A Novant Health confirmou que pode ter divulgado dados confidenciais de 1,3 milhão de pacientes, incluindo endereços de e-mail, números de telefone, informações financeiras – até detalhes de consultas médicas – para o Meta.
Essa admissão pela rede de assistência médica, que abrange 800 hospitais e clínicas na Carolina do Norte, Carolina do Sul e Geórgia, segue uma ação coletiva contra Meta que alega que o Facebook recebeu ilegalmente dados de pacientes de pelo menos 664 sistemas hospitalares ou provedores médicos .
Novant finalmente conseguiu enviar cartas a “alguns de seus pacientes após a possível divulgação de informações de saúde protegidas (PHI) resultantes de uma configuração incorreta de um pixel, uma ferramenta de rastreamento on-line”, em um comunicado divulgado na noite de sexta-feira. Mais tarde, um porta-voz confirmou que 1,3 milhão de pacientes receberam essas cartas.
De acordo com a empresa de saúde, os dados vazados também potencialmente incluídos endereços IP de computador, informações de contato de emergência, contatos de planejamento de cuidados avançados, tipos e datas de consultas, médicos de pacientes e vários tipos de informações em caixas de texto ou selecionadas em menus suspensos e botões por meio de seu portal do paciente.
“As informações não incluem números de CPF ou outras informações financeiras, a menos que tenham sido digitadas em uma caixa de texto livre pelo usuário”, disse o comunicado. “A carta enviada a cada paciente indicará especificamente se tais informações financeiras podem estar envolvidas.”
Novant acrescentou que não está ciente de qualquer “uso impróprio ou tentativa de uso” de informações do paciente por Meta ou qualquer outro terceiro.
No entanto, considerando que Meta, após ser intimada, entregou conversas no Facebook entre uma mãe de Nebraska e sua filha que mais tarde foram usadas para construir um processo criminal contra o adolescente por obter um agora ilegal em seu estado natal, “uso impróprio” soa muito subjetivo.
Após a violação, a gigante da saúde adicionou melhor “estrutura, governança e políticas em torno do uso de pixels e está tomando medidas para garantir que isso não aconteça novamente.”
Aqui está o que aconteceu, de acordo com Novant.
Em maio de 2020, a corporação de saúde lançou uma campanha promocional para que mais pacientes se cadastrem em seu portal de pacientes, ostensivamente para facilitar que os pacientes recebam atendimento virtualmente em um momento em que as visitas presenciais aos médicos eram extremamente limitadas pela pandemia do COVID-19.
Esta campanha envolveu anúncios do Facebook e um pixel de rastreamento — este é um pedaço de código usado para rastrear a atividade dos usuários em um determinado ar para fins de marketing e análise — no site da Novant Health. O pixel deveria rastrear o sucesso da campanha de anúncios do Facebook. Mas isso não saiu exatamente como planejado.
“Nesse caso, o pixel foi configurado incorretamente e pode ter permitido que certas informações privadas fossem transmitidas ao Meta a partir do site da Novant Health e do portal MyChart”, admitiu Novant.
Assim que a Novant percebeu que o pixel estava enviando informações do paciente para a Meta, a empresa de assistência médica disse que “imediatamente” desativou e removeu o código e, em seguida, iniciou uma investigação sobre quais informações haviam sido compartilhado com o gigante da mídia social.
“Com base nessa investigação, a Novant Health determinou em 17 de junho de 2022 que era possível que informações confidenciais ou PHI mig ht foram divulgados à Meta, dependendo da atividade de um usuário no site da Novant Health e no portal MyChart.”
Pouco depois, um paciente hospitalar anônimo entrou com uma ação coletiva contra Meta, alegando O Facebook recebeu dados de pacientes de pelo menos 664 sistemas hospitalares ou provedores médicos em violação da Lei de Portabilidade e Responsabilidade de Seguros de Saúde.
“O Facebook monetiza as informações que recebe por meio do Pixel do Facebook implantado em provedores médicos ‘ propriedades da web usando-o para gerar publicidade direcionada altamente lucrativa dentro e fora do Facebook”, afirma o processo. .
De acordo com os Termos e Condições da Meta sobre dados confidenciais de saúde, suas políticas e filtros bloqueiam dados pessoais e não os usam em seu software de gerenciamento de anúncios.
Ele diz: “Se o mecanismo de filtragem de sinais do Facebook detectar dados das Ferramentas de Negócios que ele categoriza como dados relacionados à saúde potencialmente confidenciais, o mecanismo de filtragem é projetado para impedir que esses dados sejam ingeridos em nossos sistemas de classificação e otimização de anúncios”.
