La Asociación Nacional de Farmacéuticos Comunitarios de los Estados Unidos y decenas de proveedores argumentan que UnitedHealth, subsidiaria de Change Healthcare, no tenía protecciones de ciberseguridad adecuadas, lo cual les causó importantes pérdidas financieras a comienzos de este año.
La Asociación Nacional de Farmacéuticos Comunitarios (NCPA por sus siglas en inglés), entidad que representa a más de 19 mil farmacias en los Estados Unidos, en conjunto con más de 40 proveedores del sector de salud, han iniciado una acción legal en contra de UnitedHealth Group y sus subsidiarias, argumentando que aún enfrentan interrupciones financieras por el ciberataque que afectó a Change Healthcare a principios de este año.
Los demandantes alegan que Change Healthcare no implementó medidas de ciberseguridad razonables y provocó pérdidas financieras a los proveedores que tuvieron dificultades para recibir pagos durante la interrupción en el principal procesador de reclamaciones.
La de NCPA es la acción legal más contundente presentada contra la entidad hasta ahora. A esa acción se suman otras 30 demandas de otro proveedore y una veintena de otras acciones similares por parte de consumidores que alegan que su información personal y datos de salud protegidos se vieron comprometidos.
El pasado mes de junio, un panel judicial federal ordenó que los casos 50 casos contra la compañía se centralizaran en el Estado de Minnesota, donde tiene su sede UnitedHealth, el propietario de Change Healthcare.
El objetivo de la demanda de NCPA es recuperar las pérdidas sufridas debido a los efectos perjudiciales del ataque. La NCPA y los proveedores demandantes también argumentan que Change no tomó «precauciones razonables» para defenderse de una infracción de este tipo.
En la demanda, la NCPA alega que Change Healthcare “no tomó precauciones razonables contra una filtración catastrófica, los engañó sobre la seguridad de su red y causó enormes pérdidas financieras a los proveedores de atención médica que nunca recibieron reembolsos por los servicios y que incurrieron en enormes gastos tratando de sortear el sistema caído”.
El director ejecutivo de NCPA, Douglas Hoey, dijo que “UnitedHealth Group y sus subsidiarias deben rendir cuentas por sus laxas medidas de seguridad y por no haber brindado a nuestros miembros el apoyo y las garantías adecuadas para aliviar las pérdidas financieras que sufrieron nuestros miembros”.
Junto a lo anterior, el director de la NCPA aprovechó de recordar que en su momento, su enteidad “se opuso a la adquisición de Change por parte de UnitedHealth desde el principio”, y enfatizó que “esta violación demuestra que más grande no es mejor y que la consolidación a menudo conduce a ineficiencias”.
“Las empresas son tan grandes que no pueden proteger cada punto de entrada y no pueden responder rápidamente debido a la burocracia interna. El hecho de que los problemas sigan sin resolverse es un testimonio de este punto. Esta violación ha costado a nuestros miembros una cantidad significativa de dinero y tiempo y todavía no se ha resuelto meses después”, recalcó el directivo.
La demanda también alega que Change, Optum y UnitedHealth (entidades contra quienes va dirigida la acción legal), no solo no protegieron los datos de millones de pacientes, sino que cuando descubrieron la brecha de seguridad “cerraron todo el sistema sin ofrecer una alternativa viable, dejando a miles de farmacias sin ninguna forma de procesar reclamos”.
La plataforma de Change, en la mayoría de los casos era la principal, sino la única fuente que tenían para procesar reclamos para sus pacientes y nunca recibieron los pagos, teniendo que finalmente absorber los costos del incidente.
Además de las pérdidas por no recibir el pago, muchas farmacias tuvieron que solicitar préstamos o agotar sus reservas para comprar un nuevo software de gestión, lo que incrementó sus costos.
«Las farmacias comunitarias sufrieron pérdidas porque no permitieron que sus pacientes sufrieran», dijo Douglas Hoey, argumentando que «los adultos mayores y las personas con enfermedades crónicas fueron especialmente vulnerables” y no podían permitirse pagar medicamentos de miles de dólares porque la empresa de facturación médica “se puso en una situación vulnerable”. No solamente argumentan que era injusto con los pacientes, sino que “no es justo dejar que las farmacias carguen con la culpa” del incidente, sentenció el directivo.