Login
Google, Microsoft, Facebook, TikTok e a maioria dos sites médicos e de saúde coletam e vendem ilegalmente informações privadas de saúde, apesar da repressão federal à prática, de acordo com um novo relatório de segurança cibernética.
O relatório, da empresa de segurança cibernética Feroot Security, com sede em Toronto , analisou centenas de sites de saúde e descobriu que mais de 86% estão coletando dados privados e transferindo-os para anunciantes, profissionais de marketing e grandes empresas de mídia social de tecnologia sem o consentimento do usuário e em violação das leis de privacidade.
À medida que pacientes ou consumidores navegam em seus sites médicos favoritos ou confiáveis ou acessam portais hospitalares para acessar seus registros de saúde privados, pedaços invisíveis de código HTML – chamados “pixels de rastreamento” – incorporados nos sites coletam informações privadas, como se os pacientes têm câncer, disfunção erétil ou com contas hospitalares atrasadas.
As informações são reembaladas e vendidas para diversos usos, inclusive para empresas que visam usuários individuais com anúncios na Internet, de acordo com o relatório.
O risco de ter dados pessoais copiados é particularmente elevado em páginas de login e registo, onde os utilizadores da Internet fornecem uma grande quantidade de informações, sem saberem que estão sendo coletadas e vendidas. Mais de 73% das páginas de login e registro possuem rastreadores invisíveis que pirateiam informações pessoais de saúde, descobriu o estudo.
Aproximadamente 15% dos pixels de rastreamento analisados pela Feroot registram as teclas digitadas pelos usuários, coletando números de previdência social, nomes de usuário e senhas, informações bancárias e de cartão de crédito e uma variedade infinita de dados pessoais de saúde, incluindo diagnóstico e tratamento médico.
O estudo mostrou que “o Google é o coletor dominante absoluto” de dados. Noventa e dois por cento dos websites carregados no motor de busca Google continham tecnologia de recolha de dados em amplos setores da economia dos EUA, incluindo cuidados de saúde e telessaúde, serviços bancários e financeiros, companhias aéreas, comércio eletrônico e governos federais e estaduais.
O segundo infrator foi a Microsoft, com 50,4% dos sites em sua plataforma ocultando ferramentas de rastreamento, com o Facebook em seguida com 50,2% e o TikTok com 7,41% e crescendo rapidamente.
O Google, como impulsionador de sua controladora Alphabet, a quarta maior empresa do mundo, é frequentemente chamado de “a empresa mais poderosa do mundo”. Conta com a publicidade, força vital da economia digital global, para 80% das suas receitas.
A Microsoft e o Facebook “completaram o Top 3” de empresas que violam dados sistematicamente, disse o relatório.
Representantes do Google, Microsoft e Facebook negaram que suas empresas usassem pixels de rastreamento para coletar dados pessoais.
Os proprietários de sites são responsáveis por controlar a coleta de dados, disse um porta-voz do Google. A política do Google proíbe os clientes do Google Analytics e de publicidade, incluindo, por exemplo, sites de hospitais ou de telessaúde, de coletar dados de saúde em violação à Lei de Responsabilidade e Portabilidade de Seguros de Saúde dos EUA (HIPA ) . Cabe aos sites determinarem “se são entidades regulamentadas pela HIPAA e quais são suas obrigações sob a HIPAA”, diz a política do Google.
Dados pessoais de saúde coletados por um rastreador ou terceiros sem o consentimento do usuário são uma violação da HIPAA, disse o CEO da Feroot, Ivan Tsarynny.
As grandes empresas de tecnologia “têm políticas que falam sobre a proteção das informações de saúde”, disse Tsarynny. Mas “a aplicação destas políticas no mundo real é uma história diferente”.
O estudo de Feroot ocorre no momento em que “cresce a preocupação com as empresas de mineração de dados que usam pixels/rastreadores que são carregados em navegadores de sites para coletar privacidade e dados confidenciais do usuário”, afirmou o relatório.
“Os reguladores de conformidade e as autoridades governamentais estão cada vez mais intervindo com proibições, restrições e ordens executivas para contê-las.”
Dezoito grandes sistemas hospitalares foram processados este ano por compartilharem dados confidenciais de saúde de pacientes com Google, Facebook e outros gigantes da tecnologia, violando as leis de privacidade, de acordo com a Becker’s Hospital Review.
Eles incluem centros médicos acadêmicos proeminentes, como o Centro Médico da Universidade de Pittsburgh, o Centro Médico da Universidade de Chicago, o Centro Médico da Universidade de Iowa, o Northwestern Memorial Hospital, com sede em Chicago, e o Centro Médico de São Francisco da Universidade da Califórnia.
Impulsionado pelas crescentes preocupações sobre roubo de dados e pelo artigo “‘Out of Control’ dezenas de startups de telessaúde enviaram informações confidenciais de saúde para grandes empresas de tecnologia”, Feroot lançou uma investigação “para determinar a magnitude exata e a difusão dos pixels/rastreadores de mídia social coletar e transferir dados pessoais, confidenciais e privados usando pixels ou rastreadores.”
A plataforma de segurança que a Feroot vende para empresas “tornou possível obter fatos detalhados sobre o e-skimming ativo do lado do cliente”, disse a empresa.
A Feroot coletou dados sobre pixels/rastreadores durante um período de oito semanas em janeiro e fevereiro.
A empresa disse que examinou mais de 3.675 organizações com sites exclusivos em sete setores econômicos. Ele estudou 108.836 páginas da web exclusivas, incluindo páginas especialmente vulneráveis de login, registro e processamento de cartão de crédito, 227 rastreadores e 7 milhões de transferências de dados.
Principais conclusões de ‘Cuidado com pixels e rastreadores’:
- Os rastreadores de pixels são “comuns e abundantes” – uma média de 13,16 pixels/rastreadores foram encontrados por site, “sendo Google, Microsoft, Meta (dona do Facebook), ByteDance (dona do TikTok) e Adobe sendo alguns dos mais comuns.”
- Páginas da Web “de missão crítica”, como páginas de login ou registro, aumentam o risco de exposição de informações privadas. Uma média de 5,96% dos sites tinham pixels/rastreadores em páginas da web que liam formulários de entrada do usuário contendo privacidade ou dados confidenciais.
- Os rastreadores de pixels transferem dados para locais estrangeiros ao redor do mundo – “cerca de 5% dos dados transferidos por pixels/rastreadores carregados de sites baseados nos EUA são enviados para fora dos EUA”.
- Os rastreadores Pixel coletam e transferem dados sem primeiro obter o consentimento explícito dos visitantes.
- Pixels e rastreadores estão sendo carregados de domínios proibidos pelo governo dos EUA e por vários estados dos EUA e até mesmo por alguns desses mesmos governos, incluindo Rússia e China. Os dados obtidos por sites russos e chineses representam um risco de segurança devido à vigilância e espionagem.
- Meta (dona do Facebook e Instagram) e TikTok, de propriedade da empresa chinesa ByteDance, eram “particularmente preocupantes” pela invasão de privacidade e riscos de vigilância. Trinta e quatro estados dos EUA, controlados por republicanos e democratas, proibiram o uso do TikTok em dispositivos governamentais. Montana baniu em maio o aplicativo em todos os dispositivos pessoais.
- O TikTok está frequentemente presente independentemente de o aplicativo TikTok ser excluído ou não. Os pixels/rastreadores do TikTok ainda podem “carregar em páginas da web que lidam com dados de usuário de missão crítica e podem coletá-los e transferi-los”.
Caso GoodRX destaca fraude corporativa em torno do compartilhamento de dados
Enquanto as empresas enfrentam perdas de lucros e reputação devido a violações de dados ou multas por as causarem, os indivíduos enfrentam uma perda de privacidade potencialmente catastrófica quando os principais websites de saúde recolhem e vendem as suas informações, de acordo com a Federal Trade Commission (FTC).
Em fevereiro, a FTC multou o popular site de medicamentos com desconto e telessaúde GoodRx por “não relatar a divulgação não autorizada de dados de saúde do consumidor ao Facebook, Google e outras empresas”.
A ação para “proibir a GoodRx de compartilhar informações confidenciais de saúde dos consumidores para publicidade” foi a primeira ação de fiscalização da FTC sob sua Regra de Notificação de Violação de Saúde.
“As empresas de saúde digital e os aplicativos móveis não devem lucrar com informações de saúde extremamente sensíveis e pessoalmente identificáveis dos consumidores”, disse Samuel Levine, diretor do Departamento de Proteção ao Consumidor da FTC, em um comunicado à imprensa após o acordo. “A FTC está notificando que usará toda a sua autoridade legal para proteger os dados confidenciais dos consumidores americanos contra uso indevido e exploração ilegal.”
A aplicação da FTC contra o GoodRx revelou um exemplo particularmente flagrante, mas não incomum, de como sites corporativos de saúde e médicos traem a confiança dos pacientes e manipulam os dados dos pacientes, disse a FTC.
De acordo com a denúncia da FTC, a GoodRx violou a lei ao compartilhar indevidamente informações pessoais confidenciais de saúde desde pelo menos 2017, embora tenha prometido o contrário.
A empresa “prometeu enganosamente a seus usuários que nunca compartilharia informações pessoais de saúde com anunciantes ou outros terceiros”, acusou a FTC, e exibiu enganosamente um selo na parte inferior de sua página inicial de serviços de telessaúde “sugerindo falsamente aos consumidores que cumpria… HIPAA.”
Na realidade, dizia a reclamação da FTC, a GoodRx “monetizou as informações pessoais de saúde de seus usuários e usou os dados que compartilhou com o Facebook para atingir os próprios usuários da GoodRx com anúncios personalizados específicos de saúde e medicamentos no Facebook e Instagram”.
Por exemplo, GoodRx em agosto de 2019 fez listas de seus usuários “que compraram medicamentos específicos, como aqueles usados para tratar doenças cardíacas e pressão arterial, e carregaram seus endereços de e-mail, números de telefone e IDs de publicidade móvel no Facebook para que pudesse identificar seus perfis”, de acordo com a denúncia.
“A GoodRx então usou essas informações para direcionar esses usuários a anúncios relacionados à saúde.”
As pessoas que acessassem cupons GoodRx para comprar, por exemplo, Viagra veriam anúncios de medicamentos para disfunção erétil em seus anúncios de páginas do Facebook ou Instagram, diz a FTC.
“Da mesma forma, as pessoas que usaram os serviços de telessaúde da GoodRx para obter tratamento para doenças sexualmente transmissíveis receberiam anúncios de serviços de testes de DST.”
A GoodRx divulgou ao Facebook os dados de compra de medicamentos que recebe dos gestores de benefícios farmacêuticos e também usou os dados para direcionar anúncios.
Ao usar a plataforma de segmentação de anúncios do Facebook, a FTC disse: “A GoodRx projetou campanhas que direcionavam anúncios aos clientes com base em suas informações de saúde. Por exemplo, se um cliente tivesse revelado um possível problema de disfunção erétil à GoodRx, ele poderia ter visto um anúncio no Facebook como o Anexo A na reclamação da FTC.”
Em fevereiro, a GoodRx, com sede na Califórnia, uma empresa de US$ 2,1 bilhões, pagou uma multa civil de US$ 1,5 milhão à FTC para resolver a reclamação e negou qualquer irregularidade.
Howard Danzig, fundador e presidente da Employers Commited to Control Health Insurance Costs , disse que “multar a GoodRx em apenas US$ 1,5 milhão de dólares não é nem mesmo um tapa na palma da mão. Embora muitos empregadores estejam tão vigilantes quanto ao respeito às diretrizes das leis de privacidade HIPAA, as grandes empresas de tecnologia basicamente são aprovadas.”
“Que tal penalidades graves para o Facebook, Google e quaisquer outros que foram beneficiários desta informação?” ele escreveu em sua página do LinkedIn com quase 9.000 seguidores.
“Que tal determinar se houve ou não alguma violação criminal que deveria ser processada contra os indivíduos que realmente colaboraram para isso? Que tal ‘REPARAÇÕES’ das empresas envolvidas às pessoas e clientes cuja privacidade foi violada?”
A violação de dados ocorreu para “fins publicitários”, observou ele. “Até onde isso pode realmente ser levado e até onde foi levado?”