Pixelizado: a grande colheita (contínua) de seus registros médicos

RESUMO DA HISTÓRIA

Até agora, a maioria das pessoas está ciente de que, se “curtir” uma determinada página no Facebook, isso fornece ao gigante da mídia social informações sobre elas. "Curta" uma página sobre uma doença específica, por exemplo, e os profissionais de marketing podem começar a segmentá-lo com produtos e serviços relacionados.

No entanto, o Facebook também pode coletar dados confidenciais de saúde de maneiras muito mais insidiosas, incluindo rastreá-lo quando estiver em sites de hospitais e até mesmo quando estiver em um portal de informações de saúde pessoal protegido por senha, como o MyChart.¹

Ele faz isso por meio de pixels, que podem ser instalados sem o seu conhecimento nos sites que você visita. Eles podem coletar informações sobre você enquanto você navega na web, mesmo que você não tenha uma conta no Facebook.

Meta Pixel encontrado em sites de hospitais

Em particular, o Meta Pixel é um código JavaScript que os desenvolvedores podem adicionar ao seu site para rastrear a atividade do visitante.² De acordo com Meta:³

“Ele funciona carregando uma pequena biblioteca de funções que você pode usar sempre que um visitante do site realizar uma ação (chamada de evento) que você deseja acompanhar (chamada de conversão). As conversões rastreadas aparecem no Gerenciador de Anúncios, onde podem ser usadas para medir a eficácia de seus anúncios, para definir públicos personalizados para segmentação de anúncios, para campanhas de anúncios dinâmicos e para analisar a eficácia dos funis de conversão do seu site.”

Até os hospitais estão optando pelos rastreadores de dados, como evidenciado por uma investigação do The Markup, que testou sites dos 100 principais hospitais americanos da Newsweek. O Meta Pixel do Facebook foi encontrado em 33 dos sites, enviando informações do Facebook vinculadas a um endereço IP, que identifica computadores individuais e pode ser rastreado até um indivíduo ou família.

O pixel rastreia não apenas o endereço IP do computador que está sendo usado, mas também o que os médicos são pesquisados ​​e os termos de pesquisa adicionados às caixas de pesquisa ou selecionados nos menus suspensos. O Markup relatou:⁴

“No site do University Hospitals Cleveland Medical Center, por exemplo, clicar no botão “Agendar Online” na página de um médico fez com que o Meta Pixel enviasse ao Facebook o texto do botão, o nome do médico e o termo de pesquisa que usamos para encontrar ela: “interrupção da gravidez”.

Clicar no botão “Agendar online agora” para um médico no site do Froedtert Hospital, em Wisconsin, fez com que o Meta Pixel enviasse ao Facebook o texto do botão, o nome do médico e a condição que selecionamos em um menu suspenso: “Alzheimer's .””

Meta Pixel Instalado em Portais de Pacientes

A assistência médica está cada vez mais digital, tornando a privacidade de portais de pacientes como o MyChart cada vez mais importante. Em 2020, cerca de 6 em cada 10 americanos tiveram acesso a um portal de pacientes online – um aumento de 17% desde 2014 – e cerca de 40% acessaram seus registros online pelo menos uma vez.⁵

No geral, cerca de um terço daqueles que usaram portais de pacientes baixaram seus registros médicos on-line em 2020, o que é quase o dobro do que o fez em 2017.

No entanto, os dados que você está acessando ao usar portais de pacientes protegidos por senha também podem ser enviados para o Facebook por meio de pixels. A Markup encontrou o Meta Pixel em portais de pacientes de sete sistemas de saúde, incluindo Edward-Elmhurst Health, FastMed, Novant Health e Community Health Network.

Os dados coletados incluíam nomes de medicamentos em uso, descrições de reações alérgicas e consultas médicas futuras.⁶ A Novant Health, que removeu o pixel após ser contatada pelo The Markup, declarou: “Agradecemos que você tenha nos contatado e compartilhado essas informações. Nosso posicionamento de meta pixel é guiado por um fornecedor terceirizado e foi removido enquanto continuamos a investigar esse assunto.”⁷

A Markup agora está colaborando com o Mozilla Rally, usando um complemento de navegador e crowdsourcing para enviar dados sobre o Meta Pixel em sites visitados pelos participantes do estudo. O objetivo do estudo, que vai até 13 de julho de 2022 e foi apelidado de Facebook Pixel Hunt, é mapear a rede de rastreamento de pixels do Facebook para entender melhor os tipos de informações coletadas na web.⁸

'Provavelmente uma violação HIPPA'

A Lei federal de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA) torna ilegal que hospitais compartilhem dados de saúde de identificação pessoal com o Facebook e outros, a menos que um indivíduo tenha consentido com isso. Como resultado, é possível que o Meta Pixel do Facebook em sites de hospitais seja ilegal.

David Holtzman, ex-consultor sênior de privacidade do Escritório de Direitos Civis do Departamento de Saúde e Serviços Humanos dos EUA, disse ao The Markup: “Estou profundamente preocupado com o que [os hospitais] estão fazendo com a captura de seus dados e o compartilhamento de isto. Não posso dizer que [compartilhar esses dados] é com certeza uma violação da HIPAA. É muito provável que seja uma violação da HIPAA.”⁹

Em 15 de junho de 2022, pelo menos sete dos hospitais contatados pelo The Markup haviam removido pixels de suas páginas de agendamento de consultas, enquanto pelo menos cinco dos sistemas de saúde com Meta Pixels em seus portais de pacientes haviam removido os pixels.

No entanto, para ter uma ideia do escopo dos dados divulgados, o The Markup descobriu que mais de 26 milhões de admissões de pacientes e consultas ambulatoriais foram compartilhadas pelos 33 hospitais que usam Meta Pixels, e isso é provavelmente conservador.

“Nossa investigação foi limitada a pouco mais de 100 hospitais; o compartilhamento de dados provavelmente afeta muito mais pacientes e instituições do que identificamos”, relatou o The Markup.¹⁰ Na verdade, sempre que você navega na web, é provável que encontre um Meta Pixel, pois eles são encontrados em mais de 30% dos sites mais populares online.¹¹

Os endereços IP são listados como um dos identificadores que podem fazer os dados contarem como informações de saúde protegidas pela HIPPA. Além disso, estar conectado ao Facebook ao visitar um site de hospital com um Meta Pixel pode permitir que ainda mais mecanismos de rastreamento, como cookies de terceiros, sejam anexados, para que os dados de pixel possam ser vinculados às contas do Facebook. De acordo com a marcação:¹²

“Em vários casos descobrimos – usando contas fictícias criadas por nossos repórteres e dados de voluntários do Mozilla Rally – que o Meta Pixel facilitou ainda mais a identificação de pacientes.

Quando o The Markup clicou no botão “Finish Booking” na página de um médico do Scripps Memorial Hospital, o pixel enviou ao Facebook não apenas o nome do médico e seu campo de medicina, mas também o nome, sobrenome, endereço de e-mail, número de telefone, CEP código e cidade de residência que inserimos no formulário de reserva.”

Pacientes ficariam 'chocados'

É bem possível que o que o Facebook está fazendo com dados confidenciais de saúde do paciente seja ilegal, mas mesmo que não seja, a maioria das pessoas ficaria chocada ao descobrir os tipos de dados que o Facebook está coletando on-line sobre eles, quando estão usando o que se supõe sejam sites de saúde privados e protegidos e portais de pacientes.

Falando com o The Markup, Glenn Cohen, diretor do corpo docente do Petrie-Flom Center for Health Law Policy, Biotechnology, and Bioethics da Harvard Law School, explicou:¹³

“Quase qualquer paciente ficaria chocado ao descobrir que o Facebook está recebendo uma maneira fácil de associar suas prescrições ao seu nome. Mesmo que talvez haja algo na arquitetura legal que permita que isso seja legal, está totalmente fora das expectativas do que os pacientes pensam que as leis de privacidade da saúde estão fazendo por eles.”

Embora o Facebook afirme que usa sistemas de aprendizado de máquina para detectar dados confidenciais de saúde e impedir que sejam coletados, centenas de sites de centros de gravidez em crise foram encontrados compartilhando informações de visitantes com o gigante da mídia social, incluindo informações como se o visitante foi procurando testes de gravidez, contraceptivos de emergência ou aborto.

Os dados podem ser usados ​​para direcionar anúncios direcionados ou mesmo, na pior das hipóteses, potencialmente em processos judiciais.

Albert Fox Cahn, fundador e diretor executivo do Surveillance Technology Oversight Project, disse ao The Markup: “Acho que isso será um alerta para milhões de americanos sobre o perigo que esse rastreamento os coloca quando as leis mudam e as pessoas pode armar esses sistemas de maneiras que antes pareciam impossíveis”.¹⁴

O Google também está rastreando dados de saúde

Em 2019, o Google fez uma parceria com o Centro Medial da Universidade de Chicago para coletar registros médicos e usar inteligência artificial para prever eventos de mídia. Os registros deveriam ser anônimos, mas incluíam carimbos de data e notas médicas, que o processo alegava que o Google poderia combinar com dados de geolocalização para identificar pacientes.¹⁵

O processo alegava que “as informações médicas pessoais obtidas pelo Google são as informações mais confidenciais e íntimas da vida de um indivíduo, e sua divulgação não autorizada é muito mais prejudicial à privacidade de um indivíduo” do que os dados normalmente expostos em hacks, como números de cartão de crédito.¹⁶

Quatro procuradores-gerais também processaram o Google por suas práticas enganosas na coleta de dados de localização do público. Os processos separados alegam que o Google continuou a rastrear os dados de localização de seus usuários mesmo depois de terem desativado o rastreamento de localização.

Karl A. Racine, procurador-geral do Distrito de Columbia, iniciou uma investigação sobre o Google depois que uma reportagem de 2018 da AP News revelou que o Google estava rastreando os movimentos das pessoas, mesmo quando elas optaram por não fazer esse rastreamento.¹⁷ As alegações enganosas do Google aos usuários sobre as proteções de privacidade disponíveis nas configurações de suas contas estão em andamento desde pelo menos 2014, segundo a investigação de Racine.¹⁸

Além de ocultar o rastreamento de localização em configurações que os usuários não esperariam, como Atividade na Web e de aplicativos - que é ativada por padrão - o Google é acusado de coletar e armazenar informações de localização por meio de serviços do Google, dados de Wi-Fi e parceiros de marketing, novamente após o dispositivo ou as configurações da conta foram alteradas para interromper o rastreamento de localização.¹⁹

Além do Distrito de Columbia, os procuradores gerais do Texas, Washington e Indiana também entraram com ações judiciais contra o Google por suas práticas enganosas de coleta de dados. Os processos alegam que o Google também pressionou os usuários a usar o rastreamento de localização com mais frequência porque alegou – falsamente – que seus produtos não funcionariam corretamente sem ele.²⁰

Os dados de localização, por sua vez, podem ser usados ​​para revelar detalhes íntimos sobre sua vida, desde sua academia, visitas a serviços de saúde, lojas e restaurantes que você frequenta até onde vai à igreja. Ele também pode ser usado para fornecer anúncios personalizados em outdoors digitais à medida que você passa, e o Google rastreia e fornece a seus clientes informações sobre como os anúncios on-line funcionam para levar as pessoas às lojas físicas.²¹

Proteja sua privacidade online

Depois de reconhecer que está sendo rastreado on-line, é sensato optar por não participar o máximo possível. Robert Epstein, Ph.D., psicólogo pesquisador sênior do Instituto Americano de Pesquisa e Tecnologia Comportamental (AIBRT), lembra às pessoas que serviços online gratuitos, como Facebook e Google, não são realmente gratuitos, pois você paga por eles com sua liberdade.²² Para recuperar um pouco de sua privacidade online, tanto para você quanto para seus filhos, ele recomenda:²³

1. Livre-se do Gmail. Se você tiver uma conta do Gmail, tente um serviço de e-mail que não seja do Google, como ProtonMail, um serviço de e-mail criptografado com sede na Suíça.
2. Desinstale o Google Chrome e use Brave em vez disso, disponível para todos os computadores e dispositivos móveis. Ele bloqueia anúncios e protege sua privacidade.
3. Mude os motores de busca. Experimente o mecanismo de pesquisa Brave.
4. Evite Android. Os telefones do Google e os telefones que usam Android rastreiam praticamente tudo o que você faz e não protegem sua privacidade. É possível remover o Google do seu celular obtendo um telefone Android que não tenha um sistema operacional do Google, mas você precisará encontrar um profissional de TI qualificado que possa reformatar o disco rígido do seu celular.
5. Evite dispositivos Google Home. Se você tiver alto-falantes inteligentes Google Home ou o aplicativo de smartphone Google Assistant, há uma chance de as pessoas ouvirem suas solicitações e até ouvirem quando você não esperaria.
6. Limpe o cache e os cookies. Isso ajudará a se livrar de códigos de computador invasivos que rastreiam o que você faz online.
7. Use um proxy ou VPN (Rede Privada Virtual). Esse serviço cria um buffer entre você e a internet, “enganando muitas das empresas de vigilância para pensar que você não é realmente você”.