La carta conjunta de FTC-HHS llega al corazón de los riesgos de seguimiento de las tecnologías de seguimiento de la información personal de salud

Por lo general, no recomendamos leer el correo de otras personas, pero incluso si no era una de las aproximadamente 130 compañías que recibió una carta conjunta reciente de la Oficina de Derechos Civiles de la FTC y HHS (OCR), cualquier persona en el campo de la salud, los hospitales, otros entidades cubiertas de HIPAA, Provitores de Telehealth, Provisores de salud, desarrolladores de aplicaciones de salud, etc., deberían tomar la carta a la carta y considerar un negocio de control de seguridad y un negocio en el negocio de los negocios.

La carta conjunta alerta a los destinatarios sobre los riesgos de que las tecnologías de seguimiento, incluidos Meta/Facebook Pixel y Google Analytics, representan la privacidad y la seguridad de la información de salud personal de los consumidores. A medida que los usuarios interactúan con sitios web o aplicaciones móviles, las tecnologías a menudo rastrean sus actividades en línea y recopilan datos personales sobre ellos. Gran parte de esto sucede detrás de escena, con los consumidores completamente desconocidos, están siendo rastreados y no pueden evitar lo que está sucediendo.

La naturaleza de los datos que estas tecnologías están recopilando sin el consentimiento de los consumidores, por ejemplo, afecciones de salud, diagnósticos, medicamentos y visitas a proveedores de atención médica, es exclusivamente confidencial. Y la divulgación inadmisible puede conducir a robo de identidad, pérdida financiera, discriminación, estigma, angustia mental y otras consecuencias perjudiciales.

Querrá leer la carta para las perspectivas de OCR sobre el seguimiento y la información de salud personal, pero aquí hay una oración que vale la pena destacar: "Las entidades reguladas de HIPAA no pueden utilizar las tecnologías de seguimiento de una manera que resulte en divulgaciones inexisibles de PHI a terceros ni ninguna otra violación de las reglas de HIPAA". La carta también cita un boletín OCR de diciembre de 2022 con una visión general sobre cómo HIPAA se aplica al uso de tecnologías de seguimiento en línea.

Pero incluso si una empresa no está cubierta por HIPAA, la carta es un recordatorio de que todavía tiene obligaciones bajo la Ley de la FTC y la regla de notificación de incumplimiento de salud de la FTC para proteger contra las divulgaciones inadmisibles de la información de salud personal. Citando acciones recientes de aplicación de la ley de la FTC contra la atención médica fácil, BetterHelp, GoodRX y Flo Health, la carta establece que es "esencial monitorear los flujos de datos de la información de salud a terceros a través de tecnologías que ha integrado en su sitio web o aplicación". ¿Qué pasa si alguien más diseñó su sitio o aplicación? El dólar de cumplimiento todavía se detiene contigo. Además, su empresa es legalmente responsable incluso si no utiliza los datos obtenidos a través de tecnologías de seguimiento para fines de marketing.

Además de subrayar que ambas agencias están viendo desarrollos en esta área, la carta termina con esta advertencia: "En la medida en que esté utilizando las tecnologías de seguimiento descritas en esta carta en su sitio web o aplicación, le consideramos encarecidamente que revise las leyes citadas en esta carta y tome medidas para proteger la privacidad y la seguridad de la información de salud de las personas".

Ese es un buen consejo para las empresas que recibieron la carta conjunta, y también para otras empresas.

Consulte más recursos de privacidad de salud de la FTC.