Regla de notificación de incumplimiento de la salud: FTC quiere sus ideas sobre los cambios propuestos

La regla de notificación de violación de la salud ha estado vigente desde 2009. Dado el ritmo de la innovación, eso parece un siglo en los años tecnológicos. Desde entonces, hemos visto una explosión en la popularidad de las aplicaciones de salud, los rastreadores de fitness y otros monitores relacionados con la salud. Para mantenerse al día con los desarrollos tecnológicos y las prácticas comerciales en evolución, la FTC propone cambios a la regla y acoge con la bienvenida a sus comentarios.

El Regla de notificación de violación de la salud Se aplica a ciertas empresas que no están cubiertas por HIPAA, específicamente, proveedores de registros de salud personal (PHR), entidades relacionadas con PHR y proveedores de servicios de terceros. Cuando ha habido una adquisición no autorizada de la información de salud de identificación personal e identificable de una persona, los proveedores de PHR y las entidades relacionadas con PHR deben (entre otras cosas) notificar a la FTC, los consumidores y, en algunos casos, los medios de comunicación. Si su empresa es una proveedor de servicios de terceros para Un proveedor de PHR o una entidad relacionada con PHR, también tiene requisitos de notificación bajo la regla. (Leer Cumplir con la regla de notificación de incumplimiento de salud de FTC Para más detalles).

Vale la pena señalar que las empresas que violan la regla pueden ser responsables de sanciones civiles de hasta $ 50,120 por violación. Por ejemplo, Goodrx recientemente pagó una multa civil de $ 1.5 millones por violar la regla.

Como parte del proceso de revisión regulatoria periódica de la FTC, solicitamos sus comentarios en 2020 sobre cómo el Regla de notificación de violación de la salud está funcionando. Según sus comentarios, y desarrollos importantes en el ecosistema de información de salud, la FTC propone cambios en la regla. Querrá leer el aviso del Registro Federal para más detalles, pero estas son algunas de las revisiones bajo consideración:

• Revisar algunas definiciones para dejar en claro que la regla se aplica a aplicaciones de salud y tecnologías similares no cubiertas por HIPAA;
• Aclarar que un "incumplimiento de seguridad" bajo la regla incluye una adquisición no autorizada de información de salud identificable que ocurre como resultado de una violación de seguridad de datos o una divulgación no autorizada;
• Revisar la definición de una "entidad relacionada con PRH";
• Aclarar lo que "extraído de múltiples fuentes" significa en la definición de "registro de salud personal";
• Autorizar el uso ampliado del correo electrónico y otros medios electrónicos para proporcionar a los consumidores un aviso claro y efectivo de una violación; y
• Ampliar lo que debe ser en el aviso para los consumidores, por ejemplo, requerir una explicación sobre el daño potencial derivado de la violación y los nombres de terceros que pudieran haber adquirido la información.

El Los cambios de reglas propuestos y las recientes acciones de aplicación de la ley reflejan la alta prioridad que la FTC impone para proteger la privacidad de la información de salud de los consumidores y dejar que los consumidores sepan lo que está sucediendo con su información confidencial. Una vez que el aviso se ejecute en el Registro Federal, tendrá 60 días para presentar un comentario público. Guarde un paso y archiva en línea a través de Reglulation.gov.

¿Buscas más recursos de cumplimiento? Visite la FTC’s Página de privacidad de la salud.