A Comissão Federal de Comércio dos EUA (FTC na sigla em inglês) chegou a um acordo com a empresa de telemedicina Cerebral, na qual a empresa pagará US$ 7.000.000 por alegações de mau manuseio dos dados de saúde sensíveis das pessoas.
A Cerebral é uma empresa de telemedicina remota que oferece terapia online e gerenciamento de medicamentos para várias condições de saúde mental, incluindo ansiedade, depressão, TDAH, Transtorno Bipolar e abuso de substâncias.
Em março de 2023, a empresa enviou notificações de violação de dados para 3,2 milhões de pessoas que interagiram com seus sites, aplicativos e serviços, informando que suas informações foram expostas devido ao uso de tracking pixels em sua plataforma.
A reclamação da FTC acusa a Cerebral e seu ex-CEO, Kyle Robertson, de divulgar informações pessoais de saúde dos consumidores para terceiros para publicidade e não cumprir com suas políticas de cancelamento.
"A reclamação alega que a Cerebral forneceu informações sensíveis de quase 3,2 milhões de consumidores a terceiros, como LinkedIn, Snapchat e TikTok, usando ou integrando ferramentas de rastreamento em seu site ou aplicativos", diz o anúncio.
Essas ferramentas de rastreamento coletam e enviam dados para terceiros para que eles possam fornecer publicidade, análises de dados ou outros serviços para o proprietário dos sites ou aplicativos.
O anúncio da FTC também lista algumas práticas supostamente inadequadas seguidas pela Cerebral que resultaram em diferentes níveis de exposição de dados de saúde sensíveis dos consumidores, incluindo a falha em revogar o acesso de ex-funcionários aos registros dos pacientes da Cerebral e a falha em isolar provedores e restringir seu acesso apenas aos registros de seus pacientes.
Além disso, a agência diz que a empresa usou um método inseguro de single sign-on para acessar o portal do paciente, e a falha da Cerebral em restringir o acesso dos funcionários apenas aos dados necessários para a realização de suas tarefas de trabalho.
A ordem proposta, pendente de aprovação judicial, inclui as seguintes disposições:
Reembolso de US$ 5.100.000 para clientes impactados por práticas enganosas de cancelamento.
Multa civil de US$ 10M, limitada a US$ 2.000.000 devido à incapacidade da Cerebral de pagar o valor total. Proibição permanente de compartilhar dados de saúde com terceiros para fins de marketing e publicidade. Exigir consentimento dos consumidores antes de divulgar seus dados pessoais e de saúde a terceiros. Proibir a Cerebral de deturpar suas práticas de segurança e privacidade de dados.
Implementar um programa abrangente de segurança e privacidade de dados. Publicar um aviso em seu site detalhando a reclamação e as ações necessárias. Implementar um cronograma de retenção de dados, deletar dados de consumidores desnecessários a menos que seja consentido sua retenção, e fornecer um mecanismo claro de solicitação de exclusão de dados. Proibir deturpações das políticas de cancelamento e simplificar o processo de cancelamento para os consumidores.
O ex-CEO Robertson, que é acusado de ordenar a remoção de um botão de "cancelamento fácil" do site da Cerebral, não concordou com um acordo, portanto, o tribunal decidirá sobre suas acusações.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...