A carta conjunta do FTC-HHS chega ao coração dos riscos de rastreamento de tecnologias
Normalmente, não recomendamos a leitura do correio de outras pessoas, mas mesmo que você não fosse uma das aproximadamente 130 empresas que receberam uma carta conjunta recente do Escritório de Direitos Civis da FTC e do HHS (OCR), qualquer pessoa na arena de saúde – Hospitais, outras entidades cobertas de HIPAA, provedores de telessaúde, desenvolvedores de aplicativos de saúde etc.-devem levar a carta a sério e considerar um check-up de privacidade e segurança em seus negócios.
A carta conjunta alerta os destinatários dos riscos de que as tecnologias de rastreamento – incluindo Meta/Facebook Pixel e Google Analytics – representem a privacidade e a segurança das informações de saúde pessoal dos consumidores. À medida que os usuários interagem com sites ou aplicativos móveis, as tecnologias costumam rastrear suas atividades on -line e coletar dados pessoais sobre eles. Muito disso acontece nos bastidores, com os consumidores totalmente inconscientes que eles estão sendo rastreados e incapazes de evitar o que está acontecendo.
A natureza dos dados que essas tecnologias estão se reunindo sem o consentimento dos consumidores – por exemplo, condições de saúde, diagnóstico, medicamentos e visitas a profissionais de saúde – é exclusivamente confidencial. E a divulgação inadmissível pode levar a roubo de identidade, perda financeira, discriminação, estigma, angústia mental e outras consequências prejudiciais.
Você vai querer ler a carta para as perspectivas da OCR sobre informações sobre rastreamento e saúde pessoal, mas aqui está uma frase que vale a pena destacar: “As entidades regulamentadas da HIPAA não podem usar tecnologias de rastreamento de uma maneira que resultaria em divulgações inadmissíveis do PHI a terceiros ou quaisquer outras violações das regras da HIPAA. ” A carta também cita um Dezembro de 2022 OCR Bulletin Com uma visão geral sobre como o HIPAA se aplica ao uso de tecnologias de rastreamento on -line.
Mas mesmo que uma empresa não esteja coberta pela HIPAA, a carta é um lembrete de que ainda tem obrigações sob a Lei da FTC e a regra de notificação de violações de saúde da FTC para proteger contra as divulgações inadmissíveis das informações pessoais de saúde. Citando ações recentes de aplicação da lei da FTC contra a Fácil Healthcare, BetterHelp, Goodrx e Flo Health, a carta estabelece que é essencial “monitorar os fluxos de dados de informações de saúde para terceiros por meio de tecnologias que você integrou ao seu site ou aplicativo”. E se você tivesse outra pessoa projetar seu site ou aplicativo? O Buck de conformidade ainda para com você. Além disso, sua empresa é legalmente responsável, mesmo que você não use os dados obtidos por meio de tecnologias de rastreamento para fins de marketing.
Além de ressaltar que ambas as agências estão assistindo a desenvolvimentos nessa área, a carta termina com esta advertência: “Na medida em que você está usando as tecnologias de rastreamento descritas nesta carta no seu site ou aplicativo, o encorajamos fortemente a revisar as leis citadas Nesta carta e tomar ações para proteger a privacidade e a segurança das informações de saúde dos indivíduos. ”
Isso é um bom conselho para empresas que receberam a carta conjunta – e para outras empresas também.
Confira mais recursos de privacidade de saúde da FTC.
