Este proveedor de píldoras abortivas en línea utilizó herramientas de seguimiento que proporcionaron sus datos a empresas poderosas

Hey Jane, un proveedor de píldoras abortivas en línea, realiza un servicio que, según los defensores del aborto, se ha vuelto de vital importancia desde que la Corte Suprema de EE. UU. anuló Roe v. Wade la semana pasada.

“Obtenga píldoras abortivas rápidas, seguras y asequibles enviadas a su hogar”, se lee en la página de inicio de Hey Jane .

“Consulte con un proveedor médico dentro de las 24 horas. Los medicamentos se envían diariamente”.

Hey Jane, que solo opera en estados donde el aborto es legal y dice que ha atendido a casi 10,000 pacientes, promete a los clientes "atención discreta en su horario".

Pero un análisis del sitio web de Hey Jane con la herramienta de inspección de privacidad Blacklight de The Markup mostró que el sitio empleaba una serie de rastreadores en línea que siguen a los usuarios a través de Internet.

Los rastreadores notificaron a Google, la empresa matriz de Facebook, Meta, el procesador de pagos Stripe y cuatro empresas de análisis cuando los usuarios visitaron su sitio.

El marcado también encontró información de identificación personal de los clientes en los datos que alimentan la sección de reseñas de Hey Jane, incluido el identificador de Instagram de un revisor y las ciudades de origen de otros. Las revisiones fueron atendidas por un servicio de terceros llamado Reviews.io.

Poco después de que The Markup notificara a Hey Jane sobre nuestros hallazgos, todas las reseñas de los usuarios se eliminaron del sitio principal. Las reseñas seguían siendo visibles en una página de inicio de anuncios de resultados de búsqueda de Google de Hey Jane y en la página de Hey Jane de Reviews.io, pero los datos confidenciales no parecían ser públicos en estas reseñas.

Hey Jane también eliminó el código de seguimiento de Meta y cuatro rastreadores analíticos.

Kiki Freedman, directora ejecutiva de Hey Jane, le dijo a The Markup en un comunicado enviado por correo electrónico: “Dado que el entorno regulatorio se ha vuelto cada vez más hostil, hemos optado por eliminar el Meta Pixel del sitio mientras determinamos cómo mitigar mejor los riesgos potenciales para nuestros pacientes y proveedores.”

Freedman dijo: “Los pacientes pueden estar seguros de que Hey Jane brinda atención segura, privada, legal y compasiva. Nos tomamos muy en serio la seguridad de los datos y la seguridad y privacidad de nuestros pacientes”.

Reviews.io no respondió a una solicitud de comentarios.

El seguimiento en línea es legal y una práctica generalizada de comercio electrónico. Las empresas pueden incluir rastreadores de terceros para medir el tráfico del sitio web y la efectividad de los anuncios en las plataformas de redes sociales.

Estas herramientas son de uso gratuito y las empresas que construyen los rastreadores, como Google y Meta, conservan los datos.

Pero en el caso de las personas que buscan abortos, que hasta ahora son ilegales en siete estados luego de la decisión de la Corte Suprema en Dobbs v. Jackson Women's Health Organization, rastrear y compartir información de identificación personal podría convertirse en un problema crítico de privacidad.

Los defensores de la privacidad dicen que podría haber consecuencias imprevistas al permitir que los datos personales de las personas que han buscado abortos fluyan de proveedores médicos, como Hey Jane, a empresas de seguimiento de anuncios y plataformas de redes sociales.

La policía y los grupos antiaborto podrían citar o comprar esos datos y luego usarlos para atacar a las personas, incluso a aquellas que viven en estados donde el aborto aún es legal .

“La salud sexual y reproductiva y las píldoras abortivas hacen que parezca que [el seguimiento] debería ser más privado. Pero, legalmente, no es diferente de su preferencia de papas fritas o de los zapatos que le gusta comprar”, dijo India McKinney, directora de asuntos federales de Electronic Frontier Foundation.

“No hay nada de lo que están haciendo que sea ilegal. Ese es el problema."

Otras compañías y organizaciones sin fines de lucro que brindan atención y asistencia en salud reproductiva también han rastreado a los usuarios . Por ejemplo, se han encontrado aplicaciones de seguimiento de períodos que recopilan, almacenan y comparten datos con terceros .

Y en octubre pasado, The Markup descubrió que Planned Parenthood tenía 28 rastreadores de anuncios y 40 cookies de terceros que rastreaban a los visitantes de su sitio web. Actualmente todavía tiene 26 rastreadores de anuncios y ha aumentado sus cookies de terceros a 58 , según nuestra herramienta Blacklight.

Planned Parenthood le dijo a The Washington Post el jueves que planea eliminar los rastreadores de anuncios en sus páginas de búsqueda relacionadas con el aborto .

El proveedor de atención médica no respondió de inmediato a una solicitud de comentarios cuando The Markup le pidió que especificara qué rastreadores se eliminarían y el cronograma para la eliminación.

Ahora, en un panorama recientemente fracturado con un acceso reducido a los proveedores de servicios de aborto en los EE. UU., los defensores de la salud reproductiva dicen que las píldoras abortivas, como los medicamentos aprobados por la FDA, el misoprostol y la mifepristona, podrían ofrecer una atención del aborto privada y segura.

Y poder ordenar los medicamentos en línea y recibirlos por correo podría ofrecer acceso en estados donde el aborto ahora es ilegal .

Hey Jane dice en su sitio web que está "devolviendo el poder a las manos de las personas" y se describe a sí mismo como una "clínica virtual". La startup fue fundada en 2019 por Gaby Izarra y Freedman, quienes han trabajado en empresas de Silicon Valley como Uber, Webflow y Autodesk.

Con sede en Nueva York, Hey Jane ha recaudado $ 3,6 millones en fondos de capital de riesgo y busca recaudar más de los inversionistas y expandir su oferta proporcionando a los clientes píldoras anticonceptivas.

los rastreadores

La política declarada de Hey Jane es que brinda servicios a pacientes que tienen al menos 18 años de edad, hasta 10 semanas de embarazo y que son médicamente elegibles, y que residen en California, Colorado, Illinois, Nuevo México, Nueva York o Washington, algunos de los estados donde el aborto sigue siendo legal.

También ofrece asistencia financiera a través de socios para ayudar con el precio de $249 del régimen de dos medicamentos.

La compañía dice en su política de privacidad que permite que terceros "recopilen información sobre sus actividades en línea" y luego usen esos datos para publicidad personalizada. Agrega que "no es responsable de las prácticas de privacidad de estos terceros".

Usando Blacklight, The Markup detectó cinco rastreadores de anuncios en el sitio web de Hey Jane, incluido el píxel de seguimiento de Meta, que se eliminó después de que enviamos un correo electrónico a la empresa con nuestros hallazgos. El número de rastreadores es inferior al promedio encontrado en los sitios web que medimos con Blacklight .

El propósito de las solicitudes a los servidores de Meta era rastrear las visitas a la página. Dichos datos de seguimiento pueden ser utilizados por otros sitios web para dirigirse a los visitantes de Hey Jane con anuncios en Facebook y para medir la efectividad de los anuncios en la plataforma.

Freedman confirmó que la compañía había usado Meta Pixel para publicar anuncios en Facebook e Instagram.

Las políticas de Meta prohíben que las empresas envíen datos de salud confidenciales a los servidores de Meta y, en respuesta al escrutinio de múltiples investigaciones en 2019, la compañía creó una herramienta que, según dijo, identifica y filtra automáticamente los datos de salud confidenciales entrantes.

Sin embargo, una investigación reciente de The Markup and Reveal mostró cómo las herramientas de seguimiento de Meta todavía recopilan información de los buscadores de abortos que visitan sitios web con el código de píxel de Meta.

En respuesta a una solicitud de comentarios, el portavoz de Meta, Dale Hogan, nos envió un enlace a la política de salud confidencial de la empresa.

Las solicitudes de seguimiento de Hey Jane también se enviaron a los servidores de Google Analytics de Alphabet para ver la página.

Freedman dijo: "La gran mayoría de los pacientes de Hey Jane descubren nuestro servicio a través de los anuncios de Google" y que la empresa sigue las mejores prácticas recomendadas por Google para proteger la información de identificación personal, como anonimizar las direcciones IP de los usuarios.

Google no respondió a una solicitud de comentarios.

El seguimiento de las visitas a la página es una forma común de medir y comprender el tráfico del sitio web, pero el tipo de sitio web en el que una persona hace clic podría revelar detalles personales.

En el caso de Hey Jane, cuando alguien visita páginas web como "Cómo abortar" y hace clic en textos de botones como "Comenzar", podría reflejar un interés en abortar y, con rastreadores, esa información del visitante puede ser enviado a Meta y Google.

Usando el proyecto Pixel Hunt de Mozilla (una colaboración entre Mozilla Rally y The Markup que rastrea los datos enviados a Facebook para usarlos en la orientación de anuncios), descubrimos que Meta recopiló este tipo de información de un visitante del sitio web de Hey Jane en marzo.

Un usuario en nuestro panel anónimo hizo clic en la página de inicio de Hey Jane, que se titula “Entrega de píldoras abortivas | Hola Jane | Clínica de aborto en línea”, y el rastreador de Meta informó los datos de esa visita a sus servidores para la posible orientación de anuncios.

Poco después de que nos pusimos en contacto con Hey Jane, los scripts de seguimiento de Meta y cuatro empresas de análisis se eliminaron de su sitio, aunque se mantuvieron Google Analytics de Alphabet y un script de seguimiento del procesador de pagos Stripe.

Stripe utiliza una técnica llamada huella digital de lienzo , que puede evadir los bloqueadores de cookies de terceros.

Freedman dijo que el uso de Stripe por parte de Hey Jane es parte del esfuerzo de prevención de fraude de Stripe y que el sitio web tiene un acuerdo comercial con el proveedor de pagos para garantizar el cumplimiento de HIPAA y que los datos recopilados no se pueden compartir con terceros.

El portavoz de Stripe, Stephen Carter, confirmó que este uso de su rastreador era para protección contra fraudes.

Freedman dijo que Hey Jane también eliminó las reseñas de los usuarios de su sitio principal para “mitigar aún más los riesgos potenciales para nuestros pacientes y proveedores”. Pero defendió el uso de las reseñas como método para permitir a los pacientes compartir sus experiencias.

“Las revisiones aseguran a los pacientes que no están solos, otros han compartido su misma experiencia. Pueden optar por no participar en la revisión por completo o permanecer en el anonimato con solo tocar un botón.

Pero para muchos, proporcionar un nombre humaniza la historia: es una pequeña forma de que nuestros pacientes demuestren que no se avergüenzan de su elección, si así lo desean”, dijo Freedman.

Este parecía ser el caso del cliente de Hey Jane que encontramos en los datos del revisor.

The Markup se acercó a ella usando el perfil de Instagram que encontramos, y dijo que esperaba que compartir su nombre e información de identificación permitiera que otros se comunicaran con ella con preguntas sobre el proceso.

Freedman en su declaración pidió a las grandes empresas de tecnología como Alphabet y Meta que "... se comprometan públicamente con el uso responsable de estos datos, dada la naturaleza esencial de sus plataformas para difundir información crítica a los pacientes que la necesitan".

Cuando las personas ven que se ha compartido información confidencial, “dicen: 'Oh, Dios mío, esto es realmente espeluznante y realmente aterrador'. Pero no tiene por qué ser así”, dijo McKinney de EFF, y agregó que cree que las leyes federales de privacidad podrían solucionar muchos de estos problemas.

“La privacidad es un derecho humano fundamental. Y es de vital importancia contar con una legislación federal para proteger ese derecho”.

Por Jon Keegan y Dara Kerr

También publicado aquí

Foto de Arteum.ro en Unsplash