El lanzamiento de ChatGPT Health expone la zona gris en la protección de datos de salud

El último movimiento de OpenAI en el sector de la salud está generando un intenso escrutinio por parte de expertos en privacidad y defensores. La compañía ha presentado ChatGPT Health, una función que permite a los usuarios subir registros médicos e información sobre bienestar directamente a la plataforma. Mientras OpenAI posiciona esto como una herramienta de apoyo desarrollada junto a médicos, el despliegue está provocando preguntas más profundas sobre cómo se protege realmente la información de salud en la era de la IA.

Las salvaguardas técnicas parecen tranquilizadoras—Pero los expertos dicen que no son suficientes

Según OpenAI, ChatGPT Health implementa varias medidas de protección: las conversaciones de salud permanecen encriptadas y aisladas de los chats regulares, los datos no se utilizan para entrenar el modelo, y la función solo muestra información general de salud en lugar de consejos médicos personalizados. Para consultas de mayor riesgo, el sistema señala los riesgos y dirige a los usuarios a hablar con profesionales de la salud reales.

En papel, estas medidas parecen sólidas. Sin embargo, los defensores de la privacidad señalan una brecha fundamental. “Incluso con las promesas de la compañía en torno a las protecciones de privacidad, la mayoría de las personas no tienen una transparencia real, un consentimiento significativo ni un control genuino sobre lo que sucede con su información”, advierte J.B. Branch, analista de responsabilidad en grandes tecnologías. “Los datos de salud requieren más que autorregulación.”

El problema de las entidades cubiertas por HIPAA

Aquí es donde el panorama legal se vuelve confuso. La ley federal de privacidad—específicamente HIPAA—sí protege los datos de salud cuando son manejados por ciertas organizaciones médicas: consultorios médicos, hospitales, compañías de seguros. Pero las entidades cubiertas por HIPAA representan solo una pequeña parte del ecosistema de datos de salud.

Cuando una empresa de IA o un desarrollador de aplicaciones de salud almacena tu información de salud, las protecciones de HIPAA no se aplican automáticamente. “Tu médico tiene obligaciones bajo HIPAA. Tu aseguradora también,” explica Andrew Crawford, asesor principal de políticas en el Center for Democracy and Technology. “Pero los fabricantes de aplicaciones de salud, las empresas de dispositivos portátiles y las plataformas de IA? Esas entidades cubiertas por HIPAA no tienen esas obligaciones.”

Esto crea un vacío de responsabilidad. Sin una legislación federal integral sobre privacidad de salud, la carga recae directamente en los usuarios individuales para decidir si confían en cómo una plataforma maneja sus datos más sensibles.

Por qué esto importa ahora mismo

El momento del lanzamiento de ChatGPT Health es importante. OpenAI reveló a principios de este año que más de 1 millón de usuarios interactúan semanalmente con el chatbot sobre temas de suicidio—aproximadamente el 0.15% de la base de usuarios de ChatGPT en ese momento. Ese volumen subraya cómo la plataforma se ha convertido en un recurso de salud mental de facto para millones, ya sea por diseño o por accidente.

El despliegue de una función de salud dedicada amplifica tanto las oportunidades como los riesgos. Es probable que más personas compartan historias médicas sensibles, problemas de salud mental y preocupaciones de bienestar con ChatGPT. Los protocolos de aislamiento de la compañía y sus compromisos de no entrenamiento ofrecen cierta tranquilidad, pero no abordan la vulnerabilidad central: qué sucede si actores malintencionados atacan la plataforma, o si las políticas de datos cambian bajo un nuevo liderazgo corporativo.

La brecha de privacidad más amplia

Crawford enfatiza el problema estructural: “Nuestras leyes colocan toda la carga en los consumidores para evaluar si confían en una empresa tecnológica con sus datos de salud. Eso está al revés. Se está poniendo el riesgo en los individuos en lugar de exigir que las empresas tecnológicas cumplan con estándares claros y aplicables.”

La función se lanzará inicialmente a usuarios seleccionados de ChatGPT fuera de la UE y el Reino Unido, con una disponibilidad ampliada en plataformas web y iOS en las próximas semanas. Pero independientemente de dónde se lance, la conversación sobre los datos de salud, las plataformas de IA y si los marcos legales existentes son suficientes solo se intensificará.