FTC

Por lo general, no recomendamos leer el correo de otras personas, pero incluso si no fuera una de las aproximadamente 130 empresas que recibieron una carta conjunta reciente de la FTC y la Oficina de Derechos Civiles (OCR) del HHS, cualquier persona en el ámbito de la salud... hospitales, otras entidades cubiertas por HIPAA, proveedores de telesalud, desarrolladores de aplicaciones de salud, etc. – deberían tomar en serio la carta y considerar un control de privacidad y seguridad en sus negocios.

La carta conjunta alerta a los destinatarios sobre los riesgos que las tecnologías de seguimiento (incluidos Meta/Píxel de Facebook y Google Analytics) representan para la privacidad y seguridad de la información de salud personal de los consumidores. A medida que los usuarios interactúan con sitios web o aplicaciones móviles, las tecnologías suelen rastrear sus actividades en línea y recopilar datos personales sobre ellas. Gran parte de esto sucede entre bastidores, cuando los consumidores desconocen por completo que están siendo rastreados y no pueden evitar lo que está sucediendo.

La naturaleza de los datos que estas tecnologías recopilan sin el consentimiento de los consumidores (por ejemplo, condiciones de salud, diagnósticos, medicamentos y visitas a proveedores de atención médica) es excepcionalmente confidencial. Y la divulgación inadmisible puede provocar robo de identidad, pérdidas financieras, discriminación, estigma, angustia mental y otras consecuencias perjudiciales.

Querrá leer la carta para conocer las perspectivas de la OCR sobre el seguimiento y la información de salud personal, pero aquí hay una frase que vale la pena destacar: "Las entidades reguladas por HIPAA no pueden utilizar tecnologías de seguimiento de una manera que resulte en divulgaciones inadmisibles de PHI a terceros". o cualquier otra violación de las Reglas HIPAA”. La carta también cita un boletín de la OCR de diciembre de 2022 con una descripción general sobre cómo se aplica HIPAA al uso de tecnologías de seguimiento en línea.

Pero incluso si una empresa no está cubierta por HIPAA, la carta es un recordatorio de que todavía tiene obligaciones bajo la Ley de la FTC y la Regla de Notificación de Infracciones de Salud de la FTC para proteger contra las divulgaciones no permitidas de información de salud personal. Citando acciones recientes de aplicación de la ley de la FTC contra Easy Healthcare, BetterHelp, GoodRx y Flo Health, la carta establece que es "esencial monitorear los flujos de datos de información de salud a terceros a través de tecnologías que usted haya integrado en su sitio web o aplicación". ¿Qué pasaría si alguien más diseñara su sitio o aplicación? La responsabilidad del cumplimiento aún recae en usted. Además, su empresa es legalmente responsable incluso si no utiliza los datos obtenidos a través de tecnologías de seguimiento con fines de marketing.

Además de subrayar que ambas agencias están observando los avances en esta área, la carta termina con esta advertencia: “En la medida en que utilice las tecnologías de seguimiento descritas en esta carta en su sitio web o aplicación, le recomendamos encarecidamente que revise las leyes citadas. en esta carta y tomar medidas para proteger la privacidad y seguridad de la información de salud de las personas”.

Se trata de un buen consejo para las empresas que recibieron la carta conjunta y también para otras empresas.

Consulte más recursos de privacidad de la salud de la FTC.

Etiquetas: