: fecha y hora de la llamada telefónica, números de la persona que llama y de la parte llamada, duración del intercambio, etc.). Incluso si no dicen nada sobre el contenido de una conversación, podemos asumir el contenido.
La Electronic Frontier Foundation, una poderosa organización estadounidense dedicada a la defensa de las libertades individuales en el espacio digital, había ilustrado el tema con algunos ejemplos: así, ¿de qué podría hablar alguien que llamó a un servicio telefónico rosa a las 2:24 am para 18? ¿minutos? ¿Cuál fue el tema de conversación de una mujer que llamó a su novio, a su madre, al médico ya Planned Parenthood con minutos de diferencia?
Los metadatos son importantes. // Fuente: FEP¿La cita con un médico es un dato de salud? Sobre este tema, el Comisión Nacional de Computación y Libertades (CNIL) responde afirmativamente, con un matiz: «la información sobre la atención en una estructura de atención contenida en un tratamiento constituye datos de salud, ya que da una indicación del estado de salud (por ejemplo, ingreso en un establecimiento o servicio hospitalario especializado). »
A nivel legal, el Consejo de Estado fue llevado a considerar el tema, durante la campaña de vacunación contra el covid-19. El 12 de marzo de 2021, el máximo tribunal administrativo francés consideró que «los datos recopilados en el contexto de las citas de vacunación no incluyen indicaciones sobre los motivos médicos para la elegibilidad para la vacunación», lo que los excluye de la categoría de salud. Pero eso solo cubre las citas de vacunación.
En este caso, parece que pedir cita con un médico especialista son datos de salud. Los datos de salud son una categoría especial entre los datos personales, porque son confidenciales. Es objeto de disposiciones específicas y la regla, que sin embargo incluye excepciones, es la prohibición del tratamiento. Encontramos política, religión, filosofía, sexualidad, etnia, antecedentes penales, biometría, genética, sindicalismo.
Información sobre la atención en una estructura asistencial […] constituye datos de salud, si se indica el estado de salud
CNIL
Se pueden permitir determinados tratamientos, con el consentimiento del interesado. En este caso, se supone que una persona que se registra en Doctolib, dada su naturaleza y finalidad, acepta el tratamiento de sus datos médicos, caso contrario no tiene sentido. El proveedor de servicios debe entonces seguir las reglas estrictas para evitar abusos y asegurar su protección y confidencialidad. El cifrado de extremo a extremo es una palanca posible, pero no el único ni el único horizonte.
¿Una tormenta en una taza de té, entonces? Esto es lo que implícitamente se desprende de la reacción de Doctolib, que también enfrenta otras críticas: sobre la buena seguridad contra intrusiones externas, sus prácticas de facturación o el uso de una empresa estadounidense para alojar sus datos. (incluso si los servidores están ubicados físicamente en Europa, es un tema de tensión sobre la cuestión de la soberanía digital).
Pero si el cifrado de extremo a extremo no está activo en la reserva de cita y en cierta información contenida en ella, Doctolib sin duda se habría ahorrado un problema al indicarlo claramente desde el principio, en lugar de decir, en su comunicación, que los datos personales de salud ahora estaba todo encriptado. Que a las demás plataformas del mundo no les vaya mejor no es argumento para eximirse de una afirmación unívoca.