Los tenistas Jannik Sinner e Iga Swiatek, el piloto Charles Leclerc, la esquiadora Mikaela Shiffrin o la plantilla del Manchester City. Todos creyeron estar utilizando un dispositivo inofensivo cuando en realidad exponían datos muy sensibles. Según una investigación reciente del medio estadounidense Hunterbrook Media, el Gobierno de China habría accedido a la información de la diadema FocusCalm, un wearable de entrenamiento mental que mide las ondas electroencefalográficas de sus usuarios. Con ella en la frente, Sinner y compañía analizaban los picos de estrés o desconcentración de sus entrenamientos; al mismo tiempo, abrían la puerta de sus cerebros a diversas empresas del país asiático. Ninguno de los afectados ha denunciado públicamente el robo, FocusCalm ha negado cualquier injerencia y el escándalo no ha ido a más, pero sirve como señal de alerta mundial. ¿Realmente sabemos qué importancia tienen nuestros datos biomédicos?
Hoy en día se utilizan en todo el mundo 543 millones de unidades de wearables -incluyendo relojes inteligentes, pulseras de actividad y auriculares- que en conjunto generan más de un billón de datos anuales. El ritmo cardíaco, la saturación de oxígeno, la temperatura corporal, la presión arterial, los niveles de glucosa, los patrones de sueño e incluso el grado de estrés son indicadores de salud al alcance de cualquiera. Con una pulsera de apenas 40 o 50 euros se puede acceder a un chequeo completo.
«Los aficionados al deporte lo utilizan para optimizar sus entrenamientos, pero a nivel hospitalario las posibilidades son inmensas. Estos dispositivos ya están sustituyendo a los molestos monitores Holter, por ejemplo, y podrían hacer mucho más. Un wearable con electrocardiógrafo puede saber si el usuario está sufriendo un infarto y, si en el futuro pudiera avisar automáticamente a Emergencias y enviar la geolocalización, salvaría su vida», explica Ricard Martínez, director de la Cátedra de Privacidad y Transformación Digital de la Universitat de València y miembro del grupo de expertos sobre derechos digitales del Ministerio de Energía, Turismo y Agenda Digital. «Estos dispositivos suponen una oportunidad, pero también tienen sus peligros», añade. Tapamos el PIN al sacar dinero en el cajero o arrancamos la etiqueta de una caja de compra online, pero publicamos en abierto los latidos de nuestro corazón. Realmente desconocemos el valor de esos datos.
Un expediente de salud, 250 euros
«Para los data brokers [compañías dedicadas a recopilar información online] y para el mercado negro, hay datos como el DNI, el domicilio o incluso la cuenta bancaria que ya han perdido valor porque están muy expuestos. Los datos de salud, en cambio, son muy valiosos porque están más protegidos», señala Samuel Parra, abogado experto en protección de datos y fundador de la firma ePrivacidad. Un estudio de la empresa de ciberseguridad estadounidense Trustwave reveló que en la deep web los números de una tarjeta bancaria se podían comprar por apenas cinco dólares; un expediente sanitario, en cambio, costaba más de 250 dólares.
«Tendemos a pensar que nuestra frecuencia cardíaca no le interesa a nadie porque con ella no nos pueden robar ni manipular, pero nada más lejos de la realidad. Una aseguradora puede utilizar nuestros datos de salud para aumentarnos la prima, por ejemplo. Con ellos una clínica privada puede detectar que sufrimos una dolencia y ofrecernos publicidad sobre un test concreto o directamente un tratamiento», analiza Parra, que da en el clavo: los datos biomédicos suponen la cuadratura del círculo del control del consumidor.
Si un alto número de empresas, especialmente gigantes como Google o Meta, ya conocían nuestra edad, peso y altura, dónde vivimos, con quién convivimos, dónde trabajamos, cuánto cobramos, cuánto gastamos y cientos de datos personales más, ahora también saben cómo nos encontramos: si hacemos ejercicio, si sufrimos hipertensión, si dormimos mal, si estamos nerviosos… El perfil ya es completo.
«Hace unos años Google compró Fitbit por 2.100 millones y poco después absorbió la fabricación de sus pulseras. No querían su servicio, querían sus datos», recuerda Martínez, que añade su preocupación por el uso de estos dispositivos: «Si vemos un indicador como la tensión arterial de manera descontextualizada podemos pensar que es irrelevante. Pero si lo mezclamos con otros, su valor es altísimo. Realmente vale una pasta. ¿Cuánto pagarían las mutuas privadas por saber exactamente qué personas con altas rentas padecen hipertensión?».
¿Cómo protegerse?
La legislación europea de protección de datos establece medidas concretas para este tipo de información y exige una justificación para almacenarla y tratarla. El problema es que, como siempre, la ley guarda la trampa. Aunque los reguladores son cada vez más exigentes -de ahí la histórica multa de la Comisión Europea a Meta por 200 millones el pasado abril-, la justificación más común sigue siendo el consentimiento. Según un estudio de la Universidad de Dublín publicado este verano en la revista británica Nature, las empresas de wearables exponen documentos larguísimos, con una media de 6.113 palabras, para acceder a todas las funciones de sus aplicaciones, y los usuarios igualmente los aceptan. ¿Alguien los lee? Rara vez.
«Tendríamos que utilizar los wearables con la misma prudencia con la que usamos el coche. Los fabricantes deben ser responsables, pero también los consumidores. Siempre habrá imprudentes, pero la mayoría tenemos que ser conscientes del peligro», concluye Martínez, que apunta incluso a un estudio previo de las opciones del mercado. El mismo análisis de la Universidad de Dublín detectó una gran diferencia de riesgo de exposición entre algunas compañías chinas y la mayoría de las europeas. Quizá nadie haya robado los datos de salud de Sinner, Swiatek, Leclerc, Shiffrin o los jugadores del Manchester City, pero igualmente deberíamos procurar proteger los nuestros.
