FTC multa startup de saúde psychological Cerebral em US$ 7 milhões por graves violações de privacidade

A Comissão Federal de Comércio dos EUA (FTC) ordenou que a empresa de telessaúde psychological Cerebral usasse ou divulgasse dados pessoais para fins publicitários.

Também foi multado em mais de US$ 7 milhões por acusações de ter revelado informações pessoais confidenciais de saúde dos usuários e outros dados a terceiros para fins publicitários e não ter honrado suas políticas de cancelamento fácil.

“A Cerebral e seu ex-CEO, Kyle Robertson, quebraram repetidamente suas promessas de privacidade aos consumidores e os enganaram sobre as políticas de cancelamento da empresa”, disse a FTC em comunicado à imprensa.

Embora alegue oferecer serviços “seguros, protegidos e discretos” para que os consumidores se inscrevam e forneçam os seus dados, a empresa, alegou a FTC, não divulgou claramente que as informações seriam partilhadas com terceiros para publicidade.

A agência também acusou a empresa de enterrar as suas práticas de partilha de dados em densas políticas de privacidade, com a empresa envolvida em práticas enganosas ao alegar que não partilharia os dados dos utilizadores sem o seu consentimento.

Diz-se que a empresa forneceu informações confidenciais de quase 3,2 milhões de consumidores a terceiros, como LinkedIn, Snapchat e TikTok, integrando ferramentas de rastreamento em seus websites e aplicativos projetados para fornecer funções de publicidade e análise de dados.

As informações incluíam nomes; históricos médicos e de prescrição; endereços residenciais e de e-mail; números de telefone; datas de nascimento; informação demográfica; Endereços IP; informações sobre farmácias e seguros de saúde; e outras informações de saúde.

A denúncia da FTC acusou ainda a Cerebral de não impor proteções de segurança adequadas, permitindo que ex-funcionários acessassem os registros médicos dos usuários de maio a dezembro de 2021, usando métodos de acesso inseguros que expunham informações dos pacientes, e não restringindo o acesso aos dados do consumidor apenas aos funcionários que precisava disso.

“A Cerebral enviou cartões postais promocionais, que não estavam em envelopes, para mais de 6.000 pacientes, que incluíam seus nomes e idiomas que pareciam revelar seu diagnóstico e tratamento a qualquer pessoa que visse os cartões postais”, disse a FTC.

De acordo com a ordem proposta, que aguarda aprovação de um tribunal federal, a empresa foi proibida de usar ou divulgar informações pessoais e de saúde dos consumidores a terceiros para fins de advertising and marketing, e foi obrigada a implementar um programa abrangente de privacidade e segurança de dados. .

A Cerebral também foi solicitada a publicar um aviso em seu website alertando os usuários sobre a ordem da FTC, bem como a adotar um cronograma de retenção de dados e excluir a maioria dos dados do consumidor não utilizados para tratamento, pagamento ou operações de saúde, a menos que tenham consentido. Também é necessário fornecer um mecanismo para que os usuários excluam seus dados.

O desenvolvimento ocorre dias depois que a empresa de tratamento de dependência de álcool Monument foi proibida pela FTC de divulgar informações de saúde a plataformas de terceiros, como Google e Meta, para publicidade sem a permissão dos usuários entre 2020 e 2022, apesar de alegar que tais dados seriam “100% confidenciais”. “

A empresa sediada em Nova Iorque foi obrigada a notificar os utilizadores sobre a divulgação das suas informações de saúde a terceiros e garantir que todos os dados partilhados foram eliminados.

“A Monument não conseguiu garantir que estava a cumprir as suas promessas e de facto divulgou informações de saúde dos utilizadores a plataformas de publicidade de terceiros, incluindo dados altamente sensíveis que revelaram que os seus clientes estavam a receber ajuda para recuperar do seu vício em álcool”, disse a FTC.

No ano passado, a FTC anunciou ações de fiscalização semelhantes contra prestadores de serviços de saúde como BetterHelp, GoodRx e Premom por compartilharem dados de usuários com análises terceirizadas e empresas de mídia social sem o seu consentimento.

Ele também alertou (PDF) a Amazon contra o uso de dados de pacientes para fins de advertising and marketing depois de finalizar uma aquisição de US$ 3,9 bilhões da clínica de cuidados primários baseada em membros One Medical.