EE. UU. apunta a la venta de datos de salud y ubicación usados por empresas de IA

Legisladores de Estados Unidos quieren actualizar una propuesta de privacidad para la era de los chatbots. Según un reporte de The Verge, la senadora Elizabeth Warren, del Partido Demócrata por Massachusetts, y la representante Mary Gay Scanlon, demócrata de Pensilvania, planean presentar en las próximas semanas una nueva versión del Health and Location Data Protection Act, un proyecto orientado a limitar la comercialización de datos de salud y ubicación de estadounidenses.

El cambio central es que el texto dejaría de apuntar únicamente a los corredores de datos tradicionales y pasaría a cubrir también a las empresas que vendan ese tipo de información a esos intermediarios. La propuesta, de acuerdo con la noticia de base, fue ampliada para contemplar datos sensibles que una persona pueda revelar a un chatbot de IA, como síntomas, condiciones médicas, embarazo, tratamientos, rutinas, desplazamientos u otra información personal que, al combinarse, permite inferencias íntimas sobre la vida del usuario.

Por qué los chatbots entran en el debate

La expansión de los asistentes de IA creó un nuevo punto de recolección de información sensible. A diferencia de una búsqueda común en la web, una conversación con un chatbot suele adoptar un formato confesional: el usuario describe problemas, pide consejos, relata antecedentes familiares, comparte una ubicación aproximada y, en algunos casos, trata la herramienta como una especie de triaje informal de salud. Incluso cuando la empresa no se presenta como un servicio médico, el contenido puede tener un alto valor comercial.

Ese valor interesa al mercado de datos porque la información de salud y ubicación ayuda a construir perfiles detallados de consumidores. Los corredores de datos compran, agregan y revenden bases obtenidas de aplicaciones, sitios web, registros públicos y socios comerciales. El riesgo, para los defensores de la privacidad, es que una conversación aparentemente privada con una herramienta de IA se transforme en insumo para publicidad, análisis de riesgo, segmentación comercial u otros fines que el usuario no comprendió plenamente.

El proyecto original fue presentado en junio de 2022, en un contexto de fuerte preocupación por los datos de ubicación vinculados a clínicas, hospitales y servicios de salud reproductiva. Desde entonces, el panorama tecnológico cambió. La popularización de los modelos de lenguaje y las aplicaciones de IA generativa añadió una nueva capa: las empresas pueden recibir directamente información extremadamente personal en lenguaje natural, no solo metadatos de navegación o coordenadas captadas por una aplicación.

Qué intenta cambiar la propuesta

Según el diseño descrito por The Verge, la nueva versión buscaría prohibir que los datos de salud y ubicación se vendan a corredores de datos. La diferencia con respecto al enfoque anterior es importante: si la norma se limita a los brokers, las empresas que recolectan datos en el origen aún podrían alimentar ese mercado por vías indirectas. Al incluir a las compañías que venden información sensible a los brokers, el texto intenta alcanzar la cadena de suministro, no solo al revendedor final.

• Los datos de salud pueden incluir síntomas, diagnósticos, tratamientos, consultas, embarazo, salud mental y otra información médica o inferida.
• Los datos de ubicación pueden revelar visitas a hospitales, clínicas, farmacias, lugares de trabajo, escuelas, templos y domicilios residenciales.
• Las interacciones con chatbots pueden reunir estas dos categorías en una misma conversación, elevando el riesgo de identificación y uso indebido.

La propuesta también señala una disputa más amplia sobre quién debe controlar los datos entregados a sistemas de IA. Las empresas del sector afirman, en general, que usan información para operar servicios, mejorar modelos, prevenir abusos y cumplir normas legales. Los críticos sostienen que las políticas de privacidad largas y complejas no son suficientes cuando el usuario comparte contenido sensible en un entorno que parece personal, inmediato y confiable.

Privacidad médica fuera del consultorio

En EE. UU., parte de la protección de datos médicos proviene de normas como la HIPAA, pero ese régimen no cubre todo el ecosistema digital. Aplicaciones de bienestar, herramientas de ciclo menstrual, plataformas de publicidad, sitios de clínicas, servicios de ubicación y chatbots pueden operar en zonas de protección distintas, según quién recolecte el dato y con qué finalidad. Es precisamente esa fragmentación la que proyectos como el Health and Location Data Protection Act intentan enfrentar.

La cuestión es especialmente sensible porque los datos de salud pueden generar consecuencias concretas. Pueden revelar vulnerabilidades, orientar campañas predatorias, exponer condiciones estigmatizadas o usarse en contextos de empleo, seguro, crédito y disputas legales. Los datos de ubicación, por su parte, pueden reconstruir hábitos y relaciones. Cuando se combinan, hacen difícil separar lo que es apenas conveniencia digital de lo que es vigilancia comercial.

Para las empresas de IA, una ley de este tipo podría aumentar la presión por la minimización de datos, controles de retención, separación entre datos de producto y datos comerciales, además de límites más claros para compartir información con terceros. Aunque la propuesta no prohíba la operación de chatbots, podría restringir modelos de negocio basados en la monetización secundaria de información sensible. También forzaría mayor claridad sobre qué datos se recolectan, durante cuánto tiempo se almacenan y con quién se comparten.

El camino político aún es incierto

Como cualquier propuesta en el Congreso estadounidense, el texto aún enfrentará negociación, resistencia sectorial y disputa partidaria. Empresas de tecnología, publicidad y datos pueden argumentar que una prohibición amplia perjudicaría servicios legítimos, investigación, seguridad antifraude o personalización. Los defensores de la medida probablemente insistirán en que la salud y la ubicación pertenecen a una categoría especial de privacidad, en la que el daño potencial supera el interés comercial.

La iniciativa también puede influir en debates fuera de Estados Unidos. Reguladores en varias jurisdicciones discuten cómo aplicar normas de protección de datos a la IA generativa, especialmente cuando los sistemas reciben información personal directamente de los usuarios. Al conectar explícitamente chatbots, datos de salud y corredores de datos, la propuesta estadounidense ayuda a definir una pregunta que tiende a repetirse: ¿una conversación con IA debe tratarse como un simple dato de consumo o como información sensible con protección reforzada?

El reporte original de The Verge ubica el proyecto dentro de un intento de actualizar una agenda de privacidad ya existente para una realidad en la que la IA se convirtió en una interfaz cotidiana. La novedad no es solo impedir la venta de bases de datos; es reconocer que los prompts, respuestas y relatos hechos a asistentes digitales pueden contener detalles tan íntimos como los registros producidos por aplicaciones de salud o servicios de ubicación.

Fuente: The Verge (IA)