A Blue Shield of California, uma das maiores seguradoras de saúde dos Estados Unidos, está notificando milhões de clientes sobre um vazamento de dados sensíveis que ocorreu entre 2021 e o início de 2024. A falha envolveu o uso incorreto do Google Analytics em seus sites e permitiu que informações pessoais e médicas confidenciais fossem compartilhadas com o Google — sem consentimento dos usuários.
A ação atende a exigências do Departamento de Saúde dos EUA, e afeta aproximadamente 4,7 milhões de pessoas.
O que aconteceu?
De acordo com a empresa, o Google Analytics foi utilizado para monitorar o comportamento dos usuários em suas plataformas online. No entanto, uma configuração incorreta do rastreador permitiu que dados confidenciais fossem capturados, indo muito além do que seria aceitável.
Entre as informações potencialmente acessadas estão:
-
Tipo e número de planos de seguro;
-
CEP, sexo e tamanho da família;
-
Datas de atendimento;
-
Números de contas e dados financeiros;
-
Informações que podem ser ligadas diretamente a diagnósticos e tratamentos de saúde.
A Blue Shield admitiu que o Google pode ter usado esses dados para fins publicitários, direcionando anúncios com base nas interações dos usuários com o site da seguradora. A companhia não deixou claro se solicitou a exclusão dos dados coletados indevidamente.
Casos recorrentes e falta de transparência
Este episódio não é isolado. Nos últimos anos, vazamentos desse tipo têm se tornado comuns no setor de saúde dos EUA, onde o uso de ferramentas de rastreamento web é prática recorrente — mesmo quando envolve dados altamente sensíveis.
Em 2023, por exemplo, a gigante Kaiser Permanente notificou mais de 13 milhões de pessoas após descobrir que informações de pacientes estavam sendo compartilhadas com Google, Microsoft e X (ex-Twitter). A startup de saúde mental Cerebral também foi alvo de investigações por enviar dados confidenciais a plataformas de anúncios.
E agora?
A Blue Shield afirma que está revisando suas práticas de coleta de dados e que reforçará a proteção de informações sensíveis em seus sistemas. No entanto, o episódio levanta questionamentos importantes sobre a segurança e o uso de tecnologias de rastreamento em sites de saúde, além da necessidade de maior transparência no relacionamento entre seguradoras e grandes empresas de tecnologia.
