Em uma decisão inédita, a farmácia on-line GoodRx, com sede na Califórnia, concordou na quarta-feira em pagar US$ 1,5 milhão em multas civis, após uma investigação da Comissão Federal de Comércio (FTC) que descobriu que a empresa compartilhava dados de saúde dos usuários com grandes empresas de tecnologia, incluindo Facebook e Google.
De acordo com o The New York Times, a FTC acusou a empresa-mãe da GoodRx, GoodRx Holdings, de compartilhar informações sobre medicamentos prescritos e doenças de milhões de seus usuários, para fins de publicidade e marketing.
Na reclamação da FTC, apresentada no Tribunal Distrital dos EUA para o Distrito Norte da Califórnia, a agência também alegou que a GoodRx não notificou os consumidores de que seus dados pessoais de saúde seriam compartilhados com terceiros e que isso induziu os consumidores a pensar que seus dados estavam protegidos.
A FTC descobriu que as práticas da GoodRx violavam a regra de notificação de violação de saúde da FTC , que exige que aplicativos de saúde e outras ferramentas semelhantes, incluindo rastreadores de condicionamento físico, notifiquem os consumidores sobre violações de dados coletados.
Em um comunicado, Samuel Levine, diretor de proteção ao consumidor da FTC, disse:
“Empresas de saúde digital e aplicativos móveis não devem lucrar com informações de saúde extremamente sensíveis e de identificação pessoal dos consumidores. …”
“A FTC está notificando que usará toda a sua autoridade legal para proteger os dados confidenciais dos consumidores americanos contra uso indevido e exploração ilegal.”
De acordo com o TechCrunch, esta é a primeira vez que a regra foi implementada, apesar de estar em vigor há uma década.
FTC: GoodRx compartilhou dados pessoais de saúde dos usuários ‘por anos’
A FTC descobriu que a GoodRx “prometeu enganosamente a seus usuários que nunca compartilharia informações pessoais de saúde com anunciantes ou outros terceiros”, mas “violou repetidamente essa promessa … por anos”, relatou o TechCrunch.
Havia várias maneiras pelas quais a GoodRx se envolveu em tais práticas, de acordo com o TechCrunch. Uma delas foi compartilhar os nomes dos medicamentos e as condições de saúde associadas de seus usuários com plataformas de publicidade operadas pelo Google, Facebook e outros.
Um funcionário da FTC disse a repórteres que algumas dessas informações incluíam dados confidenciais de saúde do usuário.
A GoodRx então monetizou os dados, exibindo anúncios direcionados para saúde e medicamentos específicos, disse o TechCrunch.
Os dados pessoais compartilhados pela GoodRx, de acordo com o Times, “podem vincular os usuários a problemas crônicos de saúde física e mental, incluindo abuso de substâncias”.
O caso da FTC se concentrou no uso de ferramentas de rastreamento, incluindo “pixels” e “kits de desenvolvimento de software”, da GoodRx, informou o Times. Facebook, Google e outras empresas de tecnologia fornecem essas ferramentas, que permitem o rastreamento das atividades do usuário e o compartilhamento de dados com terceiros para segmentação de anúncios e fins de análise do usuário.
A GoodRx disse que parou de usar os “pixels” do Facebook há três anos, de acordo com o Times.
Esses dados incluíam nomes e sobrenomes dos usuários, seus endereços de e-mail e números de telefone celular, seus endereços IP, localização, sexo e códigos de identificação de dispositivo exclusivos.
Ações como clicar em um link, ler informações sobre medicamentos ou doenças específicas ou abrir um aplicativo específico também podem ser rastreadas, disse o Times.
A FTC também disse que a GoodRx “carregou as informações de contato de usuários que compraram certos medicamentos, como anticoncepcionais ou pílulas para disfunção erétil, no Facebook para que o aplicativo de desconto em medicamentos pudesse identificar os perfis de mídia social de seus usuários”, informou o Times.
O TechCrunch disse que as listas de usuários da GoodRx também incluíam usuários que compraram medicamentos para pressão arterial e doenças cardíacas, novamente com o objetivo de atingir os usuários com anúncios específicos relacionados à saúde.
O Facebook e o Instagram usaram as informações para fornecer anúncios de medicamentos direcionados aos usuários no Facebook e no Instagram, disse a FTC.
“O GoodRx também visou usuários que procuraram informações sobre doenças sexualmente transmissíveis no HeyDoctor, o serviço de telemedicina da empresa, com anúncios dos serviços de teste de DST da HeyDoctor”.
A FTC também descobriu que a GoodRx não limitava como terceiros poderiam usar as informações de saúde coletadas dos usuários da empresa, permitindo que terceiros usassem os dados para “fins comerciais internos, como pesquisa e desenvolvimento de produtos”, informou o Times.
De acordo com a FTC, mais de 55 milhões de pessoas usaram ou visitaram as plataformas digitais da GoodRx desde 2017. Durante esse período, a GoodRx fez promessas públicas de “nunca fornecer a nenhum anunciante qualquer informação que revele uma condição de saúde pessoal”, mas na verdade “revelou informações extremamente íntimas e detalhes sensíveis”, relatou o Times.
A GoodRx também “falhou em manter proteções suficientes” para as informações pessoais dos usuários, como políticas formais adequadas de privacidade e compartilhamento de dados”, informou o Times.
O TechCrunch disse que a FTC acusou a GoodRx de “sugerir falsamente” aos usuários que estava em conformidade com a Lei de Portabilidade e Responsabilidade de Seguro Saúde (HIPAA) de 1996, levando-os a acreditar que seus dados eram protegidos por lei quando, na verdade, muitos dos dados não foram especificamente cobertos pela HIPAA ou outras leis.
GoodRx proibido de compartilhar dados do usuário com terceiros, aguardando a aprovação final do pedido da FTC
De acordo com a ordem da FTC, aguardando a aprovação do tribunal federal da Califórnia, a GoodRx será permanentemente proibida de compartilhar informações de saúde dos usuários com terceiros para fins de publicidade e será obrigada a cumprir um “cronograma de retenção de dados”, limitando quanto tempo pode reter a saúde e os dados pessoais dos usuários, informou o TechCrunch.
A empresa também será obrigada a implementar um programa de privacidade para proteger os dados do usuário e divulgar aos usuários quais dados são coletados e para quais fins.
A GoodRx também será obrigada a pedir às empresas com as quais compartilhou dados para excluí-los. No entanto, essas empresas não serão vinculadas ao pedido, disse o TechCrunch.
Os requisitos são adicionais à multa civil de US$ 1,5 milhão imposta contra a GoodRx por sua violação da Regra de Notificação de Violação de Saúde, informou o Times.
Em uma declaração emitida após o anúncio da FTC, a GoodRx afirmou que valoriza a privacidade do usuário:
“Na GoodRx, proteger a privacidade de nossos usuários é uma de nossas prioridades mais importantes. Somos cuidadosos e disciplinados sobre quais informações coletamos e como e por que as usamos. O acordo com a FTC se concentra em uma questão antiga que foi abordada proativamente há quase três anos, antes do início da investigação da FTC.”
“Embora tenhamos usado tecnologias de fornecedores para anunciar de uma forma que acreditamos estar em conformidade com todos os regulamentos aplicáveis e que continua sendo uma prática comum entre muitos sites de saúde, consumidores e governamentais, estamos orgulhosos de termos tomado medidas para sermos líderes do setor em práticas de privacidade.”
No mesmo comunicado, a GoodRx alegou que não concordava com as alegações da FTC e, ao aceitar o acordo, não admitia qualquer irregularidade:
“Não concordamos com as alegações da FTC e não admitimos qualquer irregularidade. Entrar no acordo nos permite evitar o tempo e as despesas de um litígio prolongado.”
“Acreditamos que os requisitos detalhados no acordo não terão impacto material em nossos negócios ou em nossas operações atuais ou futuras.”
A regra de notificação de violação de saúde da FTC exige que aplicativos de saúde e outras ferramentas semelhantes “notifiquem os usuários sobre violações, como ataques cibernéticos ou compartilhamento não autorizado de seus dados de saúde”, informou o Times.
Embora a FTC nunca tenha aplicado essa regra, a agência vem reconsiderando isso nos últimos anos, informou o TechCrunch. Por exemplo, a FTC esclareceu em 2021 e novamente em 2022 que a regra também se aplica a desenvolvedores de aplicativos e fabricantes de dispositivos de fitness, alertando que tomaria medidas contra supostas violações.
De acordo com o Times, a FTC, em 2021, acusou o desenvolvedor do Flo, um aplicativo de rastreamento de saúde usado por mais de 100 milhões de mulheres, “de enganar os usuários sobre suas práticas de manipulação de dados ao compartilhar detalhes íntimos de saúde sobre seus períodos e gravidez com Google e Facebook”. A FTC e Flo resolveram o processo em junho de 2021.
De acordo com o Times, a presidente da FTC, Lina M. Khan, “está tentando proibir algumas práticas de dados da indústria de tecnologia de longa data”, descrevendo-a como a “presidente ativista” da agência.
A ordem da FTC contra a GoodRx “poderia acabar com as práticas generalizadas de criação de perfis de usuários e direcionamento de anúncios” da Big Tech, acrescentou o Times.
Tendência de ‘saúde digital’ gera preocupações com privacidade
De acordo com o TechCrunch, “o GoodRx é um excelente exemplo de como as regras podem ser violadas, mas com a proliferação de serviços de saúde online nos últimos anos – que ganhou impulso principalmente com a chegada da pandemia do COVID-19 – há sinais de que podemos começar a ver mais imposições da regra [da FTC].”
As regras da FTC poderiam preencher algumas das lacunas na HIPAA e outras leis. O Times relatou que “ao contrário dos resultados dos exames de sangue de uma pessoa e outras informações do paciente coletadas por médicos e hospitais … poucas proteções legais”.
A regra da FTC “é particularmente importante à luz do fato de que há cada vez mais serviços de saúde online”, de acordo com o TechCrunch, que citou a Amazon como um excelente exemplo.
A Amazon entrou no mercado de medicamentos prescritos em 24 de janeiro por meio da Amazon Pharmacy com o lançamento do RxPass, um complemento ao serviço Amazon Prime, no qual os usuários pagam uma taxa fixa mensal de US$ 5 por recargas ilimitadas de medicamentos genéricos.
De acordo com a Forbes, mais de 50 medicamentos genéricos cobrindo 80 doenças comuns fazem parte do lançamento do serviço Amazon RxPass. Estes incluem sertralina (a versão genérica do antidepressivo Zoloft) e losartan (a versão genérica do medicamento para hipertensão Cozaar).
Os medicamentos são entregues gratuitamente, mediante receita médica válida.
O RxPass da Amazon não está disponível em todos os estados (excluindo Califórnia, Louisiana, Maryland, Minnesota, New Hampshire, Pensilvânia, Texas e Washington), de acordo com a Forbes.
Pessoas em programas de seguro financiados pelo governo, como Medicare e Medicaid, também não são elegíveis para o programa RxPass.
No entanto, uma transação separada relacionada à saúde da Amazon, atualmente pendente de aprovação pelos reguladores, permitiria que a empresa de Big Tech preenchesse essa lacuna.
As 80 condições iniciais cobertas pelas ofertas de medicamentos genéricos RxPass foram escolhidas intencionalmente “para torná-la uma oferta atraente para uma ampla base de clientes em potencial”, de acordo com o TechCrunch, que observou que mais de 150 milhões de americanos já tomam um ou mais dos medicamentos oferecidos pelo programa.
Em julho de 2022, a Amazon comprou a One Medical, uma prestadora privada de serviços de saúde que opera 188 consultórios de cuidados primários e um serviço de telessaúde baseado em assinatura, em um negócio de $ 3,9 bilhões em dinheiro.
De acordo com a Forbes, “a aquisição da One Medical dá à Amazon uma entrada no fornecimento de cuidados de saúde para pacientes do Medicare”.
A Fierce Healthcare informou em 3 de janeiro que o programa de supervisão do mercado de saúde da Autoridade de Saúde do Oregon aprovou o acordo, aproximando-o da aprovação regulatória total. A FTC está investigando a aquisição.
Na época em que o acordo foi anunciado, algumas figuras políticas e defensores do consumidor o caracterizaram como “perigoso”, levantando possíveis preocupações com privacidade e antitruste.
A Amazon, apesar do fracasso de sua iniciativa Amazon Care, continua a fazer incursões no mercado de saúde, com foco particular em “serviços de IA [inteligência artificial] de saúde criados especificamente para esse fim”.
Alguns analistas afirmam que o uso da IA na área da saúde “poderia revolucionar os diagnósticos e a administração do tratamento”, enquanto outros argumentam que, com o aumento do custo da saúde, a IA e outras opções digitais podem potencialmente “tornar a saúde mais acessível [e] aberta”.