Language
Protección de la privacidad de la información sanitaria: una docena de conclusiones de los casos de la FTC
HogarHogar > Noticias > Protección de la privacidad de la información sanitaria: una docena de conclusiones de los casos de la FTC
ÚLTIMAS NOTICIAS

Protección de la privacidad de la información sanitaria: una docena de conclusiones de los casos de la FTC

Aug 08, 2023

En los últimos meses, la FTC ha anunciado un caso tras otro que involucra datos de salud confidenciales de los consumidores, alegando violaciones tanto de la Sección 5 de la Ley de la FTC como de la Regla de notificación de infracciones de salud de la FTC. La privacidad de la información de salud es una prioridad para los consumidores y, por lo tanto, para la FTC. Empresas que recopilan o utilizan datos de salud, escuchen. Hay una serie de mensajes clave de BetterHelp, GoodRx, Premom, Vitagene y otros asuntos de la FTC que usted necesita escuchar.

Comprenda la amplitud de la "información de salud". La información de salud no se trata sólo de medicamentos, procedimientos y diagnósticos. Más bien, es cualquier cosa que transmita información (o permita una inferencia) sobre la salud de un consumidor. De hecho, Premom, BetterHelp, GoodRx y Flo Health dejan claro que el hecho de que un consumidor esté utilizando una aplicación o sitio web relacionado con la salud en particular (uno relacionado con la salud mental o la fertilidad, por ejemplo) o cómo interactúa con esa aplicación (por ejemplo, , activar o desactivar el “modo embarazo”) puede ser en sí misma información de salud. Nuestra orientación sobre salud y ubicación destaca el hecho de que los datos de ubicación pueden transmitir información de salud. Por ejemplo, los viajes repetidos a un centro de tratamiento del cáncer pueden transmitir información muy sensible sobre la salud de un individuo. Para mantenerse en el lado correcto de la Ley de la FTC, adopte una visión amplia de lo que constituyen datos de salud y protéjalos en consecuencia.

Su obligación de proteger la privacidad de la información médica es un hecho. La necesidad de privacidad por diseño es (¡o debería ser!) axiomática en este momento, especialmente cuando se trata de información personal sensible. Si recopila o utiliza datos de salud de los consumidores, evalúe y documente los riesgos para esos datos e implemente medidas de seguridad sólidas para protegerlos, como un programa de privacidad escrito, capacitación y supervisión de la privacidad, y limitaciones de retención, propósito y uso de los datos. Incluso si usted no cree que sea necesario, la FTC puede decir lo contrario, como lo muestran las quejas en BetterHelp y GoodRx. En esas acciones, la FTC alegó específicamente que el hecho de que las empresas no contaran con políticas y procedimientos de privacidad adecuados contribuyó a las supuestas prácticas de privacidad injustas. Para cumplir con la ley, combine sus decisiones tecnológicas con consideraciones de privacidad.

No utilice tecnologías de seguimiento entre bastidores que contradigan sus promesas de privacidad o que de otro modo perjudiquen a los consumidores. En la economía de la vigilancia actual, el consumidor suele ser el producto. Los datos del consumidor impulsan la máquina publicitaria que llega directamente al consumidor. Pero cuando las empresas utilizan datos de salud sensibles de los consumidores con fines de marketing y publicidad, como enviando esos datos a empresas de marketing a través de píxeles de seguimiento en sitios web o kits de desarrollo de software en aplicaciones, hay que tener cuidado. BetterHelp, GoodRx, Premom y Flo dejan en claro que prácticas como esa pueden ir en contra de la Ley de la FTC si violan las promesas de privacidad o si la compañía no obtiene el consentimiento expreso afirmativo de los consumidores para la divulgación de información de salud confidencial. GoodRx y Premom subrayan que esta conducta también puede violar la Regla de notificación de infracciones de salud, que requiere notificación a los consumidores, a la FTC y, en algunos casos, a los medios de comunicación, de las divulgaciones de información de salud sin la autorización de los consumidores. ¿Necesita comprender más sobre las implicaciones del seguimiento? Consulte la guía de la FTC sobre el seguimiento de píxeles y las cartas conjuntas de la FTC y el HHS a hospitales y proveedores de telesalud para obtener más información sobre cuestiones de privacidad relacionadas con el seguimiento.

No comparta información de salud de los consumidores de manera inadecuada y tampoco la reciba. Después de casos como BetterHelp, GoodRx, Premom y Flo, está bastante claro que la divulgación no autorizada de información de salud de los consumidores a otras empresas puede poner al remitente de esos datos en problemas. Pero, dependiendo de los hechos, el destinatario de esos datos también podría enfrentar responsabilidad según la Sección 5. Si recibe información de otras empresas con fines publicitarios o de marketing (por ejemplo), es posible que tenga la responsabilidad según la Sección 5 de tomar medidas (como como medidas procesales y técnicas) para garantizar que no participe en la recepción, uso o divulgación no autorizada de información confidencial. Puede que no sea suficiente simplemente utilizar un contrato estándar y listo para usar o términos de uso para prohibir el envío de cierta información.

Insista en que su personal de tecnología y su personal de cumplimiento se comuniquen sobre las prácticas de privacidad de su empresa. ¿Sabe la mano derecha lo que hace la izquierda? Las empresas que utilizan tecnologías de seguimiento a veces protestan porque su personal técnico utilizó píxeles o kits de desarrollo de software sin avisar a su personal de cumplimiento. Una clave para el cumplimiento es comprender todos los flujos de datos, independientemente de qué departamento o personal esté a cargo de los datos. Empiece por mapear cómo llegan los datos a su empresa y cómo se mueven una vez allí. ¿Cuáles son todas las fuentes de información personal en posesión de su empresa? ¿Cómo lo estás usando y divulgando? ¿Sus salvaguardias de privacidad se mantienen al día con los flujos de datos? ¿Sus promesas a los consumidores son coherentes con la forma en que su empresa utiliza realmente su información?

“Cumple con HIPAA”, “HIPAA seguro” y afirmaciones similares pueden engañar a los consumidores. El cumplimiento de HIPAA, la ley nacional que protege la privacidad de cierta información de salud, se ha convertido en una abreviatura entre pacientes y proveedores para la protección de la privacidad de la salud. (Por supuesto, las empresas deben tener en cuenta que la Sección 5 de la Ley FTC también se aplica a la mayoría de las entidades cubiertas por HIPAA y exige que las empresas protejan la privacidad y seguridad de la información de salud de los consumidores). No es sorprendente que las empresas que ofrecen productos y servicios relacionados con la salud Los servicios a menudo quieren promocionar el cumplimiento de HIPAA para brindar comodidad a los consumidores, incluso si estas empresas en realidad no están cubiertas por HIPAA o no la cumplen. Las acciones de cumplimiento de la FTC como GoodRx, BetterHelp, Henry Schein y SkyMed dejan en claro que afirmaciones como esa de HIPAA pueden engañar a los consumidores, ya sean proveedores de atención médica (como los dentistas de Henry Schein) o personas comunes y corrientes (como los pacientes de terapia en BetterHelp). . Además, tenga en cuenta que solo una agencia gubernamental, la Oficina de Derechos Civiles (OCR) del Departamento de Salud y Servicios Humanos, puede determinar si una empresa cumple con HIPAA. Tenga cuidado con el lenguaje vago que sugiere algún visto bueno del gobierno que no existe. Transmitir falsamente ese tipo de aprobación, expresa o implícitamente, viola la Ley de la FTC.

Las empresas que proporcionan sellos y certificaciones HIPAA también pueden ser responsables de afirmaciones engañosas. Las empresas que proporcionan certificaciones y sellos sobre el cumplimiento de HIPAA a otras empresas deben ser conscientes del precedente de la FTC que responsabiliza a supuestos certificadores por representaciones engañosas. Por ejemplo, en Tested Green, la FTC alegó que el vendedor de sellos y certificaciones “verdes” proporcionó a otras empresas los medios para engañar a los consumidores, porque esos sellos no estaban respaldados con evidencia sobre prácticas ambientales reales. En ECM, la FTC demostró ante el tribunal que una empresa que entregó a sus clientes comerciales etiquetas y certificados con afirmaciones falsas sobre la biodegradabilidad había proporcionado “los medios y los instrumentos” para engañar a los consumidores intermedios. Los mismos principios se aplican en el contexto de la salud. Si una empresa proporciona un sello o certificación relacionada con la salud a otros que implica falsamente que el destinatario está cubierto por HIPAA, cumple con HIPAA, ha sido revisado por una agencia gubernamental o ha recibido aprobación gubernamental, tanto el certificador como el usuario de que la certificación falsa podría estar sujeta a medidas coercitivas de la FTC.

Reservarse el derecho de realizar grandes cambios en su política de privacidad no es un consentimiento real. Puede resultar tentador utilizar su política de privacidad para reservarse el derecho de cambiar sus prácticas de datos de salud, de modo que cualquier uso continuado de su servicio constituya un "consentimiento" a los cambios. No tan rapido. La acción de la FTC en Vitagene deja en claro que no es un medio legal para obtener consentimiento para cambios sustanciales retroactivos en la política de privacidad. Es importante destacar que la queja de Vitagene, que se basa en (y va más allá) de las quejas de Gateway Learning y Facebook, dice que los cambios materiales retroactivos de la compañía fueron injustos a pesar de que la compañía aún no los había implementado. Vitagene subraya que anunciar de esa manera futuras prácticas amplias de intercambio de datos puede crear una probabilidad de daño sustancial a los consumidores que nunca aceptaron ese intercambio. Recuerde que una piedra de toque del cumplimiento de la Ley de la FTC es que los consumidores (no usted) deben tener el control de sus datos y estar facultados para tomar decisiones reales al respecto.

Los eufemismos ocultos no son suficientes. En lugar de cumplir con su obligación legal de decirles a los consumidores toda la verdad, algunas empresas ocultan términos clave sobre prácticas de datos en densas políticas de privacidad o términos de servicio llenos de lenguaje ambiguo que oculta cómo usan realmente la información de salud de los consumidores. Por ejemplo, demasiadas empresas hacen referencias enigmáticas en sus políticas de privacidad a la “divulgación de información sobre el uso de los servicios” cuando deberían poner sus cartas sobre la mesa diciendo de manera destacada (piense al frente y al centro en la página de inicio) "Compartimos su información de salud con empresas de publicidad de terceros para que podamos dirigirnos a usted con anuncios". Los eufemismos ocultos en las políticas de privacidad pueden ser injustos y engañosos. Incluso si se le escapa a los consumidores, la FTC no se deja engañar. Las órdenes en nuestros casos recientes de privacidad de la salud requieren de manera uniforme un consentimiento expreso afirmativo, consentimiento que solo puede obtenerse después de una divulgación clara y notoria de todos los hechos materiales. Ocultar la pelota y “claro y llamativo” no encajan.

Usted puede ser responsable según la Ley de la FTC por lo que dice y por lo que no dice. Puede pensar que la FTC no se pondrá en su camino porque no está diciendo nada malo, por lo que no hay "engaño". No necesariamente es así. Las quejas de la FTC contra BetterHelp, Practice Fusion y PaymentsMD dejan claro que usted puede estar engañando a los consumidores no sólo con lo que dice, sino también con lo que no dice. Es fundamental revelar toda la información material a los consumidores sobre cómo utiliza y divulga su información médica confidencial. Y BetterHelp, Premom y GoodRx dejan claro que si sus prácticas perjudican a los consumidores, puede enfrentar acciones coercitivas de la FTC, independientemente de quién haya dicho qué.

La Ley de la FTC protege los datos biométricos. Desde que anunció su Declaración de Política Biométrica en mayo, la FTC ha iniciado acciones coercitivas sobre datos de voz (Amazon/Alexa), datos de video (Ring) e información de ADN (Vitagene). Los datos de ADN son particularmente sensibles porque transmiten información no sólo sobre usted, sino también sobre las personas con las que está relacionado. La FTC también ha emitido directrices sobre la venta de kits de pruebas genéticas, y Vitagene muestra que la FTC respaldará las directrices con medidas coercitivas. Como lo demuestran estos casos, es de suma importancia que las empresas que recopilan estos datos confidenciales los mantengan seguros.

La información reproductiva debe protegerse de miradas indiscretas. No es coincidencia que la FTC haya interpuesto dos acciones centradas en aplicaciones de fertilidad (Premom y Flo) y haya emitido directrices sobre privacidad reproductiva (entre otras cuestiones). Esta es un área de crucial importancia para los consumidores y, por lo tanto, es de crucial importancia para nosotros. Las empresas que manejan estos datos son conscientes de que las medidas a medias para proteger la privacidad y la seguridad no son suficientes.

Hay mucho en juego. Siempre ha habido mucho en juego para los consumidores cuyos datos de salud están expuestos o se utilizan indebidamente. Pero algunas partes interesadas han dicho que no ha habido suficiente en juego para las empresas responsables. Ese argumento no se sostiene a raíz de la reciente serie de casos de salud y otros casos de la FTC. Las órdenes BetterHelp, GoodRx y Premom prohibieron a esas empresas revelar datos de salud con fines publicitarios, un cambio radical en el ecosistema publicitario actual. Órdenes recientes también han requerido que las empresas aporten importantes cantidades de dinero –desde decenas de miles a millones de dólares en compensación al consumidor (BetterHelp, Vitagene) o sanciones civiles (GoodRx, PreMom)– y que indiquen a los destinatarios que eliminen datos (BetterHelp, GoodRx, Premom). , Flo) o muestras de ADN (Vitagene). Otras órdenes han responsabilizado a personas por las prácticas de seguridad de sus empresas (Drizly) o han exigido a las empresas que eliminen modelos y algoritmos basados ​​en datos obtenidos de forma ilícita (Amazon/Alexa, Ring, Weight Watchers/Kurbo). ¿El resultado? Violar la ley puede resultar una propuesta costosa para su empresa. Piénselo dos veces (o tres veces o más) antes de tomar decisiones que podrían perjudicar a sus clientes y meterlo en problemas legales.

Etiquetas:

“Cumple con HIPAA”, “HIPAA seguro” y afirmaciones similares pueden engañar a los consumidores.