Primeira regra de notificação de violação de saúde da FTC aborda as práticas de privacidade não tão boas da Goodrx

O nome da empresa pode ser o GoodRX, mas é improvável que “bom” seja o adjetivo que os consumidores usariam para descrever a maneira como a empresa violou suas promessas de privacidade ao divulgar suas informações pessoais de saúde a empresas como Facebook e Google sem autorização. Como Goodrx conseguiu isso? Usando pixels de rastreamento “plug and play” automáticos e kits de desenvolvimento de software (SDKs) do Facebook, Google e outras empresas projetadas para obter uma quantidade substancial de dados do consumidor e entregá -los para fins de publicidade. No caso da Goodrx, isso incluiu as informações pessoais e de saúde dos consumidores.
Para resolver a primeira ação da FTC, alegando uma violação do Regra de notificação de violação de saúdeA Goodrx pagará uma penalidade civil de US $ 1,5 milhão. Mas há outra provisão de primeira linha no assentamento proposto que certamente gerará conversas com refrigeradores de água entre desenvolvedores de aplicativos, profissionais de privacidade e outros no crescente setor de tecnologia de saúde. Leia para obter detalhes.
A Goodrx administra uma plataforma de saúde digital, onde os consumidores podem comparar os preços dos medicamentos prescritos e obter cupons de medicamentos prescritos. Ele também oferece um serviço de assinatura mensal paga, a Goodrx Gold, que afirma oferecer maiores descontos e visitas virtuais de telessaúde por meio de um produto chamado Goodrx Care. O Goodrx coleta uma quantidade substancial de dados pessoais – incluindo informações de saúde altamente sensíveis – dos consumidores e dos gerentes de benefícios de farmácia, que são empresas que gerenciam benefícios de medicamentos prescritos, confirmando quando alguém usa um cupom GoodRX para receber uma receita.
Embora o idioma específico tenha mudado ao longo dos anos, a Goodrx fez inúmeras promessas de privacidade aos consumidores. Por exemplo, ao descrever o uso de ferramentas de rastreamento de terceiros, a Goodrx garantiu as pessoas, “(w) nunca fornecem anunciantes ou qualquer outro terceiro qualquer informação que revele uma condição pessoal de saúde ou informações pessoais de saúde”. A Goodrx também prometeu aos usuários que “raramente compartilha” informações pessoais de saúde com terceiros e, quando o faz, “garante que esses terceiros sejam obrigados a cumprir os padrões federais sobre como tratar” dados médicos “vinculados ao seu Nome, informações de contato e outros identificadores pessoais. ” Além disso, a Goodrx afirmou que compartilharia as informações pessoais dos usuários apenas para certas funções administrativas limitadas – por exemplo, “para fornecer serviços diretamente aos usuários”, “para cumprir a lei ou o processo legal”, “agir em emergência para proteger a segurança de alguém “ou” para lidar com solicitações de clientes “.
Para usar uma frase que tivemos que repetir com frequência preocupante nas postagens recentes do blog, foi o que a empresa prometeu, mas a FTC diz o que Goodrx estava fazendo nos bastidores contradizer essas garantias suaves. De acordo com a denúncia, a partir de pelo menos 2017, a Goodrx quebrou suas promessas de privacidade, compartilhando informações sobre os remédios, condições de saúde e informações pessoais dos usuários – como informações de contato e identificadores pessoais – com alguns dos maiores nomes da publicidade digital.
Você vai querer ler a reclamação para obter detalhes sobre como a FTC diz que a Goodrx quebrou suas promessas de privacidade, mas aqui está a versão abreviada. Na construção de seu site e aplicativo móvel, os rastreadores de terceiros da Goodrx Incorporated de empresas como Facebook, Google e Criteo, normalmente na forma de SDKs ou Web Beacons automatizados chamados de rastreamento de pixels. Apesar do que a Goodrx havia dito aos consumidores, os rastreadores enviaram suas informações de volta a essas empresas para marketing e outros propósitos.
Por exemplo, o GoodRX configurou um pixel de rastreamento do Google em seu site e um SDK em seu aplicativo para compartilhar com as informações do Google que incluíam o nome do medicamento para o qual um usuário recebeu um cupom, a condição de saúde que o medicamento trave e o telefone do usuário Número, email, código postal e endereço IP. Além disso, o Google Android e o iOS SDKs compartilharam as coordenadas de latitude e longitude dos usuários e IDs de publicidade exclusivos, que podem ser usados para atingir indivíduos com anúncios.
A FTC diz que a Goodrx configurou um pixel do Facebook em alguns de seus sites para enviar o Facebook o mesmo tipo de informação – e ainda mais. De acordo com a denúncia, a Goodrx conseguiu identificar clientes que tinham contas do Facebook e Instagram e depois usaram suas informações pessoais e de saúde para direcioná -los com anúncios nessa plataforma. Por exemplo, as pessoas que acessavam cupons GoodRX para, digamos, viagra, veriam anúncios para medicamentos para disfunção erétil em seus anúncios de página do Facebook ou Instagram. Da mesma forma, as pessoas que usaram os serviços de telessaúde da Goodrx para obter tratamento para doenças sexualmente transmissíveis receberiam anúncios para serviços de teste de DST. Em alguns casos, o GoodRX divulgou ao Facebook os dados de compra de medicamentos que recebe dos gerentes de benefícios de farmácia e também usou os dados para direcionar anúncios.
Qual foi o impacto do mundo real das práticas do Goodrx? Ao usar a plataforma de segmentação de anúncios do Facebook, as campanhas projetadas pela Goodrx direcionaram os clientes com anúncios com base em suas informações de saúde. Por exemplo, se um cliente tivesse revelado um possível problema de disfunção erétil para a Goodrx, ele poderia ter visto um anúncio no Facebook como a Anexo A na reclamação da FTC.
A denúncia cobra Goodrx por violar a seção 5 da Lei FTC e a regra de notificação de violação da saúde. De acordo com o processo, a Goodrx violou a seção 5 por – entre outras coisas – dizendo aos consumidores que não divulgaria informações pessoais de saúde a anunciantes ou outros terceiros quando a empresa foi em frente e fez exatamente isso. A FTC diz que a promessa da Goodrx de que divulgaria as informações pessoais dos usuários apenas para fins limitados também era falsa ou enganosa porque o Goodrx divulgou os nomes, endereços, endereços de email, números de telefone e outros identificadores pessoais para os anunciantes para fins de marketing. A denúncia também alega que a Goodrx prometeu enganosamente que limitaria como terceiros que receberam informações pessoais de saúde poderiam usar essas informações, mas não o fizeram. Como resultado, empresas como Facebook, Google e Criteo tinham train livremente para fazer o que queriam com as informações para seus próprios fins comerciais, inclusive para publicidade.
Além disso, a FTC alega que a falha da Goodrx em impedir a divulgação não autorizada das informações de saúde era uma prática injusta, assim como o fracasso em obter o consentimento dos consumidores antes de usar e divulgar informações de saúde para fins de publicidade.
A denúncia também cobra de que a Goodrx é um “fornecedor de registros de saúde pessoal“ sujeito ao Regra de notificação de violação de saúde. Os consumidores podem usar os serviços da empresa para acompanhar suas informações de saúde, incluindo detalhes sobre o histórico de medicamentos prescritos. A FTC diz que Goodrx violou a regra ao não notificar os clientes, a FTC e a mídia sobre a divulgação não autorizada da empresa de informações de saúde de identificação pessoalmente no Facebook, Google, Criteo e outras empresas.
Além de uma penalidade civil de US $ 1,5 milhão pela violação da regra, a ordem proposta inclui um remédio observado pela primeira vez em um caso da FTC. Simplificando, o pedido impõe uma proibição simples de compartilhar os dados de saúde do Usuário do GoodRX com terceiros aplicáveis para fins de publicidade. É um novo remédio, mas um que a FTC acredita ser criado para proteger os consumidores no futuro de conduta ilegal semelhante. Além disso, o Goodrx deve obter o consentimento dos usuários antes de compartilhar seus dados de saúde com terceiros aplicáveis para qualquer outro propósito e notificar os consumidores de seu compartilhamento não autorizado com o Facebook e outros.
O que sua empresa pode tomar da ação da aplicação da lei contra a Goodrx?
Diga a verdade sobre como você pretende usar os dados de saúde dos clientes. Seja transparente sobre suas práticas, forneça uma explicação just-in-time e obtenha o consentimento afirmativo expresso dos consumidores antes de coletar, usar ou compartilhar informações de saúde. Mas as promessas não são suficientes. As empresas devem ter um programa para garantir que suas práticas cumpram essas promessas.
Se os dados de saúde sensíveis fizer parte do seu negócio, entenda que você aumentou a aposta para garantir sua segurança e privacidade. Como um caminhão que transporta material inflamável na rodovia, as empresas que coletam dados sensíveis ao consumidor devem exercer cautela particular. Isso inclui manter e implementar políticas apropriadas para proteger essas informações da divulgação não autorizada, coletando apenas dados para os quais você tem uma necessidade comercial legítima, treinando sua equipe para lidar com isso com cuidado quando estiver em sua posse e descartá -lo com segurança quando você não Tenha um bom motivo para mantê -lo.
Defina limites contratuais sobre como terceiros usam informações obtidas da sua empresa. Considere adicionar disposições em contratos com terceiros que abordam como os dados são compartilhados. Pode ser tentador encobrir o que parece ser acordos de “clique”. Mas o curso mais sábio dos negócios é harmonizar todos os acordos sobre os dados do consumidor que você alcançam com outras empresas com as promessas de privacidade que você fez aos consumidores e suas práticas reais. Além disso, tenha os contratos de provedores de serviços em vigor que limitem contratualmente como esses provedores podem usar dados do consumidor.
Monitore o fluxo de dados para todos os terceiros que seu site ou aplicativo pode estar conectado por meio de um SDK ou outra interface. As ferramentas de tecnologia de anúncios podem ser fáceis de usar e integrar e aplicativo ou site – talvez tão simples quanto alternar um botão -, mas também podem gravar as rodas para a divulgação de informações altamente sensíveis. De fato, as empresas por trás dessas ferramentas geralmente lucram com a cobrança o máximo de dados do usuário possível para fins de publicidade direcionada. É de sua responsabilidade garantir que as pessoas entendam de antemão como você pretende usar suas informações pessoais e, mesmo assim, não use ferramentas de tecnologia de anúncios, a menos que você entenda exatamente como elas funcionam e estejam preparadas para configurá -las adequadamente. Dê a eventos do aplicativo nomes anônimos que não transmitem informações confidenciais. E nunca viole suas próprias promessas de privacidade.
Você está coberto pela regra de notificação de violação da saúde? Considere isso um pedido de conformidade. Os FTCs Site de privacidade da saúde é um bom lugar para começar. Consultar Cumprindo a regra de notificação de violação de saúde da FTC para os fundamentos. Próximo na sua lista de leitura: o 2021 Declaração da Comissão sobre violações por aplicativos de saúde e outros dispositivos conectados. Não perca esta frase -chave:
(T) A Comissão lembra que as entidades oferecem serviços cobertos pela regra de que uma “violação” não se limita a intrusões de segurança cibernética ou comportamento nefasto. Incidentes de acesso não autorizado, incluindo o compartilhamento de informações cobertas sem a autorização de um indivíduo, desencadeia obrigações de notificação sob a regra.