Mercados estaduais de seguro saúde teriam compartilhado dados sensíveis com empresas de ad tech, diz relatório

Sites governamentais de inscrição em saúde estão sob novo escrutínio por tecnologia de rastreamento

Quase todos os 20 mercados de seguro saúde administrados por governos estaduais nos Estados Unidos compartilharam informações de solicitação de moradores com empresas de publicidade e tecnologia, segundo uma investigação da Bloomberg resumida pela TechCrunch. Entre as empresas citadas estão Google, LinkedIn, Meta e Snap, e a exposição de dados relatada avançou para um território altamente sensível.

O problema central foi o uso de rastreadores baseados em pixels, pequenos trechos de código frequentemente usados para análises, depuração e medição de publicidade. Essas ferramentas são comuns na web. Mas, quando são colocadas em páginas que lidam com informações sensíveis, uma configuração inadequada pode transformá-las em canais de vazamento de dados que os usuários razoavelmente presumiriam privados.

O que a investigação encontrou

Segundo a reportagem citada pela TechCrunch, o intercâmbio de seguro saúde de Nova York compartilhou informações com várias empresas de tecnologia sobre a solicitação de uma pessoa, inclusive se ela forneceu detalhes sobre familiares encarcerados. O intercâmbio de Washington, D.C. perguntava aos usuários sobre sexo e raça, e a Bloomberg descobriu que o pixel do TikTok tentou ocultar alguns valores de raça enquanto deixava outros expostos. Um porta-voz do intercâmbio de D.C. disse que endereços de e-mail, números de telefone e identificadores de país dos residentes também foram compartilhados com o TikTok.

Depois que a Bloomberg levantou dúvidas, Washington, D.C. pausou a implantação de seu rastreador do TikTok, e a Virgínia removeu o rastreador da Meta de seu mercado após descobrir que ele estava compartilhando CEPs. Essas respostas importam porque indicam que pelo menos alguns operadores consideraram o comportamento relatado sério o suficiente para interrompê-lo ou revertê-lo.

A escala também é difícil de ignorar. A TechCrunch observa que mais de sete milhões de americanos compraram seguro saúde para o ano atual por meio de um intercâmbio estadual de seguro saúde. Assim, mesmo um problema de configuração que afete uma parte desses usuários não é pequeno na prática.

Este é um padrão de falha familiar em dados de saúde

O artigo enfatiza que esta não é uma nova categoria de privacidade. Hospitais, empresas de telemedicina e outras companhias de saúde já enfrentaram reação pública e, em alguns casos, exigências de notificação após compartilharem inadvertidamente informações relacionadas à saúde com plataformas de publicidade. O que torna o caso dos mercados especialmente marcante é que os sites envolvidos são sistemas de inscrição administrados pelo governo e ligados a serviços públicos essenciais.

Isso muda o nível de risco. Os consumidores podem aceitar que sites comerciais rastreiem o comportamento de forma agressiva, mesmo que não gostem disso. Eles não esperam que as mesmas normas se apliquem quando estão solicitando cobertura de saúde por meio de um intercâmbio público. As suposições de confiança são diferentes, e também é a sensibilidade dos dados.

Há também uma lição de governança aqui. O problema não é a existência abstrata de um rastreador de pixels. É a incompatibilidade entre ferramentas genéricas de crescimento web e fluxos de trabalho de alta sensibilidade. Ferramentas criadas para otimização de conversão podem se comportar mal quando inseridas em sistemas projetados para saúde, benefícios ou triagem de status legal.

Por que os detalhes importam

A menção a raça, sexo, informações familiares relacionadas à prisão, endereços de e-mail, números de telefone e identificadores de país é significativa porque mostra o quão rapidamente uma implementação de “analytics” pode escorregar para território regulado ou eticamente carregado. Mesmo que uma plataforma não pretenda usar esses campos para segmentação de anúncios, a própria transferência pode criar consequências legais, políticas e de confiança.

Isso também complica a narrativa pública que as empresas de tecnologia costumam contar sobre seus produtos. Os rastreadores de pixels são vendidos como ferramentas simples e úteis para operadores de sites. Mas o ônus operacional de usá-los com segurança é muito maior em sites sensíveis do que esse enquadramento sugere. Se o proprietário do site não entende completamente cada campo de dados que a página pode expor, “instrumentação” simples se torna uma responsabilidade.

O que vem a seguir

A consequência imediata provavelmente será mais auditorias de intercâmbios estaduais e de outros sites de serviço público. A consequência mais ampla pode ser uma postura mais dura sobre se rastreadores de publicidade devem estar perto de sistemas que processam dados de saúde e elegibilidade.

A reportagem não sugere que todos os mercados tenham agido da mesma forma, nem encerra todas as questões legais. Mas ela mostra claramente uma fraqueza estrutural: a pilha padrão de rastreamento da web moderna pode colidir de forma grave com infraestrutura pública sensível.

Para os usuários, a lição é desconfortável. Preencher um pedido de cobertura de saúde pode parecer um ato administrativo privado. Em sites demais, parece também ter se tornado um evento de compartilhamento de dados.

• A Bloomberg, citada pela TechCrunch, encontrou ampla compartilhamento de dados de solicitação dos mercados com empresas de ad tech.
• Os dados relatados incluíam campos sensíveis como raça, sexo e informações de contato.
• Washington, D.C. pausou a implantação de seu rastreador do TikTok, e a Virgínia removeu um rastreador da Meta após as conclusões.
• Mais de sete milhões de americanos compraram a cobertura deste ano por meio de intercâmbios estaduais, observou a TechCrunch.

Este artigo é baseado na reportagem da TechCrunch. Leia o artigo original.