En una sentencia sin precedentes, la farmacia en línea GoodRx, con sede en California, acordó el miércoles pagar 1,5 millones de dólares en multas civiles, tras una investigación de la Comisión Federal de Comercio (FTC) que descubrió que la empresa compartía datos sanitarios de los usuarios con grandes empresas tecnológicas, “Big Tech”, incluidas Facebook y Google.

Según “The New York Times”, la FTC acusó a la empresa matriz de GoodRx, “GoodRx Holdings”, de compartir información sobre los medicamentos recetados y las enfermedades de millones de sus usuarios, con fines publicitarios y de marketing.

En la denuncia de la FTC, presentada ante el Tribunal de Distrito de Estados Unidos para el Distrito Norte de California, la agencia también alegó que GoodRx no notificó a los consumidores que sus datos personales de salud serían compartidos con terceros y que engañó a los consumidores haciéndoles creer que sus datos estaban protegidos.

La FTC determinó que las prácticas de GoodRx infringían la Regla de Notificación de Infracciones Sanitarias (“Health Breach Notification Rule”) de la FTC, que exige que las aplicaciones sanitarias y otras herramientas similares, incluidos los rastreadores de actividad física, notifiquen a los consumidores las infracciones de los datos que han recopilado.

En un comunicado, Samuel Levine, director de protección de los consumidores de la FTC, declaró:

“Las empresas de salud digital y las aplicaciones móviles no deberían sacar provecho de la información sanitaria extremadamente sensible y personalmente identificable de los consumidores. …

“La FTC está avisando de que utilizará toda su autoridad legal para proteger los datos sensibles de los consumidores estadounidenses del uso indebido y la explotación ilegal.”

Según TechCrunch, es la primera vez que se aplica la norma a pesar de que lleva en vigor una década.

FTC: GoodRx ha compartido “durante años” los datos sanitarios personales de los usuarios

La FTC descubrió que GoodRx “prometía engañosamente a sus usuarios que nunca compartiría información sanitaria personal con anunciantes u otros terceros”, pero “incumplió repetidamente esta promesa… durante años”, informó TechCrunch.

Según TechCrunch, GoodRx incurrió en este tipo de prácticas de múltiples maneras. Una de ellas fue compartir los nombres de los medicamentos y las condiciones de salud asociadas de sus usuarios con plataformas publicitarias operadas por Google, Facebook y otros.

Un funcionario de la FTC dijo a los periodistas que parte de esta información incluía datos sensibles sobre la salud de los usuarios.

Según TechCrunch, GoodRx monetizó los datos mediante anuncios específicos sobre salud y medicación.

Los datos personales compartidos por GoodRx, según “The Times”, “podrían vincular a los usuarios con problemas crónicos de salud física y mental, incluido el abuso de sustancias.”

El caso de la FTC se centró en el uso de herramientas de seguimiento, incluidos “píxeles” y “kits de desarrollo de software”, por parte de GoodRx, informó “The Times”. Facebook, Google y otras empresas tecnológicas ofrecen este tipo de herramientas, que permiten rastrear las actividades de los usuarios y compartir datos con terceros con fines de segmentación publicitaria y análisis de usuarios.

GoodRx dijo que dejó de utilizar los “píxeles” de Facebook hace tres años, según “The Times”.

Estos datos incluían el nombre y apellidos de los usuarios, sus direcciones de correo electrónico y números de teléfono móvil, sus direcciones IP, ubicación, sexo y códigos de identificación únicos de los dispositivos.

Según “The Times”, también podrían rastrearse acciones como hacer clic en un enlace, leer información sobre medicamentos o enfermedades concretas o abrir una aplicación específica.

La FTC también dijo que GoodRx “subió a Facebook la información de contacto de los usuarios que habían comprado determinados medicamentos, como píldoras anticonceptivas o para la disfunción eréctil, de modo que la aplicación de descuentos en medicamentos podía identificar los perfiles de sus usuarios en las redes sociales”, informó “The Times”.

Según TechCrunch, las listas de usuarios de GoodRx también incluían a usuarios que compraban medicamentos para la tensión arterial y las enfermedades cardiacas, de nuevo con el propósito de dirigir a los usuarios anuncios específicos relacionados con la salud.

Facebook e Instagram utilizaron la información para ofrecer anuncios de medicamentos dirigidos a usuarios de Facebook e Instagram, según la FTC.

“GoodRx también se dirigió a usuarios que habían buscado información sobre enfermedades de transmisión sexual en HeyDoctor, el servicio de telemedicina de la empresa, con anuncios de los servicios de pruebas de ETS de HeyDoctor.”

La FTC también descubrió que GoodRx no limitaba el uso que terceros podían hacer de la información sanitaria recabada de los usuarios de la empresa, permitiéndoles utilizar los datos para “fines comerciales internos como la investigación y el desarrollo de productos”, informó “The Times”.

Según la FTC, más de 55 millones de personas han utilizado o visitado las plataformas digitales de GoodRx desde 2017. Durante este periodo, GoodRx hizo promesas públicas de “no facilitar nunca a ningún anunciante información que revelara un estado de salud personal”, pero de hecho “reveló detalles extremadamente íntimos y sensibles”, informó “The Times”.

GoodRx tampoco “mantuvo suficientes” protecciones para la información personal de los usuarios, como tener una normativa adecuada, formal y por escrito, en materia de privacidad e intercambio de datos”, informó también “The Times”.

TechCrunch dijo que la FTC acusó a GoodRx de “sugerir falsamente” a los usuarios que cumplía con la Ley de Portabilidad y Responsabilidad de los Seguros Sanitarios (“Health Insurance Portability and Accountability Act”, HIPAA por sus siglas en inglés) de 1996, haciéndoles creer erróneamente que sus datos estaban protegidos por la ley cuando, de hecho, muchos de estos datos no estaban específicamente cubiertos por la HIPAA u otras leyes.

Se prohíbe a GoodRx compartir datos de usuarios con terceros, a la espera de la aprobación definitiva de la orden de la FTC

Según la orden de la FTC, pendiente de aprobación por el tribunal federal de California, GoodRx tendrá prohibido de forma permanente compartir la información sanitaria de los usuarios con terceros con fines publicitarios y deberá cumplir un “calendario de retención de datos”, que limitará el tiempo que puede conservar los datos sanitarios y personales de los usuarios, informó TechCrunch.

La empresa también deberá implantar un programa de privacidad para proteger los datos de los usuarios y revelar a éstos qué datos recopila y con qué fines.

GoodRx también deberá pedir a las empresas con las que compartió datos que los eliminen. Sin embargo, estas empresas no estarán vinculadas por la orden, según TechCrunch.

Los requisitos se suman a la sanción civil de 1,5 millones de dólares impuesta a GoodRx por su violación de la Regla de Notificación de Infracciones Sanitarias, informó “The Times”.

En un comunicado emitido tras el anuncio de la FTC, GoodRx afirmó que valora la privacidad de los usuarios:

“En GoodRx, proteger la privacidad de nuestros usuarios es una de nuestras prioridades más importantes. Somos considerados y disciplinados sobre qué información recopilamos y cómo y por qué la utilizamos. El acuerdo con la FTC se centra en un viejo asunto que se abordó de forma proactiva hace casi tres años, antes de que comenzara la investigación de la FTC.

“Aunque habíamos utilizado tecnologías de proveedores para hacer publicidad de una forma que creemos que cumplía todas las normativas aplicables y que sigue siendo una práctica común entre muchos sitios web de salud, consumo y gobierno, estamos orgullosos de haber tomado medidas para ser líderes del sector en prácticas de privacidad.”

En el mismo comunicado, GoodRx afirmaba que no estaba de acuerdo con las acusaciones de la FTC y que, al aceptar el acuerdo, no admitía ninguna infracción:

“No estamos de acuerdo con las acusaciones de la FTC y no admitimos ninguna infracción. Llegar a un acuerdo nos permite evitar el tiempo y los gastos de un litigio prolongado.

“Creemos que los requisitos detallados en el acuerdo no tendrán un impacto material en nuestro negocio o en nuestras operaciones actuales o futuras”.

La Regla de Notificación de Infracciones Sanitarias (“Health Breach Notification Rule”) de la FTC exige que las aplicaciones sanitarias y otras herramientas similares “notifiquen a los usuarios infracciones como ciberataques o el intercambio no autorizado de sus datos sanitarios”, informó “The Times”.

Aunque la FTC nunca aplicó esta norma, la agencia se lo ha estado replanteando en los últimos años, informó TechCrunch. Por ejemplo, la FTC aclaró en 2021 y de nuevo en 2022, que la norma también es aplicable a los desarrolladores de apps y a los fabricantes de dispositivos de fitness, advirtiendo de que tomaría medidas contra las supuestas infracciones.

Según “The Times”, la FTC, en 2021, acusó al desarrollador de Flo, una aplicación de seguimiento de la salud utilizada por más de 100 millones de mujeres, “de engañar a los usuarios sobre sus prácticas de tratamiento de datos al compartir detalles íntimos de salud sobre sus periodos y embarazos con Google y Facebook.” La FTC y Flo llegaron a un acuerdo en junio de 2021.

Según “The Times”, la presidenta de la FTC, Lina M. Khan, “está tratando de prohibir algunas prácticas de datos del sector tecnológico que vienen de antiguo”, y la describe como la “presidenta activista” de la agencia.

La orden de la FTC contra GoodRx “podría poner en entredicho las prácticas generalizadas de elaboración de perfiles de usuarios y de segmentación publicitaria” de las grandes empresas tecnológicas, “Big Tech”, añade “The Times”.

La tendencia hacia la “sanidad digital” suscita preocupación por la privacidad

Según TechCrunch, “GoodRx es un ejemplo paradigmático de cómo se pueden infringir las normas, pero con la proliferación de servicios sanitarios en línea en los últimos años -que recibió un impulso en particular con la llegada de la pandemia de COVID-19 – hay indicios de que podemos empezar a ver más ejecuciones de la [FTC’s] regla [de la FTC]”.

Las normas de la FTC podrían rellenar algunas lagunas de la HIPAA y otras leyes. “The Times” informó de que “a diferencia de los resultados de los análisis de sangre de una persona y otra información del paciente recopilada por médicos y hospitales … los detalles personales de salud que decenas de millones de consumidores introducen en aplicaciones o buscan en línea, como los nombres de medicamentos o enfermedades, están específicamente cubiertos por pocas protecciones legales.”

La norma de la FTC “es especialmente importante a la luz del hecho de que cada vez hay más servicios sanitarios en línea”, según TechCrunch, que citaba a Amazon como ejemplo principal.

El 24 de enero, Amazon entró en el mercado de los medicamentos con receta a través de Amazon Pharmacy con el lanzamiento de RxPass, un complemento de su servicio Amazon Prime por el que los usuarios pagarán una tarifa plana mensual de 5 dólares por la reposición ilimitada de una serie de medicamentos genéricos.

Según Forbes, más de 50 medicamentos genéricos que cubren 80 dolencias comunes forman parte del lanzamiento del servicio “Amazon RxPass”. Entre ellos se encuentran la sertralina (la versión genérica del antidepresivo Zoloft) y el losartán (la versión genérica del medicamento para la hipertensión Cozaar).

Los medicamentos se entregan gratuitamente, con una receta válida.

RxPass de Amazon no está disponible en todos los estados (California, Luisiana, Maryland, Minnesota, Nuevo Hampshire, Pensilvania, Texas y Washington están excluidos), según Forbes.

Los beneficiarios de programas de seguros financiados por el Estado, como Medicare y Medicaid, tampoco pueden acogerse al programa RxPass.

Sin embargo, otra operación de Amazon relacionada con la sanidad, actualmente pendiente de aprobación por los reguladores, permitiría a la empresa de “Big Tech” cubrir este vacío.

Las 80 afecciones iniciales cubiertas por la oferta de medicamentos genéricos de RxPass se eligieron intencionadamente “para que fuera una oferta atractiva para una amplia base de clientes potenciales”, según TechCrunch, que señaló que más de 150 millones de estadounidenses ya toman uno o más de los medicamentos que ofrece el programa.

En julio de 2022, Amazon compró “One Medical”, un proveedor privado de servicios sanitarios que gestiona 188 consultas de atención primaria y un servicio de telesalud por suscripción, en una operación de 3.900 millones de dólares en efectivo.

Según Forbes, “la adquisición de “One Medical” permite a Amazon entrar en la prestación de asistencia sanitaria a pacientes de Medicare”.

“Fierce Healthcare” informó el 3 de enero de que el programa de Supervisión del Mercado Sanitario de la Autoridad Sanitaria de Oregón aprobó el acuerdo, acercándolo un paso más a su aprobación reglamentaria completa. La FTC está investigando la adquisición.

En el momento en que se anunció el acuerdo, algunas figuras políticas y defensores de los consumidores lo calificaron de “peligroso”, ya que planteaba posibles problemas de privacidad y antimonopolio.

Amazon, a pesar del fracaso de su iniciativa “Amazon Care”, sigue haciendo incursiones en el mercado de la atención sanitaria, con especial atención a los “servicios deIA [inteligencia artificial] para la salud creados específicamente.” [artificial intelligence]

Algunos analistas afirman que el uso de la IA en la sanidad “podría revolucionar los diagnósticos y la administración de tratamientos”, mientras que otros sostienen que, con el aumento del coste de la sanidad, la IA y otras opciones digitales pueden potencialmente “hacer que la sanidad sea más accesible [y] asequible”. [and]