100.000 dólares de castigo: La FTC apunta a los desarrolladores de aplicaciones de salud
Compartir
Comentario
100.000 dólares de castigo: La FTC apunta a los desarrolladores de aplicaciones de salud
7 de junio de 2023
Índice
Desde aplicaciones de seguimiento de la fertilidad y el ciclo menstrual hasta aplicaciones de prescripción de fármacos y otras aplicaciones sanitarias. aplicaciones sanitariasparece que ahora no sólo hay un aumento de las violaciones de la privacidad de los consumidores descubiertas entre ellas, sino también la atención de la Comisión Federal de Comercio (FTC). Con las sanciones económicas propuestas recientemente y una aplicación más estricta de los requisitos de notificación a consumidores y medios de comunicación, los propietarios de aplicaciones sin duda están prestando atención.
El mes pasado, la FTC propuso una llamativa multa civil de 100.000 dólares y otras medidas coercitivass contra el propietario de una aplicación de seguimiento de la ovulación con más de un millón de descargas en Android Play Store. Según la FTC, la aplicación conocida como "Premom" engañaba a los usuarios compartiendo su información personal identificable (IPI) y sus datos personales de salud con terceros sin consentimiento previo.
Se alega que la compañía no cumplió con la FTC de la FTC (HBNR) DE LA FTC. La norma incluye mandatos (en su mayoría inactivos hasta hace poco) de que los propietarios de aplicaciones notifiquen a los consumidores y, en algunos casos, a los medios de comunicación, así como a la propia FTC, las violaciones de datos que afecten a su empresa o a sus proveedores de servicios.
La última acción coercitiva de la FTC se produce en un momento en el que la agencia pretende dotar de más fuerza a su HBNR, anunciando un votación unánime para actualizar el lenguaje de la norma en torno a las violaciones y el consentimiento del usuario.
La votación se produjo en medio de la preocupación por la existencia de divulgaciones no autorizadas de datos sanitarios personales a través de los SDK y sus fragmentos de código ocultos que forman parte de la cadena de suministro de software utilizado para ayudar a crear aplicaciones móviles, que en última instancia comparten datos de forma encubierta con organizaciones no autorizadas (anunciantes) con sede potencial tanto dentro como fuera de Estados Unidos.
Una historia similar apareció en Bleeping Computer hace unos meses sobre una aplicación de terapia de salud mental llamada BetterHelp. El acuerdo y la multa de la FTC ascendieron a la friolera de ¡7,8 millones de dólares!
Ir más allá de la HIPAA en algunos casos
La FTC parece estar señalando su intención de utilizar sus poderes coercitivos para tomar medidas mucho más consistentes y con definiciones de mayor alcance de lo que constituye una violación de datos sanitarios. Como SC Media informó junto con la noticia de la mencionada actualización del lenguaje HBNR, la FTC pretende utilizar un enfoque aún más amplio (y obvio) para determinar qué datos son realmente muy reveladores cuando se trata de la información de salud de un consumidor.
Por ejemplo, el simple hecho de facilitar el nombre y los datos de contacto a una aplicación sanitaria de salud que, al final, es violada, puede traducirse en que los anunciantes o los actores de amenazas se enteren de que alguien buscó o recibió un tipo específico de tratamiento.
Con esta definición significativamente más amplia de datos relevantes, los desarrolladores de aplicaciones sanitarias se encuentran en un escenario en el que incluso una amenaza o infracción inocua puede desencadenar la necesidad de enviar notificaciones. enviadas a a miles o millones de usuarios, por no mencionar al Gobierno y a los miembros de la prensa. SC Media señaló que la FTC pretende incluir definiciones revisadas para la aplicación de la norma a las aplicaciones sanitarias que no se abordan en la HIPAA y la definición de información sanitaria identificable como PHR. Junto con esta actualización del lenguaje, la agencia también espera aclarar mejor la definición de infracción.
La aplicación de Apple que difama la salud entra en liza
Atendiendo a la inquietud del público, Apple acaba de lanzar un nuevo anuncio titulado "The Waiting Room" (La sala de espera), en el que una voz en off revela los problemas de salud privados de cada paciente, para consternación de la sala llena de gente. El anuncio se diseñó para destacar el compromiso de Apple con la privacidad de los datos en el iPhone. La campaña es un buen recordatorio de que el sector de la telefonía móvil en su conjunto debe mejorar la protección proactiva de los datos de los consumidores.
Una llamada de atención a los desarrolladores de aplicaciones móviles
Las recientes acciones de la FTC pretenden ayudar a los desarrolladores de aplicaciones bienintencionados a evitar prácticas comerciales desleales. Las acciones gubernamentales están diseñadas precisamente para eso: aumentar la seguridad y garantizar la privacidad en el mercado. Pero cuando un desarrollador de apps resulta ser, en primer lugar, una organización criminal, surgen toda una serie de preocupaciones adicionales e incluso más dramáticas.
Una normativa más estricta sobre la privacidad de los datos de los consumidores significa que los desarrolladores de aplicaciones móviles tendrán que proteger sus aplicaciones y API para controlar más estrictamente el uso de los datos de los consumidores con el fin de evitar investigaciones de cumplimiento, sanciones civiles, problemas de reputación corporativa y mucho más. También tendrán que examinar mejor sus acuerdos comerciales con servicios de terceros para garantizar que sus políticas y prácticas de intercambio de datos sean transparentes, se cumplan correctamente y no se comparta información de identificación personal sin consentimiento. Por último, los desarrolladores tendrán que profundizar en el código de la cadena de suministro de sus aplicaciones para desarraigar los peligros que las acechan, como las puertas traseras que se comunican ilícitamente con servidores no autorizados, ya sean proveedores legítimos o piratas informáticos, ya que pueden ser responsables de estas violaciones de la privacidad de las aplicaciones.
Las recientes medidas coercitivas de la FTC, la campaña publicitaria de Apple y las recomendaciones de seguridad de aplicaciones de empresas como Verimatrix envían un mensaje claro al sector del desarrollo de aplicaciones sanitarias. desarrollo de aplicaciones sanitarias de aplicaciones sanitarias: Respetar la privacidad del paciente es crucial; responsabilícese de los datos que se le confían o enfréntese a posibles repercusiones.
Manténgase informado sobre la privacidad de las aplicaciones sanitarias
No se pierda las últimas actualizaciones, perspectivas y normativas en torno a las violaciones de la privacidad de las aplicaciones sanitarias. Suscríbase a nuestro boletín.
Escrito por
Dr. Klaus Schenk
El Dr. Klaus Schenk es vicepresidente senior de seguridad e investigación de amenazas de Verimatrix y dirige sus Laboratorios VMX.
Comentario
100.000 dólares de castigo: La FTC apunta a los desarrolladores de aplicaciones de salud
Índice
Desde aplicaciones de seguimiento de la fertilidad y el ciclo menstrual hasta aplicaciones de prescripción de fármacos y otras aplicaciones sanitarias. aplicaciones sanitariasparece que ahora no sólo hay un aumento de las violaciones de la privacidad de los consumidores descubiertas entre ellas, sino también la atención de la Comisión Federal de Comercio (FTC). Con las sanciones económicas propuestas recientemente y una aplicación más estricta de los requisitos de notificación a consumidores y medios de comunicación, los propietarios de aplicaciones sin duda están prestando atención.
El mes pasado, la FTC propuso una llamativa multa civil de 100.000 dólares y otras medidas coercitivass contra el propietario de una aplicación de seguimiento de la ovulación con más de un millón de descargas en Android Play Store. Según la FTC, la aplicación conocida como "Premom" engañaba a los usuarios compartiendo su información personal identificable (IPI) y sus datos personales de salud con terceros sin consentimiento previo.
Se alega que la compañía no cumplió con la FTC de la FTC (HBNR) DE LA FTC. La norma incluye mandatos (en su mayoría inactivos hasta hace poco) de que los propietarios de aplicaciones notifiquen a los consumidores y, en algunos casos, a los medios de comunicación, así como a la propia FTC, las violaciones de datos que afecten a su empresa o a sus proveedores de servicios.
La última acción coercitiva de la FTC se produce en un momento en el que la agencia pretende dotar de más fuerza a su HBNR, anunciando un votación unánime para actualizar el lenguaje de la norma en torno a las violaciones y el consentimiento del usuario.
La votación se produjo en medio de la preocupación por la existencia de divulgaciones no autorizadas de datos sanitarios personales a través de los SDK y sus fragmentos de código ocultos que forman parte de la cadena de suministro de software utilizado para ayudar a crear aplicaciones móviles, que en última instancia comparten datos de forma encubierta con organizaciones no autorizadas (anunciantes) con sede potencial tanto dentro como fuera de Estados Unidos.
Una historia similar apareció en Bleeping Computer hace unos meses sobre una aplicación de terapia de salud mental llamada BetterHelp. El acuerdo y la multa de la FTC ascendieron a la friolera de ¡7,8 millones de dólares!
Ir más allá de la HIPAA en algunos casos
La FTC parece estar señalando su intención de utilizar sus poderes coercitivos para tomar medidas mucho más consistentes y con definiciones de mayor alcance de lo que constituye una violación de datos sanitarios. Como SC Media informó junto con la noticia de la mencionada actualización del lenguaje HBNR, la FTC pretende utilizar un enfoque aún más amplio (y obvio) para determinar qué datos son realmente muy reveladores cuando se trata de la información de salud de un consumidor.
Por ejemplo, el simple hecho de facilitar el nombre y los datos de contacto a una aplicación sanitaria de salud que, al final, es violada, puede traducirse en que los anunciantes o los actores de amenazas se enteren de que alguien buscó o recibió un tipo específico de tratamiento.
Con esta definición significativamente más amplia de datos relevantes, los desarrolladores de aplicaciones sanitarias se encuentran en un escenario en el que incluso una amenaza o infracción inocua puede desencadenar la necesidad de enviar notificaciones. enviadas a a miles o millones de usuarios, por no mencionar al Gobierno y a los miembros de la prensa. SC Media señaló que la FTC pretende incluir definiciones revisadas para la aplicación de la norma a las aplicaciones sanitarias que no se abordan en la HIPAA y la definición de información sanitaria identificable como PHR. Junto con esta actualización del lenguaje, la agencia también espera aclarar mejor la definición de infracción.
La aplicación de Apple que difama la salud entra en liza
Atendiendo a la inquietud del público, Apple acaba de lanzar un nuevo anuncio titulado "The Waiting Room" (La sala de espera), en el que una voz en off revela los problemas de salud privados de cada paciente, para consternación de la sala llena de gente. El anuncio se diseñó para destacar el compromiso de Apple con la privacidad de los datos en el iPhone. La campaña es un buen recordatorio de que el sector de la telefonía móvil en su conjunto debe mejorar la protección proactiva de los datos de los consumidores.
(Fuente: YouTube, Apple)
Una llamada de atención a los desarrolladores de aplicaciones móviles
Las recientes acciones de la FTC pretenden ayudar a los desarrolladores de aplicaciones bienintencionados a evitar prácticas comerciales desleales. Las acciones gubernamentales están diseñadas precisamente para eso: aumentar la seguridad y garantizar la privacidad en el mercado. Pero cuando un desarrollador de apps resulta ser, en primer lugar, una organización criminal, surgen toda una serie de preocupaciones adicionales e incluso más dramáticas.
Una normativa más estricta sobre la privacidad de los datos de los consumidores significa que los desarrolladores de aplicaciones móviles tendrán que proteger sus aplicaciones y API para controlar más estrictamente el uso de los datos de los consumidores con el fin de evitar investigaciones de cumplimiento, sanciones civiles, problemas de reputación corporativa y mucho más. También tendrán que examinar mejor sus acuerdos comerciales con servicios de terceros para garantizar que sus políticas y prácticas de intercambio de datos sean transparentes, se cumplan correctamente y no se comparta información de identificación personal sin consentimiento. Por último, los desarrolladores tendrán que profundizar en el código de la cadena de suministro de sus aplicaciones para desarraigar los peligros que las acechan, como las puertas traseras que se comunican ilícitamente con servidores no autorizados, ya sean proveedores legítimos o piratas informáticos, ya que pueden ser responsables de estas violaciones de la privacidad de las aplicaciones.
Las recientes medidas coercitivas de la FTC, la campaña publicitaria de Apple y las recomendaciones de seguridad de aplicaciones de empresas como Verimatrix envían un mensaje claro al sector del desarrollo de aplicaciones sanitarias. desarrollo de aplicaciones sanitarias de aplicaciones sanitarias: Respetar la privacidad del paciente es crucial; responsabilícese de los datos que se le confían o enfréntese a posibles repercusiones.
Manténgase informado sobre la privacidad de las aplicaciones sanitarias
Escrito por
Dr. Klaus Schenk
El Dr. Klaus Schenk es vicepresidente senior de seguridad e investigación de amenazas de Verimatrix y dirige sus Laboratorios VMX.
Comparta esta información sobre ciberseguridad
Otros datos sobre ciberseguridad
Resumen de amenazas a la ciberseguridad nº 11: Coper, Octo, CriminalMW y más
3 Imperativos de seguridad para los fabricantes de aplicaciones para vehículos en 2024
La proliferación de herramientas frente a la ausencia total de herramientas de seguridad
Resumen de amenazas a la ciberseguridad nº 10: Joker, Samecoin, SpyNote y más