O que será necessário para fazer com que as empresas honrem as promessas que fazem sobre a privacidade dos dados de saúde dos consumidores? Várias ações da aplicação da lei da FTC no ano passado? Mais dois casos contra empresas que compartilhavam informações de saúde com plataformas de publicidade de terceiros sem o consentimento das pessoas? Aqui está as empresas de mensagens altas e claras que precisam ouvir: a FTC não recua na luta para proteger a privacidade dos dados sensíveis à saúde dos consumidores.
O prestador de serviços de saúde on -line Cerebral fornece serviços de assinatura de saúde mental e gerenciamento da dor aos consumidores. Quando as pessoas se inscrevem, o Cerebral coleta uma tonelada de informações privadas – tanto os dados usuais de contato quanto de pagamento e também históricos médicos e prescritos, detalhes do seguro de saúde, crenças religiosas e políticas e orientação sexual. Os consumidores não teriam cuidado ao divulgar tantas informações confidenciais? Obviamente, é por isso que a Cerebral prometeu usar “a mais recente tecnologia de segurança da informação para proteger seus dados, que não são compartilhados sem o seu consentimento, e só serão usados internamente para melhorar os cuidados clínicos”.
Garantindo aos consumidores que suas informações receberiam tratamento “seguro, seguro e discreto”, a empresa prometeu “na Cerebral, os pacientes vêm em primeiro lugar”. Mas, de acordo com a FTC, os pacientes chegaram à lista com publicidade aparentemente conquistando o primeiro lugar.
A FTC acusou que o cerebral entregou os dados sensíveis de saúde de quase 3,2 milhões de consumidores a plataformas de terceiros como LinkedIn, Snapchat e Tiktok para fins de publicidade e análise de dados. Como a empresa fez isso? Usando ferramentas de rastreamento em seu site ou incorporadas em seus aplicativos que enviaram os nomes, endereços, números de telefone, históricos de telefone e prescrição dos usuários e outras informações de saúde para as plataformas. De acordo com a FTC, a cerebral fez isso secretamente e sem revelar totalmente aos consumidores o que estava fazendo nos bastidores.
A FTC também alega que a cerebral não possui proteções adequadas para os dados coletados e envolvidos em uma série de práticas de segurança slipshod. Por exemplo, de acordo com a denúncia, a Cerebral não conseguiu bloquear o acesso dos ex-funcionários aos registros médicos confidenciais dos consumidores, enviou cartões postais promocionais (sim, cartões postais) para mais de 6.000 consumidores que pareciam revelar seu diagnóstico e tratamento, usaram um único assinatura e Métodos de acesso para seu portal de pacientes que permitem que os usuários vejam informações confidenciais sobre saúde sobre outros usuários e colocem os registros médicos dos consumidores em risco, permitindo que funcionários e contratados usem uma única chave para o Dropbox Access.
A FTC diz que as práticas ilegais de Cerebral não terminaram aí. O processo alega que a empresa também violou a Lei de Confiança dos Compradores Online (Rosca) Restauração, jogando rápido e solto – ou mais precisamente, lento e solto – com sua promessa de “cancelar a qualquer momento”. De fato, o Cerebral impôs uma pista de obstáculos de várias etapas e muitas vezes os que os consumidores tiveram que superar para cancelar o serviço. De acordo com a denúncia:
O email de uma demanda de cancelamento não cancelou uma assinatura ou interrompeu as cobranças recorrentes. Em vez disso, a Cerebral subjetou sistematicamente muitos clientes a um processo de “salvar” no qual sua equipe os contatou com perguntas e tentou dissuadi -los de cancelar. Até que esse processo terminasse, e a equipe da Cerebral “confirmou” as demandas de cancelamento dos consumidores, as assinaturas dos clientes permaneceram ativas e os clientes permaneceram sujeitos a cobranças adicionais.
Em outras palavras, o cerebral foi rápido – mas lento para cancelar – mesmo diante da intenção clara dos consumidores de interromper o serviço. As pessoas transmitiram sua insatisfação à empresa sobre suas políticas de cancelamento, com alguns desenhando uma conexão perspicaz de por que consideravam as práticas cerebrais particularmente prejudiciais. Como um consumidor disse: “Acho assustador que um aplicativo/empresa de saúde mental que serve aqueles com TDAH faria você pular de argola para cancelar assim – é exatamente o que as pessoas com TDAH normalmente acham desafiador gerenciar e parece predatório . ” O que aconteceu quando o cerebral finalmente colocou um botão de cancelamento mais fácil no lugar? A empresa o removeu duas semanas depois, depois de ver os cancelamentos aumentarem. A denúncia sugere uma possível motivação para a conduta da empresa: “Entre outubro de 2019 e maio de 2022, o cerebral arrecadou mais de US $ 8 milhões dos consumidores depois de receber suas demandas de cancelamento”.
Arquivado pelo Departamento de Justiça em nome da FTC, a denúncia de seis acusações alega violações da Lei da FTC e Rosca. Dado que algumas das práticas do Cerebral relacionadas ao tratamento de distúrbios do uso de substâncias, o processo também alega violações da Lei de Prevenção de Fraudes da Recuperação de Recuperação de Vícios Opióides (OARFPA).
O acordo com o Cerebral inclui um julgamento de US $ 5,1 milhões, que será usado para fornecer reembolsos aos consumidores, bem como uma penalidade civil de US $ 10 milhões, que será suspensa após um pagamento de US $ 2 milhões devido à incapacidade da empresa de pagar o valor total. A ordem proposta também impõe provisões muito cautelosas que mudarão a maneira como a empresa faz os negócios daqui para frente. Algumas disposições -chave: 1) uma proibição permanente de usar ou divulgar ou divulgar as informações pessoais e de saúde dos consumidores a terceiros para a maioria dos fins de marketing ou publicidade, 2) um requisito geral de que a empresa obtenha o consentimento dos consumidores antes de divulgar essas informações para qualquer outro propósito , 3) a proibição de deturpações sobre qualquer opção negativa ou prática de cancelamento e 4) um requisito de que a empresa ofereça aos consumidores uma maneira fácil de cancelar.
A ação da FTC contra o ex -CEO da Cerebral, Kyle Robertson, está pendente no tribunal federal na Flórida.
Essa é apenas uma ação que a FTC tomou nos últimos dias para proteger a privacidade da saúde dos consumidores. Em um processo separado, a agência alega que a Monument, Inc., um serviço de tratamento de dependência de álcool de Nova York, compartilhou os dados de saúde dos consumidores com plataformas de publicidade de terceiros, incluindo Meta e Google, sem o consentimento do consumidor.
Para taxas mensais de associação que variam de US $ 14,99 a US $ 249, o Monument oferece aos usuários grupos de suporte on -line, terapia on -line e acesso a médicos que podem prescrever medicamentos para ajudar a tratar o vício em álcool. Quando os consumidores se inscreveram no serviço, o Monument coletou seus nomes, endereços de email, números de telefone e IDs emitidos pelo governo, além de informações sobre seu consumo de álcool e histórico médico.
Em todo o site, o Monument prometeu proteger a privacidade dos consumidores. Por exemplo, de acordo com a empresa, “suas informações são mantidas confidenciais e não são compartilhadas com terceiros” e “qualquer informação que você inseria com o monumento é 100% confidencial, segura e compatível com a HIPAA”.
Foi o que o Monument prometeu, mas o que os consumidores não sabiam era que a empresa divulgou suas informações pessoais, incluindo suas informações de saúde, a plataformas de publicidade de terceiros para fins de publicidade por meio de tecnologias de rastreamento conhecidas como pixels e interfaces de programação de aplicativos (APIs) em suas site.
Monument usou esses rastreadores secretos para observar “eventos” (por exemplo, quando uma pessoa visitou o site da empresa) e deu a esses eventos títulos descritivos como “Pago: Terapia Semanal” ou “Pago: Gerenciamento de Med” – títulos que a FTC diz que revelou detalhes sobre os detalhes sobre suas visitas. De acordo com a denúncia, o Monument compartilhou esses “eventos” com plataformas de publicidade, juntamente com os endereços de email parciais dos consumidores, endereços IP e outros identificadores. Praticamente falando, isso significava que a Meta poderia corresponder às informações do evento do Monument com a conta do Facebook de um indivíduo. O Monument, por sua vez, poderia usar a plataforma de publicidade da Meta para atingir essa pessoa com anúncios para os serviços da empresa.
Você vai querer ler a reclamação para obter detalhes sobre como a FTC diz que Monument violou a Lei da FTC e o OARFPA. Mas o resumo da miniatura é que o monumento supostamente se envolveu em práticas de privacidade injustas, divulgou de forma injusta e enganosa as informações de saúde dos consumidores a terceiros para fins de publicidade sem o consentimento expresso afirmativo dos consumidores e não colocou limites sobre como esses terceiros usavam essas informações. Além disso, a FTC diz que Monument afirmou falsamente ser compatível com a HIPAA, apesar de um assessor independente dizer à empresa que ficou aquém em várias categorias.
Além de proibir o compartilhamento de dados com terceiros para publicidade, a ordem proposta proíbe o monumento de deturpar suas práticas de coleta e divulgação de dados. A penalidade civil de US $ 2,5 milhões imposta pelo OARFPA será suspensa devido à incapacidade da empresa de pagar. O monumento também deve identificar todos os dados do usuário que compartilhou com terceiros e instruí -los a excluir esses dados.
O que outras empresas devem tomar dessas duas ações de aplicação da lei?
Representações de privacidade ou segurança são reivindicações de produtos que você deve substanciar. “Nós da Xyz Company tomamos o cuidado de proteger a privacidade e a segurança de suas informações pessoais”. Provavelmente, sua empresa diz algo semelhante em seu site ou em seu aplicativo. Notícias Flash: Isso não é Puffery. É uma reivindicação afirmativa que você deve apoiar com provas sólidas.
As empresas do setor de saúde devem fazer parte da privacidade e segurança dos dados do DNA corporativo. Se sua empresa coletar informações confidenciais de saúde ou fizer qualquer outro uso, você aumentou sua antecedência. As proteções de privacidade e segurança não devem ser posteriores, depois de costurar no final. Eles pertencem à frente e centro em suas operações comerciais, inclusive no design fundamental do seu site e aplicativos. Dados os remédios adicionais que o Congresso previa violações do OARFPA, que se aplica com força total a empresas que comercializam produtos ou serviços anunciados para tratar o distúrbio do uso de substâncias.
FTC e HHS: unidos na HIPAA. O Departamento de Saúde e Serviços Humanos impõe a Lei de Portabilidade e Responsabilidade do Seguro de Saúde e as Regras de Notificação de Breatha da HIPAA, Segurança HIPAA e Breaching HIPAA. A FTC trouxe vários casos, alegando que as empresas usavam palavras ou focas para afirmar falsamente que são compatíveis com HIPAA. Leia a publicação, coleta, coleta ou compartilhamento de informações de saúde do consumidor? Olhe para a HIPAA, a Lei da FTC e a regra de notificação de violação da saúde, para obter mais informações.
Pare em nome da lei. Quando os consumidores dizem “Cancelar!” Para uma empresa, eles querem dizer isso – e a lei os apóia. Quando foi a última vez que você passou pelo processo de cancelamento da sua empresa? Se você precisar dos consumidores para concluir um decatlo de árvore de decisão, está fazendo errado. Reclamações sobre procedimentos complicados, solicitações de cancelamento ignoradas, longas esperas no telefone, e -mails que ficam sem resposta, cobranças não autorizadas ou tentativas intermináveis de “salvar” devem dar um gentileza a um grande problema. A ROSCA exige que as empresas cobertas tenham “mecanismos simples” para que os consumidores possam parar as cobranças recorrentes. O que significa “simples” neste contexto? Simplificando, significa “simples”. É tão simples.
