Nada como atingir os doentes mentais com anúncios mal escolhidos
A startup de telessaúde Cerebral revelou que expôs as informações privadas de saúde, incluindo os dados de saúde mental, de mais mais de 3,1 milhões de pacientes nos EUA com anunciantes e empresas de mídia social como Meta, Google e TikTok.
A Cerebral divulgou o lapso em um processo junto ao governo federal. Segundo a empresa, ela compartilhou informações pessoais e de saúde de pacientes que usaram seu aplicativo para procurar terapia e outros serviços de saúde mental.
A empresa coletou e compartilhou informações como nomes, números de telefone, endereços de e-mail, datas de nascimento, endereços IP, números de identificação do cliente Cerebral e outros dados demográficos ou informações. Se um usuário também completou qualquer parte da autoavaliação de saúde mental online da Cerebral, as informações expostas também podem incluir o serviço selecionado, as respostas da avaliação e outros dados de saúde associados.
Se um indivíduo comprou um plano de assinatura da Cerebral, as informações divulgadas também podem incluir tipo de plano de assinatura, datas de consultas e outras informações de reserva, tratamento e outras informações clínicas, informações sobre benefícios de seguro saúde/farmácia (para exemplo, nome do plano e número do grupo/membro) e valor do copagamento do seguro.
No lado positivo, a Cerebral diz que não expôs números de CPF, informações bancárias ou números de cartão de crédito.
Para piorar a situação, a Cerebral estava compartilhando dados com gigantes da tecnologia em tempo real por meio de rastreadores chamados”pixels”e código de coleta de dados incorporado em seus aplicativos. Isso significa que alguns usuários podem não estar cientes de que estão optando por esse rastreamento, pois muitos deles aceitam apenas os termos de uso e as políticas de privacidade do aplicativo, sem perder tempo para lê-los.
Cerebral now diz que prontamente”desativou, reconfigurou e/ou removeu”os rastreadores em suas plataformas para mais exposições no futuro. Também descontinuou qualquer compartilhamento de dados com subcontratados que não conseguem atender aos requisitos da Lei de Portabilidade e Responsabilidade de Seguro Saúde (HIPAA). Além do mais, a empresa diz que levou tempo para aprimorar suas práticas de segurança da informação e processos de verificação de tecnologia.
A mudança pode ter seguido a Federal Trade Commission (FTC) multou a empresa de saúde GoodRx em US$ 1,5 milhão depois de compartilhar o paciente informações com Meta e Google. Mais recentemente, a FTC ordenou que a BetterHelp pagasse US$ 7,8 milhões aos clientes para liquidar as acusações de que compartilhava dados confidenciais para fins de publicidade, mesmo que prometesse manter as informações privadas.