Cerebral pagará acordo de 7 milhões de dólares em caso de vazamento de dados pelo Pixel do Facebook
17 de Abril de 2024

A Comissão Federal de Comércio dos EUA (FTC na sigla em inglês) chegou a um acordo com a empresa de telemedicina Cerebral, na qual a empresa pagará US$ 7.000.000 por alegações de mau manuseio dos dados de saúde sensíveis das pessoas.

A Cerebral é uma empresa de telemedicina remota que oferece terapia online e gerenciamento de medicamentos para várias condições de saúde mental, incluindo ansiedade, depressão, TDAH, Transtorno Bipolar e abuso de substâncias.

Em março de 2023, a empresa enviou notificações de violação de dados para 3,2 milhões de pessoas que interagiram com seus sites, aplicativos e serviços, informando que suas informações foram expostas devido ao uso de tracking pixels em sua plataforma.

A reclamação da FTC acusa a Cerebral e seu ex-CEO, Kyle Robertson, de divulgar informações pessoais de saúde dos consumidores para terceiros para publicidade e não cumprir com suas políticas de cancelamento.

"A reclamação alega que a Cerebral forneceu informações sensíveis de quase 3,2 milhões de consumidores a terceiros, como LinkedIn, Snapchat e TikTok, usando ou integrando ferramentas de rastreamento em seu site ou aplicativos", diz o anúncio.

Essas ferramentas de rastreamento coletam e enviam dados para terceiros para que eles possam fornecer publicidade, análises de dados ou outros serviços para o proprietário dos sites ou aplicativos.

O anúncio da FTC também lista algumas práticas supostamente inadequadas seguidas pela Cerebral que resultaram em diferentes níveis de exposição de dados de saúde sensíveis dos consumidores, incluindo a falha em revogar o acesso de ex-funcionários aos registros dos pacientes da Cerebral e a falha em isolar provedores e restringir seu acesso apenas aos registros de seus pacientes.

Além disso, a agência diz que a empresa usou um método inseguro de single sign-on para acessar o portal do paciente, e a falha da Cerebral em restringir o acesso dos funcionários apenas aos dados necessários para a realização de suas tarefas de trabalho.

A ordem proposta, pendente de aprovação judicial, inclui as seguintes disposições:

Reembolso de US$ 5.100.000 para clientes impactados por práticas enganosas de cancelamento.
Multa civil de US$ 10M, limitada a US$ 2.000.000 devido à incapacidade da Cerebral de pagar o valor total. Proibição permanente de compartilhar dados de saúde com terceiros para fins de marketing e publicidade. Exigir consentimento dos consumidores antes de divulgar seus dados pessoais e de saúde a terceiros. Proibir a Cerebral de deturpar suas práticas de segurança e privacidade de dados.
Implementar um programa abrangente de segurança e privacidade de dados. Publicar um aviso em seu site detalhando a reclamação e as ações necessárias. Implementar um cronograma de retenção de dados, deletar dados de consumidores desnecessários a menos que seja consentido sua retenção, e fornecer um mecanismo claro de solicitação de exclusão de dados. Proibir deturpações das políticas de cancelamento e simplificar o processo de cancelamento para os consumidores.

O ex-CEO Robertson, que é acusado de ordenar a remoção de um botão de "cancelamento fácil" do site da Cerebral, não concordou com um acordo, portanto, o tribunal decidirá sobre suas acusações.

Publicidade

Já viu o Cyberpunk Guide?

Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers. Saiba mais...