A startup Cerebral, que se especializa em saúde mental, informa que inadvertidamente compartilhou os dados confidenciais de mais de 3,1 milhões de pacientes com o Google, Meta, TikTok e outros anunciantes de terceiros, como foi relatado anteriormente pela TechCrunch. Em uma declaração lançada em seu site, a empresa reconhece que expôs uma lista de informações pessoais de pacientes com as ferramentas de rastreamento que usou até outubro de 2019.
Todos os dados envolvidos na supervisão estão relacionados aos usuários, como nomes, números de telefone, e-mails, datas de nascimento, endereços IP, seguros, compromissos, tratamentos e muito mais. Além disso, as respostas dos clientes às autoavaliações de saúde mental nos sites e aplicativos da empresa, usados para agendar terapia e receber medicamentos por prescrição, também podem ter sido reveladas.
De acordo com Cerebral, essa informação saiu através de seu uso de pixels de rastreamento, ou os bits do código Meta, TikTok e Google permitem que os desenvolvedores incorporam em seus aplicativos e sites. O Meta Pixel, por exemplo, pode coletar dados sobre a atividade de um usuário em um site ou aplicativo depois de clicar em um anúncio na plataforma, e até mesmo mantém o controle da informação que um usuário preenche em um formulário on-line. Enquanto isso permite que as empresas, como a Cerebral, mencione como os usuários interagem com seus anúncios em várias plataformas e rastreie os passos que eles levam depois, também dá Meta, TikTok e acesso do Google a essas informações, que eles podem então usar para obter informações sobre seus próprios usuários.
A informação apresentada pode ser diferente para cada paciente.
De acordo com a Cerebral, as informações fornecidas para cada paciente poderão variar devido a vários fatores, tais como: o comportamento dos usuários nas plataformas da Cerebral, os serviços prestados pelos subcontratados, a configuração das tecnologias de rastreamento, entre outros. A empresa se comprometeu a notificar os usuários afetados e garantiu que nenhuma informação de segurança social, cartão de crédito ou conta bancária foi exposta, independentemente da interação com a plataforma da Cerebral.
Após identificar o vazamento de segurança em janeiro, Cerebral afirmou que desativou, reformulou e removido quaisquer pixels de monitoramento na plataforma para evitar que isso aconteça novamente. Além disso, eles também melhoraram suas práticas de segurança da informação e processos de verificação de tecnologia.
De acordo com a lei, o Cerebral é obrigado a divulgar possíveis violações do HIPAA, também chamada de Lei de Portabilidade e Responsabilidade de Seguros de Saúde. Esta lei impõe restrições à divulgação de informações de saúde do paciente a qualquer outra pessoa, a menos que o paciente tenha consentido em receber essas informações. O Escritório de Direitos Civis dos EUA está atualmente investigando a violação, bem como outros incidentes relacionados a ferramentas de rastreamento de pixels.
No ano passado, o The Markup descobriu que alguns dos principais hospitais do país estavam repassando dados confidenciais dos pacientes para a Meta por meio do pixel da empresa. Isso originou duas ações judiciais coletivas, afirmando que a Meta e os hospitais envolvidos infringiram as leis de confidencialidade médica.
Mais tarde, Markup descobriu que Meta tinha a capacidade de obter informações financeiras dos usuários por meio dos rastreadores incorporados nos populares serviços fiscais como H&R Block, TaxAct e TaxSlayer. Por outro lado, empresas de saúde on-line, como BetterHelp e GoodRx, foram punidas com pesadas multas pelo FTC, por compartilharem dados de pacientes confidenciais com terceiros no início deste ano.
Além de ser objeto de uma análise para saber se infringiu ou não os regulamentos HIPAA, a Cerebral está sendo investigada pelo Departamento de Justiça e pela Administração de Execução de Medicamentos para determinar se fez prescrições de substâncias controladas, tais como o Adderall e o Xanax. Desde então, cessou a prescrição desses medicamentos.
