El nombre de la compañía puede ser GoodRX, pero es poco probable que "bueno" sea el adjetivo que los consumidores usarían para describir la forma en que la compañía violó sus promesas de privacidad al revelar su información de salud personal a compañías como Facebook y Google sin autorización. ¿Cómo logró Goodrx? Mediante el uso de píxeles automáticos de seguimiento de "plug and play" y kits de desarrollo de software (SDK) de Facebook, Google y otras compañías diseñadas para obtener una cantidad sustancial de datos de consumidores y cambiarlos con fines publicitarios. En el caso de GoodRX, esto incluía información personal y de salud de los consumidores.
Para resolver la primera acción de la FTC alegando una violación del Regla de notificación de violación de la saludGoodrx pagará una multa civil de $ 1.5 millones. Pero hay otra disposición de la primera de su tipo en el asentamiento propuesto que seguramente generará conversaciones más frías de agua entre los desarrolladores de aplicaciones, los profesionales de la privacidad y otros en la floreciente industria de la tecnología de la salud. Siga leyendo para más detalles.
GoodRX ejecuta una plataforma de salud digital donde los consumidores pueden comparar los precios de los medicamentos recetados y obtener cupones de medicamentos recetados. También ofrece un servicio de suscripción mensual pagado, GoodRX Gold, que afirma ofrecer mayores descuentos y visitas de telesalud virtuales a través de un producto llamado GoodRX Care. GoodRX recopila una cantidad sustancial de datos personales, incluida la información de salud altamente confidencial, de los consumidores y de los gerentes de beneficios de farmacia, que son empresas que administran los beneficios de medicamentos recetados, lo que confirma cuándo alguien usa un cupón GoodRX para obtener una receta.
Aunque el lenguaje específico ha cambiado a lo largo de los años, GoodRX ha hecho numerosas promesas de privacidad a los consumidores. Por ejemplo, al describir su uso de herramientas de seguimiento de terceros, Goodrx aseguró a las personas, "(w) e nunca proporcionar a los anunciantes ni a ningún otro tercero ninguna información que revele una condición de salud personal o información de salud personal". Goodrx también prometió a los usuarios que "rara vez comparte" información de salud personal con terceros, y cuando lo hace, "asegura que estos terceros estén obligados a cumplir con los estándares federales sobre cómo tratar los 'datos médicos' que están vinculados con su nombre, información de contacto y otros identificadores personales". Además, GoodRX declaró que compartiría la información personal de los usuarios solo para ciertas funciones administrativas limitadas, por ejemplo, "proporcionar servicios directamente a los usuarios", "cumplir con la ley o el proceso legal", "actuar en caso de emergencia para proteger la seguridad de alguien" o "manejar las solicitudes de los clientes".
Para usar una frase, hemos tenido que repetir con frecuencia preocupante en las recientes publicaciones de blog, eso es lo que prometió la compañía, pero la FTC dice lo que Goodrx estaba haciendo detrás de escena contradecía esas calmantes garantías. Según la queja, a partir de al menos 2017, GoodRX rompió sus promesas de privacidad al compartir información sobre los medicamentos recetados de los usuarios, las condiciones de salud y la información personal, como la información de contacto e identificadores personales, con algunos de los nombres más importantes en la publicidad digital.
Querrá leer la queja para obtener detalles sobre cómo la FTC dice que Goodrx rompió sus promesas de privacidad, pero aquí está la versión abreviada. Al construir su sitio web y aplicación móvil, GoodRX incorporó rastreadores de terceros de compañías como Facebook, Google y Criteo, típicamente en forma de SDK o balizas web automatizadas llamadas Píxeles de seguimiento. A pesar de lo que Goodrx le había dicho a los consumidores, los rastreadores enviaron su información a esas empresas para marketing y otros fines.
Por ejemplo, Goodrx configuró un píxel de seguimiento de Google en su sitio web y un SDK en su aplicación para compartir con Google información que incluía el nombre del medicamento para el que un usuario había recibido un cupón, la condición de salud que el medicamento trata y el número de teléfono del usuario, el correo electrónico, el código postal y la dirección IP. Además, Google Android e iOS SDKS compartieron las coordenadas de latitud y longitud de los usuarios y ID de publicidad únicas, que pueden usarse para atacar a personas con anuncios.
La FTC dice que Goodrx configuró un píxel de Facebook en algunos de sus sitios para enviar a Facebook el mismo tipo de información, y aún más. Según la queja, GoodRX pudo identificar a los clientes que tenían cuentas de Facebook e Instagram y luego utilizaron su información personal y de salud para atacarlos con anuncios en esa plataforma. Por ejemplo, las personas que accedieron a los cupones GoodRX para, por ejemplo, viagra, verían anuncios para medicamentos para la disfunción eréctil en sus anuncios de página de Facebook o Instagram. Del mismo modo, las personas que habían usado los servicios de telesalud de GoodRX para obtener tratamiento para enfermedades de transmisión sexual obtendrían anuncios para servicios de pruebas de ETS. En algunos casos, GoodRX reveló a Facebook los datos de compra de medicamentos que recibe de los gerentes de beneficios de farmacia, y también utilizó los datos para dirigir anuncios.
¿Cuál fue el impacto del mundo real de las prácticas de Goodrx? Al usar la plataforma de orientación de anuncios de Facebook, GoodRX diseñó campañas que se dirigieron a los clientes con anuncios basados en su información de salud. Por ejemplo, si un cliente hubiera revelado un posible problema de disfunción eréctil a GoodRX, podría haber visto un anuncio en Facebook como el Anexo A en la queja de la FTC.
La queja cobra a GoodRX por violar la Sección 5 de la Ley FTC y la regla de notificación de violación de la salud. Según la demanda, GoodRX violó la Sección 5 por, entre otras cosas, diciéndole a los consumidores que no divulgaría información de salud personal a los anunciantes u otros terceros cuando la compañía siguió adelante y que hizo exactamente eso. La FTC dice que la promesa de Goodrx de que divulgaría la información personal de los usuarios solo para fines limitados también era falso o engañoso porque Goodrx reveló los nombres, direcciones, direcciones de correo electrónico, números de teléfono y otros identificadores personales para los anunciantes para fines de marketing. La queja también alega que Goodrx prometió engañosamente que limitaría cómo los terceros que recibieron información de salud personal podrían usar esa información, pero no lo hicieron. Como resultado, compañías como Facebook, Google y Criteo tenían rienda suelta para hacer lo que querían con la información para sus propios fines comerciales, incluso para la publicidad.
Además, la FTC alega que la falla de Goodrx para evitar la divulgación no autorizada de la información de salud fue una práctica injusta, al igual que su incapacidad para obtener el consentimiento de los consumidores antes de usar y divulgar información de salud para fines publicitarios.
La queja también acusa que GoodRX es un "proveedor de registros de salud personal" sujeto a Regla de notificación de violación de la salud. Los consumidores pueden usar los servicios de la compañía para realizar un seguimiento de su información de salud, incluidos los detalles sobre su historial de medicamentos recetados. La FTC dice que GoodRX violó la regla al no notificar a los clientes, la FTC y los medios de comunicación sobre la divulgación no autorizada de la compañía de información de salud de identificación personal a Facebook, Google, Criteo y otras compañías.
Además de una multa civil de $ 1.5 millones por la violación de la regla, la orden propuesta incluye un remedio visto por primera vez en un caso de la FTC. En pocas palabras, el pedido impone una prohibición fija en Goodrx compartiendo los datos de salud del usuario con terceros aplicables para fines publicitarios. Es un remedio novedoso, pero uno cree que la FTC está diseñado para proteger a los consumidores en el futuro de una conducta ilegal similar. Además, GoodRX debe obtener el consentimiento de los usuarios antes de compartir sus datos de salud con terceros aplicables para cualquier otro propósito, y debe notificar a los consumidores sobre su intercambio no autorizado con Facebook y otros.
¿Qué puede tomar su empresa de la acción de aplicación de la ley contra GoodRX?
Diga la verdad sobre cómo pretende usar los datos de salud de los clientes. Sea transparente sobre sus prácticas, proporcione una explicación adecuada de justo a tiempo y obtenga el consentimiento afirmativo expreso de los consumidores antes de recopilar, usar o compartir información de salud. Pero las promesas no son suficientes. Las empresas deben tener un programa para garantizar que sus prácticas estén a la altura de esas promesas.
Si los datos de salud confidenciales son parte de su negocio, comprenda que ha aumentado la apuesta para garantizar su seguridad y privacidad. Como un material inflamable de camión en la carretera, las empresas que recopilan datos del consumidor confidenciales deben tener una precaución particular. Eso incluye mantener e implementar políticas apropiadas para proteger esa información de la divulgación no autorizada, recopilar solo datos para los cuales tiene una necesidad comercial legítima, capacitar a su personal para manejarla con cuidado cuando está en su poder y deshacerse de él de forma segura cuando ya no tiene una buena razón para mantenerlo.
Establezca límites contractuales sobre cómo los terceros usan información obtenida de su empresa. Considere agregar disposiciones en los contratos con terceros que tocen cómo se comparten los datos. Puede ser tentador pasar por alto lo que parecen acuerdos de "hacer clic". Pero el curso más sabio de los negocios es armonizar todos los acuerdos sobre los datos del consumidor que alcanza con otras compañías con las promesas de privacidad que ha hecho a los consumidores y sus prácticas reales. Además, tenga acuerdos de proveedores de servicios que limiten contractualmente la forma en que esos proveedores pueden usar los datos del consumidor.
Monitoree el flujo de datos a todos los terceros a los que se puede conectar su sitio o aplicación a través de un SDK u otra interfaz. Las herramientas de tecnología publicitaria pueden ser fáciles de usar e integrarse en y aplicaciones o sitios web, tal vez tan simples como alternar un botón, pero también pueden engrasar las ruedas para la divulgación de información altamente sensible. De hecho, las empresas detrás de esas herramientas a menudo se benefician de recopilar tantos datos de los usuarios como sea posible para el propósito de la publicidad dirigida. Es su responsabilidad asegurarse de que las personas comprendan por adelantado cómo tiene la intención de usar su información personal, e incluso entonces, no use herramientas de tecnología publicitaria a menos que comprenda exactamente cómo funcionan y esté preparado para configurarlas adecuadamente. Dé a los eventos de la aplicación nombres anónimos que no transmiten información confidencial. Y nunca violes tus propias promesas de privacidad.
¿Está cubierto por la regla de notificación de violación de salud? Considere esto como un llamado de Clarion para el cumplimiento. La FTC’s Sitio de privacidad de la salud es un buen lugar para comenzar. Consultar Cumplir con la regla de notificación de incumplimiento de salud de FTC para los fundamentos. Siguiente en su lista de lectura: el 2021 Declaración de la Comisión de Incumplimientos por aplicaciones de salud y otros dispositivos conectados. No te pierdas esta oración clave:
(T) La comisión recuerda a las entidades que ofrecen servicios cubiertos por la regla de que una "violación" no se limita a las intrusiones de ciberseguridad o al comportamiento nefasto. Los incidentes de acceso no autorizado, incluido el intercambio de información cubierta sin autorización de un individuo, desencadena obligaciones de notificación bajo la regla.
