A regra de notificação de violação de saúde da FTC atualizada estabelece novas disposições para proteger os usuários de aplicativos e dispositivos de saúde

Foi Shakespeare quem disse: “Mais uma vez a violação”. O objetivo da FTC nunca é mais para a violação, mas até que as empresas mantenham os dados de saúde seguros e privados, continuaremos atualizando e aplicando a regra de notificação de violação à saúde para proteger os consumidores e acompanhar a revolução digital nas informações de saúde. Beneficiado por informações de pesquisadores, membros do setor, legisladores e consumidores que responderam à nossa chamada por comentários públicos, a FTC acabou de terminar um check-up do HBNR da cabeça aos pés. A regra final recém-anunciada deixa claro que os aplicativos de saúde e tecnologias semelhantes são cobertas e expandem o que as entidades cobertas devem dizer aos consumidores se houver uma violação de seus dados. Como a nova regra afetará seus negócios?

HIPAA – Lei de Portabilidade e Responsabilidade do Seguro de Saúde da HHS – aborda a privacidade e a segurança dos consultórios, hospitais e companhias de seguros da maioria dos médicos. Mas com os avanços no monitoramento e na tecnologia, muitas informações relacionadas à saúde não se enquadram no HIPAA. É aí que entra a regra de notificação de violação da saúde da FTC. Desde que a FTC anunciou a regra em 2009, os fornecedores de registros de saúde pessoal (PHR) – uma frase que a regra define – e entidades relacionadas não cobertas pelo HIPAA devem notificar indivíduos, o FTC e, em certos casos, a mídia, se houve um benefício de pessoas pessoais não seguras. A regra também exige que os provedores de serviços de terceiros a fornecedores de PHRs e entidades relacionadas notifiquem esses fornecedores e entidades relacionadas após a descoberta de uma violação.

Você vai querer ler o Aviso do Federal Register para obter detalhes sobre o que há de novo, mas aqui estão algumas dicas notáveis ​​da regra final.

1. A regra se aplica a aplicativos de saúde e tecnologias semelhantes não cobertas pela HIPAA. A FTC sublinhou esse ponto modificando a definição de “Informações sobre saúde identificáveis ​​da PHR” e adicionando definições para “Provedor de saúde coberto” e “serviços ou suprimentos de assistência médica”. Isso não deve ser uma surpresa para as empresas familiarizadas com a Declaração de 2021 da FTC da Comissão sobre violações por aplicativos de saúde e outros dispositivos conectados, ações recentes da FTC que aplicam a regra e o aviso de 2023 da proposta de regulamentação.
2. A definição de “quebra de segurança” inclui ambas as violações de segurança de dados e divulgações não autorizadas. Veja como a regra final coloca: “Uma violação de segurança inclui uma aquisição não autorizada de informações de saúde identificáveis ​​não garantidas em um registro de saúde pessoal que ocorre como resultado de uma violação de dados ou uma divulgação não autorizada”. Os acordos recentes da FTC com a Goodrx e a fácil assistência médica por não relatarem que compartilharam os dados de saúde dos consumidores com plataformas de publicidade em violação de suas promessas de privacidade ilustram esse ponto também.
3. A definição revisada de “entidade relacionada à PHR” estabelece que a regra se aplica a entidades que oferecem produtos e serviços por meio de serviços on -line de fornecedores de registros pessoais de saúde, incluindo aplicativos móveis. Para deixar isso claro, a regra final atualiza a frase “sites” para ler “sites, incluindo qualquer serviço on -line”. Dois motivos apoiam essa mudança: 1) adicionar serviços on -line é um reflexo mais realista do mercado atual; e 2) “Sites da Web” é tão 2009. A definição de “entidade relacionada ao PHR” também atualiza “acessa informações” para ler “Acesso a informações identificáveis ​​PHR não garantidas”.
4. Na definição de “registro de saúde pessoal”, a capacidade técnica de desenhar informações de várias fontes é importante. A definição de “registro de saúde pessoal” originalmente se referiu a informações de saúde identificáveis ​​sobre uma pessoa que “pode ​​ser extraída de várias fontes”. A nova regra substitui a frase “tem a capacidade técnica de extrair informações de várias fontes”.
5. A regra final expande o uso de aviso eletrônico aos consumidores. A regra retém o requisito de longa data de que um fornecedor de registros pessoais de saúde ou uma entidade relacionada à PHR que descobre uma quebra de segurança deve notificar o indivíduo imediatamente. Embora o aviso por correio de primeira classe ainda esteja ok em certos casos, o novo foco está no email em combinação com outras formas de aviso eletrônico, como mensagens de texto ou mensagens no aplicativo.
6. Os avisos para os consumidores devem incluir mais informações e devem ser “claros e conspícuos” e “razoavelmente compreensíveis”. De acordo com a regra final, na maioria dos casos, o aviso deve dizer às pessoas a identidade de terceiros que adquiriram informações de saúde identificáveis ​​não garantidas como resultado da violação. Além disso, o aviso deve descrever os tipos de informações de saúde que a violação envolvia (por exemplo, um diagnóstico ou condição de saúde, resultados de laboratório, medicamentos, outras informações de tratamento e o uso de um aplicativo relacionado à saúde). Além disso, a regra final não exige apenas que o aviso seja “claro e conspícuo” e “razoavelmente compreensível”. Oferece orientações detalhadas sobre o que as entidades devem fazer para alcançar esse resultado. Por exemplo, considere usar frases explicativas curtas ou listas de balas, títulos de língua simples, um tipo de letra fácil de ler, margens largas e amplo espaçamento. Coisas a evitar: terminologia legal ou altamente técnica, múltiplos negativos e explicações imprecisas. Confira os apêndices para obter mensagens de texto de amostra, mensagens no aplicativo, banners da web e avisos de email. (A propósito, mesmo que o HBNR não se aplique aos seus negócios, a abordagem prática da regra ao padrão “claro e conspícuo” oferece informações para todas as empresas.)
7. As entidades cobertas devem se mover rapidamente para notificar os consumidores – e a FTC – sobre violações envolvendo 500 ou mais pessoas. Para violações envolvendo 500 ou mais pessoas, as entidades cobertas devem notificar a FTC ao mesmo tempo em que enviam avisos para indivíduos afetados. Isso deve ser “sem atraso irracional” e, em nenhum caso, depois de 60 dias após a descoberta de uma quebra de segurança. Para violações que envolvem menos de 500 pessoas, as entidades cobertas devem notificar a FTC anualmente e o mais tardar 60 dias de calendário após o final do ano. No entanto, o aviso aos indivíduos afetados ainda deve ocorrer “sem atraso irracional” e em nenhum caso mais tarde de 60 dias após a descoberta de uma quebra de segurança.
8. A regra final acrescenta referências cruzadas, citações e mais informações sobre penalidades por não conformidade. Uma violação do HBNR será tratada como uma violação de uma regra sob a seção 18 da Lei da FTC sobre atos ou práticas injustas ou enganosas. Isso significa que as violações estão sujeitas a sanções civis.

A regra de notificação de violação de saúde atualizada entra em vigor 60 dias após aparecer no Federal Register. Siga o blog de negócios para a data efetiva. Até então, a regra de 2009 continua se aplicando. Tem uma violação para se reportar à FTC sob a regra de 2009 ou após as emendas da regra final entrarem em contato? Use este formulário.