Fatos íntimos sobre ovulação, fertilidade e outras questões de saúde sexual e reprodutiva são tão pessoais quanto as informações pessoais podem ser. TA FTC alega que a Easy Healthcare Corporation – a empresa por trás do aplicativo Premom Ovulation Tracker – quebrou suas promessas de privacidade ao divulgar dados confidenciais de saúde dos usuários ao Google e à AppsFlyer e ao compartilhar outras informações pessoais com duas empresas na China. A denúncia, que alega que a Easy Healthcare violou a Lei FTC e a Regra de Notificação de Violação de Saúde, é a ação mais recente contra uma empresa por lidar de forma imprudente com informações confidenciais dos consumidores.
A Ré Easy Healthcare desenvolveu e distribuiu o aplicativo Premom, que permitia aos usuários fazer upload de informações sobre seus ciclos menstruais, condições de saúde reprodutiva e outros dados relacionados à fertilidade. A empresa também vendeu tiras de teste de ovulação que as usuárias podiam fotografar e enviar, em um esforço para prever quando ovulariam. Com base na descrição da empresa de que era “o único aplicativo de monitoramento de fertilidade e ovulação que oferece garantia de gravidez para ajudar mulheres que estão tentando engravidar (TTC) a realizar seus sonhos de bebê”, centenas de milhares de usuários baixaram o aplicativo Premom.
O réu também incentivou os usuários a conectar o Premom a aplicativos ou produtos de terceiros para que o Premom pudesse importar ainda mais informações de saúde. Como resultado, a Premom coletou extensos dados confidenciais dos consumidores – por exemplo, datas de seus ciclos menstruais, resultados de testes hormonais e até mesmo quando suas gestações começaram e terminaram.
De acordo com a denúncia, o réu fez diversas garantias de privacidade aos consumidores. Por exemplo, numa política de privacidade de 7 de julho de 2020, o réu prometeu:
PROMETEMOS QUE NUNCA COMPARTILHAMOS SUA IDADE EXATA OU QUAISQUER DADOS RELACIONADOS À SUA SAÚDE COM TERCEIROS SEM SEU CONSENTIMENTO OU CONHECIMENTO.
(Só para deixar claro, o formato em letras maiúsculas foi uma escolha da Easy Healthcare, não nossa.) Uma política de privacidade de 2021 dizia o seguinte: “Premom usa AppsFlyer, uma plataforma de marketing móvel com sede nos Estados Unidos, para lidar com dados pessoais não relacionados à saúde” e que “os serviços de terceiros não têm acesso às suas informações de saúde através dos Serviços, a menos que você compartilhe essas informações diretamente com eles”. As pessoas compartilhariam todas essas informações altamente confidenciais se soubessem que as garantias de privacidade do réu eram falsas? Nós não pensamos assim.
Então foi isso que o réu prometeu, mas a FTC diz que a Easy Healthcare violou suas próprias representações de privacidade. De acordo com o processo, a empresa incorporou os kits de desenvolvimento de software do aplicativo Premom – SDKs – de empresas terceirizadas de marketing e análise sem considerar a grande discrepância entre as promessas de privacidade que o réu fez aos usuários e como os SDKs do aplicativo estavam operando por trás. as cenas para compartilhar informações pessoais dos usuários. Você vai querer ler a reclamação para obter detalhes, mas a FTC diz que a empresa quebrou suas promessas ao usar SDKs de uma forma que compartilhou esses dados confidenciais com terceiros.
Pense nisso da perspectiva do consumidor. Esta era uma informação tão pessoal que algumas pessoas podem não tê-la compartilhado com as pessoas mais próximas a eles – e ainda assim o réu se vira e a entrega ao Google e à AppsFlyer? Realmente?
A FTC afirma que a traição do réu às suas promessas de privacidade não terminou aí. De acordo com a reclamação, a Easy Healthcare também integrou SDKs da Umeng, um provedor chinês de análise de aplicativos móveis de propriedade da Alibaba, e da Jiguang, um desenvolvedor móvel chinês e provedor de análises. Por meio de seus SDKs, o aplicativo Premom transferiu outros dados confidenciais para essas empresas – por exemplo, informações de contas de mídia social dos usuários e sua localização geográfica precisa. De acordo com a denúncia, a Easy Healthcare fez isso apesar de informar aos consumidores entre 2017 e 2020 que coletou “informações não identificáveis para fins de rastreamento analítico do uso de (seu) aplicativo”. Através do uso de serviços de terceiros pela Easy Healthcare, a FTC afirma que os dados podem ser rastreados até uma pessoa real – tornando a alegação de “informações não identificáveis” do réu totalmente falsa.
O acordo proposto impõe uma proibição total ao compartilhamento, por parte do réu, de dados pessoais de saúde dos usuários com terceiros para fins publicitários. Caso a empresa queira compartilhar dados de saúde para qualquer outra finalidade, deverá obter o consentimento expresso dos usuários. Além de uma multa civil de US$ 100.000 por violação da Regra de notificação de violação de saúdea ordem exige – entre outras coisas – que o réu busque a exclusão dos dados que compartilhou com terceiros, entre em contato diretamente com os usuários para informá-los sobre as alegações da FTC e implemente um programa abrangente de privacidade e segurança de dados sujeito a avaliação de conformidade independente. Como parte de uma ação relacionada, a Easy Healthcare também concordou em pagar um total de US$ 100.000 a Connecticut, ao Distrito de Columbia e ao Oregon por violarem suas respectivas leis estaduais.
O acordo proposto envia alguns sinais fortes a qualquer pessoa no ecossistema da informação.
A FTC não poderia levar mais a sério a proteção da privacidade dos consumidores. Você notou um aumento na fiscalização contra empresas que violam a privacidade dos consumidores por meio de conduta injusta ou enganosa? Bom. Essa é uma mensagem que a FTC pretende enviar aos desenvolvedores de aplicativos, à indústria de tecnologia de publicidade e a qualquer pessoa que tente explorar a privacidade dos consumidores para obter lucro.
Realize uma atualização das regras de notificação de violação de saúde. Este é o segundo caso da FTC em apenas alguns meses alegando uma violação do Regra de notificação de violação de saúde. A Regra exige que as empresas cobertas notifiquem os usuários, a FTC e, em alguns casos, a mídia, sempre que houver aquisição não autorizada de informações de saúde individualmente identificáveis e não seguras. Ler Cumprindo a regra de notificação de violação de saúde da FTC para ver como as práticas da sua empresa estão se saindo.
Defina o padrão para identificadores de dispositivos não reconfiguráveis. Este é o primeiro caso da FTC alegando especificamente que identificadores de dispositivos não reconfiguráveis (como números internacionais de identificação de equipamentos móveis) são informações identificáveis e, portanto, de natureza altamente sensível. A coleta e o compartilhamento desses e de outros identificadores de dispositivos móveis pela Premom permitiram que terceiros contornassem os controles de privacidade dos sistemas operacionais, rastreassem indivíduos, inferissem a identidade de usuários individuais e, por fim, associassem esse usuário a um aplicativo de fertilidade.
Considere as implicações de uma segurança de dados negligente. A reclamação lista uma série de maneiras pelas quais a Easy Healthcare não empregou medidas razoáveis de privacidade e segurança de dados, incluindo a falha em avaliar os riscos de SDKs de terceiros que incorporou ao Premom. Uma preocupação especial neste caso: que os consumidores sejam prejudicados quando as suas informações sensíveis são enviadas juntamente com uma chave de desencriptação a terceiros, sujeitando os dados a uma potencial interceção.
