Cerebral admite compartir datos de pacientes con Meta, TikTok y Google

Cerebral, una startup de telesalud que se especializa en salud mental, dice que sin darse cuenta compartió la información confidencial de más de 3,1 millones de pacientes con Google, Meta, TikTok y otros anunciantes externos, como se informó anteriormente por TechCrunch. En una noticia publicado en el sitio web de la compañía, Cerebral admite haber expuesto una larga lista de datos de pacientes con las herramientas de seguimiento que ha estado usando desde octubre de 2019.

La información afectada por el descuido incluye todo, desde nombres de pacientes, números de teléfono, direcciones de correo electrónico, fechas de nacimiento, direcciones IP, información del seguro, fechas de citas, tratamiento y más. Incluso puede haber expuesto las respuestas que los clientes completaron como parte de la autoevaluación de salud mental en el sitio web y la aplicación de la compañía, que los pacientes pueden usar para programar citas de terapia y recibir medicamentos recetados.

Según Cerebral, esta información salió a la luz mediante el uso de píxeles de seguimiento, o los fragmentos de código que Meta, TikTok y Google permiten a los desarrolladores integrar en sus aplicaciones y sitios web. El metapíxel, por ejemplo, puede recopilar datos sobre la actividad de un usuario en un sitio web o aplicación después de hacer clic en un anuncio en la plataforma, e incluso realiza un seguimiento de la información que un usuario completa en un formulario en línea. Si bien esto permite a las empresas, como Cerebral, medir cómo los usuarios interactúan con sus anuncios en varias plataformas y realizar un seguimiento de los pasos que toman después, también les da a Meta, TikTok y Google acceso a esta información, que luego pueden usar para obtener información sobre su propios usuarios.

Como señaló Cerebral, la información expuesta podría “variar” de un paciente a otro dependiendo de varios factores, que incluyen “qué acciones tomaron las personas en las plataformas de Cerebral, la naturaleza de los servicios proporcionados por los subcontratistas, la configuración de las tecnologías de seguimiento” y más. . La compañía dice que notificará a los usuarios afectados y agrega que “no importa cómo interactuó un individuo con la plataforma de Cerebral”, no expuso números de seguro social, números de tarjetas de crédito o información de cuentas bancarias.

Después de encontrar inicialmente el agujero de seguridad en enero, Cerebral dice que ha “deshabilitado, reconfigurado y/o eliminado” cualquiera de los píxeles de seguimiento en la plataforma para evitar futuras exposiciones, y ha “mejorado” sus “prácticas de seguridad de la información y procesos de investigación de tecnología”. .”

Cerebral está obligado por ley a revelar posibles violaciones de HIPAA, también conocida como la Ley de Portabilidad y Responsabilidad de Seguros Médicos. Esto impide que los proveedores de atención médica divulguen información del paciente a cualquier otra persona que no sea el paciente, o cualquier persona que el paciente haya dado su consentimiento para recibir información sobre su salud. La violación está siendo investigada actualmente por la Oficina de Derechos Civiles de EE. UU. y sigue a incidentes similares que involucran herramientas de seguimiento de píxeles.

El año pasado, una investigación por El marcado descubrió que algunos de los principales hospitales del país enviaban información confidencial de los pacientes a Meta a través del píxel de la empresa. Esto provocó dos demandas colectivas, que alegan que Meta y los hospitales en cuestión violaron las leyes de privacidad médica.

Meses después, El marcado también descubrió que Meta podía obtener información financiera sobre los usuarios a través de las herramientas de seguimiento integradas en los servicios de impuestos populares, como H&R Block, TaxAct y TaxSlayer. Mientras tanto, otras compañías médicas en línea, como BetterHelp y GoodRx, recibieron fuertes multas de la FTC por compartir datos confidenciales de pacientes con terceros a principios de este año.

Además de enfrentar un escrutinio sobre si ha violado o no las regulaciones de HIPAA, Cerebral enfrenta una investigación por parte del Departamento de Justicia y la Administración de Control de Drogas por recetar sustancias controladas, como Adderall y Xanax. Desde entonces ha detenido la prescripción de estos medicamentos.