Millones de estadounidenses han utilizado GoodRx, una aplicación de descuento en medicamentos, para buscar precios más bajos en recetas como antidepresivos, medicamentos para el VIH y tratamientos para enfermedades de transmisión sexual en sus farmacias locales. Pero los reguladores de EE. UU. dicen que los cupones y la conveniencia de la aplicación tuvieron un alto costo para los usuarios: divulgación indebida de su información de salud íntima.
El miércoles, la Comisión Federal de Comercio acusó al desarrollador de la aplicación, GoodRx Holdings, de compartir datos personales confidenciales sobre los medicamentos recetados y las enfermedades de los usuarios con empresas como Facebook y Google sin autorización.
Las prácticas de intercambio de información de la compañía, dijo la agencia, violaron una regla federal que requiere aplicaciones de salud y rastreadores de actividad física que recopilan detalles de salud personal para notificar a los consumidores sobre violaciones de datos.
Si bien GoodRx acordó resolver el caso, dijo que no estaba de acuerdo con las acusaciones de la agencia y no admitió haber actuado mal.
La represión de GoodRx llega en un momento de mayor preocupación por la filtración de información de salud confidencial, particularmente en estados que han prohibido o limitado severamente los abortos. Y subraya los esfuerzos cada vez más intensos de la FTC para impulsar los servicios de salud digitales para reforzar las protecciones de seguridad y privacidad de sus usuarios.
El caso de la FTC contra GoodRx podría revertir las prácticas generalizadas de creación de perfiles de usuarios y orientación de anuncios en la industria de la salud digital multimillonaria, y advierte a las empresas que los reguladores tienen la intención de frenar el comercio casi sin restricciones de los detalles de salud de los consumidores.
En las últimas dos décadas, las empresas emergentes y gigantes tecnológicas han introducido una gama de dispositivos de fitness, relojes inteligentes y aplicaciones de fertilidad. Pero a diferencia de los resultados de los análisis de sangre de una persona y otra información del paciente recopilada por médicos y hospitales, que está protegida por una ley federal, la Ley de Portabilidad y Responsabilidad del Seguro Médico, conocida como HIPAA, existen pocas protecciones legales que cubran específicamente los detalles personales de salud, como los nombres de medicamentos o enfermedades, que decenas de millones de consumidores ingresan a las aplicaciones o buscan en línea.
En 2019, GoodRx subió la información de contacto de los usuarios que habían comprado ciertos medicamentos, como pastillas para la presión arterial, a Facebook para que la aplicación de descuento de medicamentos pudiera identificar los perfiles de redes sociales de sus usuarios, dijo la FTC en una demanda legal. GoodRx luego empleó la información personal para dirigirse a los usuarios con anuncios de medicamentos en Facebook e Instagram, dijo la agencia.
Esas divulgaciones de datos, dijo la agencia, burlaron las promesas públicas que la compañía había hecho de “nunca proporcionar a los anunciantes ninguna información que revele una condición de salud personal”.
Si un juez aprueba la orden de conciliación federal propuesta, a GoodRx se le prohibiría permanentemente compartir la información de salud de los usuarios con fines publicitarios. Para resolver el caso, la compañía también acordó pagar una multa civil de $1.5 millones por violar la regla de notificación de infracciones de salud.
La FTC está empleando nuevos enfoques y recursos legales en el caso GoodRx como parte de su esfuerzo por reforzar las salvaguardias para la información personal recopilada por aplicaciones, rastreadores y sitios de salud.
Esta es la primera vez que la agencia inicia una acción de ejecución utilizando su Regla de notificación de incumplimiento de la salud. Esa regla requiere aplicaciones de salud y dispositivos conectados que recopilan o usan información de salud personal, como la frecuencia cardíaca o el historial de menstruación de un individuo, para notificar a los usuarios sobre infracciones como ataques cibernéticos o el intercambio no autorizado de sus datos de salud. Esta es también la primera vez que una orden de consentimiento propuesta por la FTC busca prohibir que una empresa comparta los datos de salud de los usuarios con fines publicitarios.
“Las empresas de salud digital y las aplicaciones móviles no deberían sacar provecho de la información de salud extremadamente sensible y de identificación personal de los consumidores”, dijo en un comunicado Samuel Levine, director de la oficina de protección al consumidor de la FTC. “La FTC notifica que utilizará toda su autoridad legal para proteger los datos confidenciales de los consumidores estadounidenses contra el uso indebido y la explotación ilegal”.
GoodRx, con sede en Santa Mónica, California, dijo en un comunicado que la privacidad del usuario era una de sus prioridades más importantes. La compañía agregó que el acuerdo con la agencia se centró en problemas que GoodRx resolvió hace tres años, antes de que comenzara la investigación de la FTC.
“Aunque usamos tecnologías de proveedores para hacer publicidad de una manera que creemos que cumplía con todas las reglamentaciones aplicables y que sigue siendo una práctica común entre muchos sitios web de salud, consumidores y gobiernos, estamos orgullosos de haber tomado medidas para ser un líder de la industria en prácticas de privacidad. ”, decía la declaración de GoodRx.
Esta es una historia en desarrollo. Vuelva a consultar las actualizaciones.