¿Qué se necesitará para que las empresas honren las promesas que hacen sobre la privacidad de los datos de salud de los consumidores? ¿Múltiples acciones de aplicación de la ley FTC en el último año? ¿Dos casos más contra empresas que compartieron información de salud con plataformas publicitarias de terceros sin el consentimiento de las personas? Aquí están los mensajes fuertes y claros que las compañías deben escuchar: la FTC no volverá a la lucha para proteger la privacidad de los datos de salud confidenciales de los consumidores.
El proveedor de atención médica en línea Cerebral ofrece servicios de suscripción de salud mental y gestión del dolor a los consumidores. Cuando las personas se inscriben, Cerebral recopila una tonelada de información privada, tanto los datos habituales de contacto y pago como también antecedentes médicos y de prescripción, detalles del seguro de salud, creencias religiosas y políticas y orientación sexual. ¿Los consumidores no desconfiarían de revelar tanta información confidencial? Por supuesto, por eso Cerebral prometió usar "la última tecnología de seguridad de la información para proteger sus datos, que no se comparten sin su consentimiento, y solo se utilizará internamente para mejorar la atención clínica".
Asegurando a los consumidores que su información recibiría un tratamiento "seguro, seguro y discreto", la compañía prometió "en el cerebro, los pacientes son lo primero". Pero según la FTC, los pacientes llegaron lejos de la lista con la publicidad aparentemente tomando el primer lugar.
La FTC cobró que Cerebral entregó los datos de salud confidenciales de cerca de 3.2 millones de consumidores a plataformas de terceros como LinkedIn, Snapchat y Tiktok para fines publicitarios y análisis de datos. ¿Cómo lo hizo la empresa? Mediante el uso de herramientas de seguimiento en su sitio web o integradas en sus aplicaciones que enviaron los nombres, direcciones, números de teléfono, historiales médicos y de prescripción de los usuarios a las plataformas. Según la FTC, Cerebral hizo esto en secreto y sin revelar completamente a los consumidores lo que estaba haciendo detrás de escena.
La FTC también alega que el cerebral no pudo tener protecciones adecuadas para los datos que recopiló y participó en una serie de prácticas de seguridad de Slipshod. Por ejemplo, según la queja, Cerebral no pudo bloquear el acceso de los ex empleados a los registros médicos confidenciales de los consumidores, envió postales promocionales (sí, postales) a más de 6,000 consumidores que parecían revelar su diagnóstico y tratamiento, utilizaron los métodos de inicio de sesión único y acceso para su portal que permite que los usuarios vean información confidencial de salud sobre otros usuarios y colocaron los registros médicos de los consumidores en el riesgo de los empleados y los contratores para usar un portal único para el portal de los usuarios.
La FTC dice que las prácticas ilegales de cerebro no terminaron allí. La demanda alega que la compañía también violó la Ley de confianza de los compradores en línea (Rosca) al jugar rápido y suelto, o más exactamente, lento y suelto, con su promesa de "cancelar en cualquier momento". De hecho, Cerebral impuso una carrera de obstáculos de varios pasos y, a menudo, los consumidores de obstáculos de varios días tuvieron que superar para cancelar el servicio. Según la denuncia:
Enviar un correo electrónico a una demanda de cancelación en realidad no canceló una suscripción ni dejó de cargos recurrentes. En cambio, Cerebral sometió sistemáticamente a muchos clientes a un proceso de "salvar" en el que su personal los contactó con preguntas e intentó disuadirlos de cancelar. Hasta que terminó este proceso, y el personal de Cerebral "confirmó" las demandas de cancelación de los consumidores, las suscripciones de los clientes permanecieron activas y los clientes permanecieron sujetos a cargos adicionales.
En otras palabras, Cerebral se apresuró a cargar, pero lento para cancelar, incluso frente a la clara intención de los consumidores de detener el servicio. Las personas transmitieron su insatisfacción a la compañía sobre sus políticas de cancelación, y algunos establecieron una conexión perspicaz de por qué consideraban que las prácticas de cerebro son particularmente dañinas. Como dijo un consumidor: "Me resulta terrible que una aplicación/compañía de atención de salud mental que sirva a aquellos con TDAH lo haría saltar a través de aros para cancelar así, es solo lo que las personas con TDAH generalmente encuentran desafiante para manejar y parece depredador". ¿Qué sucedió cuando el cerebral finalmente puso un botón de cancelación más fácil en su lugar? La compañía lo eliminó dos semanas después después de ver aumentar las cancelaciones. La queja sugiere una posible motivación para la conducta de la compañía: "Entre octubre de 2019 y mayo de 2022, Cerebral recaudó más de $ 8 millones de los consumidores después de recibir sus demandas de cancelación".
Archivado por el Departamento de Justicia en nombre de la FTC, la denuncia de seis cargos alega violaciones de la Ley de la FTC y Rosca. Dado que algunas de las prácticas cerebrales relacionadas con el tratamiento de los trastornos por uso de sustancias, la demanda también alega violaciones de la Ley de Prevención de Fraude de Recuperación de Adicciones de Opioides (OARFPA).
El acuerdo con cerebral incluye un juicio de $ 5.1 millones, que se utilizará para proporcionar reembolsos a los consumidores, así como una multa civil de $ 10 millones, que se suspenderá después de un pago de multa de $ 2 millones debido a la incapacidad de la compañía para pagar el monto total. La orden propuesta también impone disposiciones por orden judicial difíciles que cambiarán la forma en que la compañía hace negocios en el futuro. Algunas disposiciones clave: 1) Una prohibición permanente del uso del cerebro o divulgar la información personal y de salud de los consumidores a terceros para la mayoría de los fines de marketing o publicidad, 2) un requisito general de que la Compañía obtenga el consentimiento de los consumidores antes de divulgar esa información para cualquier otro propósito, 3) una prohibición de las trepressentaciones sobre cualquier opción negativa o práctica de cancelación y 4) un requisito de que la compañía sea una forma fácil de cancelar una manera fácil de cancelar una forma fácil de cancelar una forma fácil de cancelar una forma fácil de cancelar.
La acción de la FTC contra el ex CEO de Cerebral, Kyle Robertson, está pendiente en un tribunal federal en Florida.
Esa es solo una acción que la FTC tomó en los últimos días para proteger la privacidad de la salud de los consumidores. En una demanda separada, la agencia alega que Monument, Inc., un servicio de tratamiento de adicción al alcohol con sede en Nueva York, compartió datos de salud de los consumidores con plataformas de publicidad de terceros, incluidas Meta y Google, sin consentimiento del consumidor.
Para las tarifas mensuales de membresía que van desde $ 14.99 a $ 249, Monument ofrece a los usuarios grupos de apoyo en línea, terapia en línea y acceso a médicos que pueden recetar medicamentos para ayudar a tratar la adicción al alcohol. Cuando los consumidores se inscribieron en el servicio, Monument recopiló sus nombres, direcciones de correo electrónico, números de teléfono e identificaciones emitidas por el gobierno, así como información sobre su consumo de alcohol e historial médico.
A lo largo de su sitio web, Monument prometió proteger la privacidad de los consumidores. Por ejemplo, según la compañía, "su información se mantiene confidencial y no se comparte con ningún tercero" y "cualquier información que ingrese con el monumento es 100% confidencial, seguro y compatible con HIPAA".
Eso es lo que Monument prometió, pero lo que los consumidores no sabían fue que la compañía reveló su información personal, incluida su información de salud, a plataformas publicitarias de terceros para fines publicitarios a través de tecnologías de seguimiento conocidas como píxeles e interfaces de programación de aplicaciones (API) en su sitio web.
Monument usó esos rastreadores secretos para notar "eventos" (por ejemplo, cuando una persona visitó el sitio web de la compañía) y dio esos eventos títulos descriptivos como "Pagado: Terapia semanal" o "Pagado: Gestión Med": títulos que la FTC dice que revelaron detalles sobre sus visitas. Según la queja, Monument compartió esos "eventos" con plataformas de publicidad junto con las direcciones de correo electrónico parciales de los consumidores, las direcciones IP y otros identificadores. Hablando prácticamente, eso significaba que Meta podía igualar la información del evento de Monument con la cuenta de Facebook de un individuo. Monument, a su vez, podría usar la plataforma de publicidad de Meta para apuntar a esa persona con anuncios para los servicios de la compañía.
Querrá leer la queja para obtener detalles sobre cómo la FTC dice que el monumento violó la Ley de la FTC y OARFPA. Pero el resumen de la miniatura es que el monumento supuestamente participó en prácticas de privacidad injustas, reveló injustamente la información de salud de los consumidores a terceros para fines publicitarios sin el consentimiento expreso afirmativo de los consumidores, y no pudo poner límites sobre cómo esos terceros usaron esa información. Además, la FTC dice que el monumento afirmó falsamente que cumple con HIPAA a pesar de que un asesor independiente le dice a la compañía que se quedó corto en múltiples categorías.
Además de la prohibición de compartir datos con terceros para la publicidad, el pedido propuesto prohíbe que el monumento tergiversa sus prácticas de recopilación y divulgación de datos. La multa civil de $ 2.5 millones impuesta bajo OARFPA se suspenderá debido a la incapacidad de la compañía para pagar. Monument también debe identificar todos los datos del usuario que compartió con terceros e instruirles que eliminen esos datos.
¿Qué deberían tomar otras compañías de estas dos acciones de aplicación de la ley?
Las representaciones de privacidad o seguridad son reclamos de productos que debe corroborar. "En la compañía XYZ tenemos cuidado de proteger la privacidad y la seguridad de su información personal". Lo más probable es que su empresa dice algo similar en su sitio web o en su aplicación. Noticias Flash: Eso no es hinchazón. Es una afirmación afirmativa que debe apoyar con pruebas sólidas.
Las empresas en el sector de la salud deben hacer que la privacidad y la seguridad de los datos sean parte del ADN corporativo. Si su empresa recopila información de salud confidencial o hace otro uso, ha aumentado su apuesta de cumplimiento. Las protecciones de privacidad y seguridad no deberían ser posteriores al final al final. Pertenecen al frente y al centro en sus operaciones comerciales, incluso en el diseño fundamental de su sitio web y aplicaciones. Dados los remedios adicionales, el Congreso proporcionó violaciones de OARFPA, que se aplica con toda su fuerza a las empresas que comercializan productos o servicios anunciados para tratar el trastorno por uso de sustancias.
FTC y HHS: se unieron al HIPAA. El Departamento de Salud y Servicios Humanos hace cumplir la Ley de Portabilidad y Responsabilidad del Seguro de Salud y la privacidad de HIPAA, la seguridad de HIPAA y las reglas de notificación de incumplimiento de HIPAA. La FTC ha presentado múltiples casos alegando que las empresas usaron palabras o sellos para afirmar falsamente que están cumpliendo con HIPAA. ¿Lea la publicación de FTC-HHS, recopilar, usar o compartir información de salud del consumidor? Busque HIPAA, la Ley FTC y la regla de notificación de violación de la salud, para obtener más información.
Detente en nombre de la ley. Cuando los consumidores dicen "¡Cancelar!" Para una empresa, lo dicen en serio, y la ley los respalda. ¿Cuándo fue la última vez que caminaste por el propio proceso de cancelación de tu empresa? Si necesita que los consumidores completen un decatlón de árbol de decisión, lo está haciendo mal. Quejas sobre procedimientos complicados, solicitudes de cancelación ignoradas, esperas largas en el teléfono, correos electrónicos que no se responden, cargos no autorizados o intentos interminables de "guardar" deberían avisarle a un problema importante. Rosca requiere que las empresas cubiertas tengan "mecanismos simples" para que los consumidores puedan dejar de cargos recurrentes. ¿Qué significa "simple" en este contexto? En pocas palabras, significa "simple". Es así de simple.
