GoodRx condannata a pagare 1,5 milioni di dollari per aver condiviso “in modo ingannevole” i dati sanitari personali degli utenti con Google e Facebook

Nella prima sentenza di questo tipo, mercoledì la farmacia online californiana GoodRx ha accettato di pagare 1,5 milioni di dollari in sanzioni civili, a seguito di un’indagine della Federal Trade Commission (FTC) che ha scoperto che l’azienda condivideva i dati sanitari degli utenti con grandi aziende tecnologiche (o Big Tech), tra cui Facebook e Google.

Secondo il New York Times, la FTC ha accusato la società madre di GoodRx, GoodRx Holdings, di aver condiviso informazioni sui farmaci prescritti e sulle malattie di milioni di utenti, per scopi pubblicitari e di marketing.

Nella denuncia della FTC, depositata presso la Corte distrettuale degli Stati Uniti per il Distretto settentrionale della California, l’agenzia sostiene inoltre che GoodRx non ha informato i consumatori che i loro dati sanitari personali sarebbero stati condivisi con terzi, inducendo i consumatori a pensare che i loro dati fossero protetti.

La FTC ha riscontrato che le pratiche di GoodRx violavano la Health Breach Notification Rule (Regola sulle notifiche di divulgazioni sulla salute) della FTC, che impone alle app sanitarie e ad altri strumenti simili, compresi i fitness tracker, di notificare ai consumatori le divulgazioni dei dati raccolti.

In una dichiarazione, Samuel Levine, direttore della FTC per la protezione dei consumatori, ha affermato:

“Le aziende sanitarie digitali e le app mobili non dovrebbero approfittare delle informazioni sanitarie estremamente sensibili e personalmente identificabili dei consumatori. …

“La FTC avverte che userà tutta la sua autorità legale per proteggere i dati sensibili dei consumatori americani dall’uso improprio e dallo sfruttamento illegale”.

Secondo TechCrunch, questa è la prima volta che la regola viene applicata nonostante sia in vigore da un decennio.

FTC: GoodRx ha condiviso i dati sanitari personali degli utenti “per anni”

La FTC ha scoperto che GoodRx “ha promesso in modo ingannevole ai suoi utenti che non avrebbe mai condiviso le informazioni sanitarie personali con gli inserzionisti o altre terze parti”, ma “ha ripetutamente violato questa promessa … per anni”, ha riportato TechCrunch.

Secondo TechCrunch, GoodRx ha messo in atto tali pratiche in diversi modi. Una di queste è stata la condivisione dei nomi dei farmaci e delle condizioni di salute associate dei suoi utenti con piattaforme pubblicitarie gestite da Google, Facebook e altri.

Un funzionario della FTC ha dichiarato ai giornalisti che alcune di queste informazioni includono dati sensibili sulla salute degli utenti.

Secondo TechCrunch, GoodRx ha poi monetizzato i dati proponendo annunci pubblicitari mirati sulla salute e sui farmaci.

Secondo il New York Times, i dati personali condivisi da GoodRx “potrebbero collegare gli utenti a problemi cronici di salute fisica e mentale, compreso l’abuso di sostanze”.

Il caso della FTC si è concentrato sull’uso di strumenti di tracciamento, tra cui “pixel” e “kit di sviluppo di software”, da parte di GoodRx, come riporta il New York Times. Facebook, Google e altre aziende tecnologiche forniscono tali strumenti, che consentono di tracciare le attività degli utenti e di condividere i dati con terzi per scopi di targeting pubblicitario e analisi degli utenti.

Secondo il New York Times, GoodRx ha detto di aver smesso di utilizzare i “pixel” di Facebook tre anni fa.

Questi dati includevano il nome e il cognome degli utenti, i loro indirizzi e-mail e numeri di telefono cellulare, i loro indirizzi IP, la posizione geografica, il sesso e i codici identificativi unici dei dispositivi.

Secondo il New York Times, potrebbero essere tracciate anche azioni come cliccare su un link, leggere informazioni su farmaci o malattie specifiche o aprire un’app specifica.

La FTC ha anche affermato che GoodRx “ha caricato su Facebook le informazioni di contatto degli utenti che avevano acquistato determinati farmaci, come le pillole anticoncezionali o per la disfunzione erettile, in modo che l’applicazione per gli sconti sui farmaci potesse identificare i profili dei suoi utenti sui social media”, ha riportato il New York Times.

Secondo TechCrunch, gli elenchi di utenti di GoodRx comprendevano anche utenti che avevano acquistato farmaci per la pressione sanguigna e per le malattie cardiache, sempre allo scopo di indirizzare agli utenti pubblicità sanitarie mirate.

Facebook e Instagram hanno utilizzato le informazioni per fornire annunci mirati di farmaci agli utenti su Facebook e Instagram, ha dichiarato la FTC.

“GoodRx ha anche indirizzato agli utenti che avevano cercato informazioni sulle malattie sessualmente trasmissibili (S.T.D.) su HeyDoctor, il servizio di telemedicina dell’azienda, annunci per i servizi di test S.T.D di HeyDoctor”.

La FTC ha inoltre rilevato che GoodRx non ha limitato il modo in cui le informazioni sanitarie raccolte dagli utenti dell’azienda potevano essere usati da terzi, consentendo a questi ultimi di utilizzare i dati per “scopi aziendali interni come la ricerca e lo sviluppo di prodotti”, ha riportato il New York Times.

Secondo la FTC, più di 55 milioni di persone hanno usato o visitato le piattaforme digitali di GoodRx a partire dal 2017. Durante questo periodo, GoodRx ha promesso pubblicamente “di non fornire mai agli inserzionisti alcuna informazione che riveli una condizione di salute personale”, ma in realtà “ha rivelato dettagli estremamente intimi e sensibili”, ha riportato il New York Times.

GoodRx ha anche “omesso di mantenere sufficienti” protezioni per le informazioni personali degli utenti, come adeguate politiche formali e scritte sulla privacy e sulla condivisione dei dati”, ha riportato il New York Times.

TechCrunch ha dichiarato che la FTC ha accusato GoodRx di aver “falsamente suggerito” agli utenti che agiva nel rispetto della Legge sulla portabilità e la responsabilità dell’assicurazione sanitaria (HIPAA, acronimo di Health Insurance Portability and Accountability Act) del 1996, inducendoli a credere che i loro dati fossero protetti dalla legge quando, in realtà, molti di questi dati non erano specificamente coperti dall’HIPAA o da altre leggi.

GoodRx non può condividere i dati degli utenti con terzi, in attesa dell’approvazione finale dell’ordine della FTC

In base all’ordine della FTC, in attesa dell’approvazione da parte del tribunale federale della California, GoodRx non potrà più condividere le informazioni sulla salute degli utenti con terzi a scopo pubblicitario e dovrà attenersi a un “programma di conservazione dei dati”, che indicherà fino a quando si possono conservare i dati sanitari e personali degli utenti, secondo quanto riportato da TechCrunch.

L’azienda sarà inoltre tenuta a implementare un programma di tutela della privacy per proteggere i dati degli utenti e a comunicare agli utenti quali dati raccoglie e per quali scopi.

GoodRx dovrà inoltre chiedere alle aziende con cui ha condiviso i dati di cancellarli. Tuttavia, queste aziende non saranno vincolate dall’ordine, secondo TechCrunch.

I requisiti si aggiungono alla sanzione civile di 1,5 milioni di dollari inflitta a GoodRx per la violazione della Health Breach Notification Rule, come riporta il New York Times.

In una dichiarazione rilasciata dopo l’annuncio della FTC, GoodRx ha affermato di tenere alla privacy degli utenti:

“Da GoodRx, la protezione della privacy dei nostri utenti è una delle nostre priorità più importanti. Siamo attenti e scrupolosi nel decidere quali informazioni raccogliere e come e perché utilizzarle. L’accordo con la FTC si concentra su un vecchio problema che è stato affrontato in modo proattivo quasi tre anni fa, prima dell’inizio dell’indagine della FTC.

“Sebbene avessimo utilizzato le tecnologie dei fornitori per fare pubblicità in un modo che riteniamo conforme a tutte le normative vigenti e che rimane una pratica comune in molti siti web sanitari, di consumatori e governativi, siamo orgogliosi di aver agito per essere un leader del settore in materia di pratiche di privacy.”

Nella stessa dichiarazione, GoodRx ha affermato di non essere d’accordo con le accuse della FTC e, nell’accettare l’accordo, non ha ammesso alcun illecito:

“Non siamo d’accordo con le accuse della FTC e non ammettiamo di aver commesso alcun illecito. L’accettazione dell’accordo ci consente di evitare i tempi e le spese di un lungo contenzioso.

“Riteniamo che i requisiti dettagliati nell’accordo non avranno un impatto materiale sulla nostra attività o sulle nostre operazioni attuali o future”.

La Health Breach Notification Rule della FTC richiede che le app sanitarie e altri strumenti simili “notifichino agli utenti le violazioni come i cyberattacchi o la condivisione non autorizzata dei loro dati sanitari”, riporta il New York Times.

Sebbene la FTC non abbia mai applicato questa regola, negli ultimi anni l’agenzia ha riconsiderato la questione, come riporta TechCrunch. Ad esempio, la FTC ha chiarito nel 2021 e di nuovo nel 2022 che la norma è applicabile anche agli sviluppatori di app e ai produttori di dispositivi fitness, avvertendo che avrebbe preso provvedimenti contro le presunte violazioni.

Secondo il New York Times, la FTC nel 2021 avrebbe accusato lo sviluppatore di Flo, un’app di monitoraggio della salute utilizzata da oltre 100 milioni di donne, “di aver ingannato le utenti sulle sue pratiche di trattamento dei dati, condividendo con Google e Facebook dettagli sanitari intimi sulle loro mestruazioni e gravidanze”. La FTC e Flo hanno risolto la causa con un accordo nel giugno 2021.

Secondo il New York Times, la presidente della FTC Lina M. Khan “sta cercando di proibire alcune pratiche di lunga data del settore tecnologico”, descrivendola come “presidente attivista” dell’agenzia.

L’ordine della FTC contro GoodRx “potrebbe mettere in crisi le diffuse pratiche di profilazione degli utenti e di targettizzazione degli annunci” da parte di Big Tech, ha aggiunto il New York Times.

La tendenza della “sanità digitale” suscita preoccupazioni per la privacy

Secondo TechCrunch, “GoodRx è un esempio lampante di come le regole possano essere violate, ma con la proliferazione dei servizi di assistenza sanitaria online negli ultimi anni – che ha avuto una spinta in particolare con l’arrivo della pandemia da COVID-19 – ci sono segnali che indicano che potremmo iniziare a vedere maggiori applicazioni delle regole [della FTC]”.

Le regole della FTC potrebbero colmare alcune lacune dell’HIPAA e di altre leggi. Il New York Times ha riferito che “a differenza dei risultati delle analisi del sangue e di altre informazioni raccolte da medici e ospedali… i dati sanitari personali che decine di milioni di consumatori inseriscono nelle app o cercano online, come i nomi dei farmaci o delle malattie, sono specificamente coperti da poche tutele legali”.

La regola della FTC “è particolarmente importante alla luce del fatto che stanno arrivando sempre più servizi sanitari online”, secondo TechCrunch, che ha citato Amazon come esempio principale.

Il 24 gennaio Amazon ha fatto il suo ingresso nel mercato dei farmaci con obbligo di prescrizione attraverso Amazon Pharmacy con il lancio di RxPass, un’aggiunta al suo servizio Amazon Prime in cui gli utenti pagheranno una tariffa fissa mensile di 5 dollari per ricariche illimitate di una serie di farmaci generici.

Secondo Forbes, fanno parte del lancio del servizio Amazon RxPass più di 50 farmaci generici che coprono 80 disturbi comuni. Tra questi ci sono la sertralina (la versione generica dell’antidepressivo Zoloft) e il losartan (la versione generica del farmaco per l’ipertensione Cozaar).

I farmaci vengono consegnati gratuitamente, con una ricetta medica valida.

Secondo Forbes, l’RxPass di Amazon non è disponibile in tutti gli Stati (sono esclusi California, Louisiana, Maryland, Minnesota, New Hampshire, Pennsylvania, Texas e Washington).

Anche le persone che usufruiscono di programmi assicurativi finanziati dallo Stato, come Medicare e Medicaid, non possono accedere al programma RxPass.

Tuttavia, una transazione separata di Amazon relativa al settore sanitario, attualmente in attesa di approvazione da parte delle autorità di regolamentazione, consentirebbe ad Amazon di superare questo ostacolo.

Le 80 condizioni iniziali coperte dall’offerta di farmaci generici di RxPass sono state scelte intenzionalmente “per rendere l’offerta attraente per un’ampia base di potenziali clienti”, secondo TechCrunch, che ha notato che più di 150 milioni di americani assumono già uno o più dei farmaci offerti dal programma.

Nel luglio 2022, Amazon ha acquistato One Medical, un fornitore privato di servizi sanitari che gestisce 188 ambulatori di assistenza primaria e un servizio di teleassistenza su abbonamento, in un’operazione da 3,9 miliardi di dollari interamente in contanti.

Secondo Forbes, “l’acquisizione di One Medical consente ad Amazon di entrare nel settore dell’assistenza sanitaria per i pazienti Medicare”.

Fierce Healthcare ha riferito il 3 gennaio che il programma di supervisione del mercato sanitario dell’Autorità sanitaria dell’Oregon ha approvato l’accordo, portandolo a un passo dalla piena approvazione normativa. La FTC indaga sull’acquisizione.

Al momento dell’annuncio dell’accordo, alcuni esponenti politici e attivisti per i consumatori lo hanno definito “pericoloso“, sollevando potenziali problemi di privacy e antitrust.

Amazon, nonostante il fallimento della sua iniziativa Amazon Care, continua a fare incursioni nel mercato sanitario, con un’attenzione particolare a “servizi di intelligenza artificiale [artificial intelligence] per la salute costruiti ad hoc”.

Alcuni analisti sostengono che l’uso dell’intelligenza artificiale nell’assistenza sanitaria “potrebbe rivoluzionare le diagnosi e la gestione dei trattamenti”, mentre altri sostengono che, con l’aumento dei costi dell’assistenza sanitaria, l’intelligenza artificiale e altre opzioni digitali possono potenzialmente “rendere l’assistenza sanitaria più accessibile [ed] economica”.