Mercados de seguro de saúde dos EUA compartilharam dados de cidadania e raça com gigantes de ad tech

 (techcrunch.com)
1 pontos por GN⁺ 3 시간 전 | 1 comentários | Compartilhar no WhatsApp
  • De acordo com uma nova investigação da Bloomberg, quase todos os 20 mercados estaduais de seguro de saúde operados por governos dos EUA compartilharam informações de inscrição de moradores com gigantes de publicidade e tecnologia como Google, LinkedIn, Meta e Snap
  • Rastreadores em tamanho de pixel foram colocados em sites sensíveis de solicitação de assistência médica, ampliando os riscos à privacidade ao coletar informações dos visitantes
  • O mercado de seguro de saúde de New York compartilhou com várias empresas de tecnologia informações da inscrição, incluindo se o candidato havia fornecido dados sobre familiares encarcerados
  • O mercado de seguro de saúde de Washington, D.C. perguntava sobre gênero e raça dos candidatos, e o rastreador de pixel do TikTok ocultava apenas parte das informações raciais, enquanto endereço de e-mail, número de telefone e identificador nacional também eram compartilhados com o TikTok
  • Washington, D.C. interrompeu a implantação do rastreador do TikTok, e a Virginia removeu o rastreador da Meta do site depois que foi confirmado que o CEP dos moradores estava sendo compartilhado com a Meta

O problema dos pixels de rastreamento nos mercados estaduais de seguro de saúde

  • De acordo com uma nova investigação da Bloomberg, quase todos os 20 mercados estaduais de seguro de saúde operados por governos dos EUA compartilharam informações de inscrição de moradores com gigantes de publicidade e tecnologia como Google, LinkedIn, Meta e Snap
  • O ponto central do problema está nos rastreadores em tamanho de pixel que coletam informações dos visitantes do site
    • Esses rastreadores normalmente são usados para análise da web e identificação de bugs, mas, quando configurados incorretamente e colocados em sites com dados médicos sensíveis, podem levar à coleta de informações pessoais
    • É uma ferramenta comum na publicidade digital, mas, em contextos sensíveis como informações de inscrição em planos de saúde, o risco à privacidade aumenta
  • O mercado de seguro de saúde de New York compartilhou com várias empresas de tecnologia informações da inscrição, incluindo se o candidato havia fornecido dados sobre familiares encarcerados
  • O mercado de seguro de saúde de Washington, D.C. também perguntava sobre gênero e raça dos candidatos, e o rastreador de pixel do TikTok tentou ocultar parte das informações
    • Segundo a Bloomberg, alguns dados raciais foram mascarados, mas outros não
    • Um porta-voz do mercado de Washington, D.C. afirmou que endereço de e-mail, número de telefone e identificador nacional dos moradores também foram compartilhados com o TikTok
  • Washington, D.C. interrompeu a implantação do rastreador do TikTok, e a Virginia removeu o rastreador da Meta do site depois que a Bloomberg confirmou que o CEP dos moradores estava sendo compartilhado com a Meta

Riscos recorrentes de compartilhamento de dados médicos

  • Esse tipo de problema já havia ocorrido antes em startups de telemedicina e grandes empresas de saúde
  • Várias empresas e grandes grupos do setor de saúde tiveram de informar milhões de pessoas de que suas informações de saúde foram coletadas sem intenção e compartilhadas com gigantes da tecnologia
  • A receita dessas gigantes de tecnologia vem do uso de dados de consumidores para publicidade
  • A investigação da Bloomberg mostra que, quando rastreadores de pixel são instalados em sites do governo, eles podem afetar um grupo populacional muito mais amplo
  • A Bloomberg afirma que mais de 7 milhões de pessoas nos EUA compraram seguro de saúde neste ano por meio de mercados estaduais

Leituras relacionadas

1 comentários

 
GN⁺ 3 시간 전
Comentários do Hacker News

  • Usei o site do mercado de seguro de saúde do estado do Colorado quando fui tirar alguns meses de descanso entre empregos, e o processo inteiro pareceu uma invasão pesada
    Preenchi um monte de informações para receber uma cotação, e eu esperava que esses dados pudessem ser compartilhados para calcular a cotação, mas no fim nem recebi cotação nenhuma
    Parecia que as informações não tinham circulado entre sistemas, mas sido repassadas diretamente para várias pessoas; em vez de obter um resultado útil no site, só me disseram que um consultor entraria em contato, e por semanas recebi ligações e mensagens, dia e noite, de centenas de consultores
    Perguntei a um deles como fazer aquilo parar, e me responderam que era impossível por causa do shutdown do governo

    • É possível que você tenha caído em um site privado de coleta de leads que compra o primeiro resultado patrocinado do Google e se apresenta como se fosse o site oficial do Colorado
      https://i.imgur.com/d2fZlTc.png
    • É exatamente isso que acontece quando o governo federal dos EUA nem sequer tenta fazer algo como o GDPR

  • O “compartilhamento” na prática foi o uso do pixel da Meta e de uma ferramenta de rastreamento equivalente do TikTok, e provavelmente a ideia do marketplace de seguro de saúde era levar as pessoas a contratar seguro por meio de anúncios de retargeting ou marketing com públicos semelhantes
    Visto de forma restrita, isso pode até parecer razoável, mas no instante em que se usa um pixel, os dados são automaticamente “compartilhados” com Meta, ByteDance etc., e eles podem usá-los para todo tipo de finalidade maliciosa que quiserem

    • Mesmo que a bolsa estadual de seguro de saúde estivesse tentando aumentar a adesão a planos subsidiados, ainda assim dá para considerar inadequado fazer qualquer tipo de segmentação ou marketing
      Posso estar errado, mas é difícil imaginar que a missão prevista pelo ACA inclua fazer segmentação ou marketing de si mesma
      O próprio fato de haver uma suposição implícita de que isso seria algo normal já é parte do problema
    • Isso é realmente perverso
      Assim que sabem quem você é, podem cruzar isso com bancos de dados do setor de seguros e inferir várias condições de saúde e outras informações
      Se souberem se uma mulher está recebendo cuidados pré-natais em dia, um profissional de marketing consegue prever a data do parto com precisão de cerca de uma semana e com confiança relativamente alta

  • Tanto enviar os dados quanto recebê-los deveria ser ilegal
    Tem que queimar as duas pontas dessa ponte

    • Todos os dados coletados deveriam exigir consentimento explícito tanto para a coleta inicial quanto para o compartilhamento com terceiros
      Deveria haver explicação sobre por que os dados estão sendo coletados e quais funcionalidades ficam impossíveis sem eles, e barrar um recurso porque a pessoa não consentiu com dados que não são absolutamente necessários para seu funcionamento deveria ser violação da lei
    • O direito de mentir sobre raça em qualquer contexto deveria ser explicitamente protegido
      É muito mais fácil corromper um conjunto de dados do que se esconder dele
    • Isso é um pixel de rastreamento, então a estrutura é feita para enganar o próprio usuário e levá-lo a enviar os dados
    • Eu não ficaria surpreso se ambos já fossem ilegais
      Só que hoje em dia a correlação entre “X é ilegal” e “grandes organizações não fazem X” já não é mais como antes
    • É bem provável que empresas de tecnologia e contratadas ofensivas estejam usando esses dados para fortalecer as atividades do departamento de guerra
      Dá para imaginar por que alguém iria querer dados de raça e cidadania, ah… então é isso…

  • As empresas de tecnologia mais ricas do mundo e os bilionários enriqueceram violando a privacidade das pessoas e vendendo publicidade invasiva

    • Mais do que “vender publicidade invasiva”, o ponto é que elas manipulam algoritmos de conteúdo para favorecer sua própria visão e segmentam indivíduos para obter o máximo efeito
    • Se você olhar para os 15 mais ricos do mundo, 11 deles não enriqueceram desse jeito
    • Por exemplo, também ficaram de fora o explícito capitalismo de compadrio da Rússia pós-1991 e os realmente ricos que há muito tempo investem repetidamente em empresas que dão lucro
      Casos como Charlie Munger e Warren Buffett, que não ficaram acertando timing de mercado, mas investindo no longo prazo
    • Eles ficaram ricos porque as pessoas foram ingênuas a ponto de achar que serviços gratuitos não tinham custo
    • Mas então, quem é que clica nesses anúncios?

  • Em serviços públicos isso é ainda pior, especialmente porque a confiança já é frágil
    Solicitar seguro de saúde não deveria significar também se preocupar em entrar no grafo de rastreamento

    • É tão difícil assim entender que alguém possa querer limitar a cobertura de seguro de saúde a residentes legais?
      Ou que não é absurdo o governo conseguir rastrear metadados sobre se um serviço está sendo operado dessa forma, qualquer que seja a medida adotada?

  • Para quem não conhece bem o sistema jurídico dos EUA, isso é difícil de entender
    Se isso é rastreamento da Meta/Facebook por pixel, por que não seria possível processá-los?
    Ou, se esse rastreamento é legal neste caso específico, por que exatamente é legal?

  • Pesquisa da Bloomberg: https://www.bloomberg.com/features/2026-healthcare-advertisi...

  • Queria que alguém dos EUA explicasse. Nesse contexto, o que exatamente significa raça e como isso é determinado?

    • É autodeclarado de acordo com as categorias raciais reconhecidas pelo censo dos EUA
      Há branco, negro, asiático, indígena americano/nativo do Alasca, nativo do Havaí ou ilhéu do Pacífico, outras categorias ou duas ou mais categorias
      A identidade hispânica/latina é uma caixa separada, por motivos difíceis de explicar sem revisitar décadas de decisões burocráticas
    • Em todas as etapas do sistema educacional dos EUA, pelo menos por enquanto, ensina-se que raça é um constructo social
      O conceito de genética populacional só aparece bem mais tarde nas aulas de ciências naturais
    • Essa é uma confusão comum quando europeus falam sobre raça nos EUA
      No contexto americano, raça se refere a origem, lugar de nascimento e herança, e nos formulários do governo aparece algo como “qual é a sua raça? branco, negro, hispânico etc.”
      Isso é fundamentalmente diferente, já na intenção, do uso europeu da palavra para espécie, como no francês ‘la race humaine’
      Essa nuance importa nas discussões. Quando conversei com suíços sobre diferenças raciais, eles acharam que eu estava falando de propaganda nazista
      Todos nós pertencemos à espécie humana, e dentro da espécie humana há várias raças, e todos são iguais
    • Há vários fatores de risco e alguns valores de exames que diferem entre grupos raciais
      Por exemplo, nos meus resultados há pelo menos dois itens com valores de referência diferentes para pacientes “African-American” e “non-AA”
      https://en.wikipedia.org/wiki/Sickle_cell_disease#United_Sta...
    • Eu diria que é algo que a própria pessoa informa

  • Ainda me surpreende que muitos desenvolvedores web ainda não entendam que, no momento em que incluem JavaScript de terceiros em seu site, esse terceiro passa a ter acesso total a tudo no site, inclusive aos dados do cliente enviados por ele

  • “Se a pessoa forneceu detalhes sobre ter um familiar encarcerado”
    Isso nem parece um sinal tão forte assim, mais um detalhe de nível de metadados, eu diria