Cerebral ha revelado que compartió la información de salud privada, incluidas las evaluaciones de salud mental, de más de 3,1 millones de pacientes en los Estados Unidos con anunciantes y gigantes de las redes sociales como Facebook, Google y TikTok.
La startup de telesalud, que explotó en popularidad durante la pandemia de COVID-19 después de los bloqueos continuos y un aumento en los servicios de salud virtuales solo en línea, reveló el lapso de seguridad en una presentación ante el gobierno federal que compartió la información personal y de salud de los pacientes que usaron la aplicación para buscar terapia u otros servicios de salud mental.
Cerebral dijo que recopiló y compartió nombres, números de teléfono, direcciones de correo electrónico, fechas de nacimiento, direcciones IP y otros datos demográficos, así como datos recopilados de la autoevaluación de salud mental en línea de Cerebral, que también pueden haber incluido los servicios que el paciente seleccionó. , respuestas de evaluación y otra información de salud asociada.
La divulgación completa sigue:
Si una persona creó una cuenta de Cerebral, la información divulgada puede haber incluido nombre, número de teléfono, dirección de correo electrónico, fecha de nacimiento, dirección IP, número de identificación de cliente de Cerebral y otra información demográfica o. Si, además de crear una cuenta de Cerebral, una persona también completó cualquier parte de la autoevaluación de salud mental en línea de Cerebral, la información divulgada también puede haber incluido el servicio que la persona seleccionó, las respuestas de la evaluación y cierta información de salud asociada.
Si, además de crear una cuenta de Cerebral y completar la autoevaluación de salud mental en línea de Cerebral, una persona también compró un plan de suscripción de Cerebral, la información divulgada también puede haber incluido el tipo de plan de suscripción, fechas de citas y otra información de reserva, tratamiento y otra información clínica, información de beneficios de seguro médico/farmacia (por ejemplo, nombre del plan y números de grupo/miembro) y monto del copago del seguro.
Cerebral estaba compartiendo datos de pacientes con gigantes tecnológicos en tiempo real a través de rastreadores y otros códigos de recopilación de datos que la startup incrustó en sus aplicaciones. Las empresas tecnológicas y los anunciantes, como Google, Facebook y TikTok, permiten a los desarrolladores incluir fragmentos de su código personalizado, lo que les permite compartir información sobre la actividad de los usuarios de sus aplicaciones con los gigantes tecnológicos, a menudo bajo la apariencia de análisis pero también para publicidad
Pero los usuarios a menudo no tienen idea de que están optando por este seguimiento simplemente aceptando los términos de uso y las políticas de privacidad de la aplicación, que muchas personas no leen.
Cerebral dijo en su aviso a los clientes, enterrado en la parte inferior de su sitio web, que la recopilación y el intercambio de datos se han realizado desde octubre de 2019, cuando se fundó la startup. La startup dijo que eliminó el código de seguimiento de sus aplicaciones. Si bien no se menciona, los gigantes tecnológicos no tienen la obligación de eliminar los datos que Cerebral compartió con ellos.
Debido a cómo Cerebral maneja los datos confidenciales de los pacientes, está cubierto por la ley de privacidad de la salud de EE. UU. conocida como HIPAA. Según una lista de fallas de seguridad relacionadas con la salud que está investigando el Departamento de Salud y Servicios Humanos de EE. UU., que supervisa y hace cumplir la ley HIPAA, la falla de datos de Cerebral es la segunda mayor violación de datos de salud en 2023.
La noticia del lapso de datos de Cerebral de un año de duración llega apenas unas semanas después de que la Comisión Federal de Comercio de EE. UU. impusiera a GoodRx una multa de 1,5 millones de dólares y le ordenara que dejara de compartir los datos de salud de los pacientes con los anunciantes, y se ordenó a BetterHelp que pagara a los clientes 8,5 millones de dólares por el mal manejo de los datos de los usuarios. datos.
Si se preguntaba por qué las nuevas empresas de hoy deberían aterrorizarlo, Cerebral es solo el último ejemplo.