La HIPAA es un tema candente en estos momentos. El año pasado, una investigación de la redacción sin ánimo de lucro The Markup reveló que muchos hospitales divulgan ilegalmente información sanitaria protegida con Meta a través de los píxeles de Meta en sus sitios web. Tras la publicación de la investigación, Meta fue interrogada por el Senado de EE.UU. sobre su recopilación de información protegida, y se interpusieron numerosas demandas contra proveedores sanitarios por infracciones de la HIPAA (incluida una demanda colectiva en la que estaba implicada la propia Meta).
Estas demandas podrían costar mucho dinero a las entidades cubiertas por la HIPAA, por lo que es un buen momento para analizar la HIPAA y lo que significa para la analítica de sitios web.
- ¿Qué es la HIPAA?
- ¿Quién está cubierto por la HIPAA?
- ¿Qué es la Norma de Privacidad?
- ¿Qué es la PHI?
- ¿Qué significa esto para la analítica web?
- ¿Cumple Google Analytics la HIPAA?
- ¿Cómo se implementan los análisis basados en cookies de conformidad con la HIPAA?
- No se trata sólo de cookies.
- ¿Es la analítica sin cookies la solución?
¿Qué es la HIPAA?
La Health Insurance Portability and Accountability Act (HIPAA) es una ley federal de Estados Unidos aprobada en 1996. El objetivo de la HIPAA es proteger la privacidad y seguridad de la información sanitaria protegida (PHI) y garantizar su portabilidad de un proveedor sanitario a otro.
La HIPAA pretende proteger la privacidad y seguridad de la información sanitaria protegida (PHI). También se ocupa de las normas técnicas de las historias clínicas electrónicas y garantiza los derechos de portabilidad de los datos. En pocas palabras, trata de la privacidad, pero no es una normativa de privacidad en sentido estricto.
¿Quién está cubierto por la HIPAA?
Tenga en cuenta que la HIPAA cubre los datos de los pacientes, no los datos sanitarios como tales. Esto se debe a que la HIPAA sólo se aplica a entidades específicas.
La HIPAA cubre principalmente a los proveedores de asistencia sanitaria, los planes de seguros sanitarios y los centros de intercambio de información sanitaria (es decir, los intermediarios para el intercambio de información sanitaria). Estas entidades se denominan entidades cubiertas (EC).
La HIPAA también cubre a los socios comerciales. Los asociados comerciales son entidades que reciben regularmente información sanitaria protegida de una entidad cubierta y prestan determinados servicios o realizan actividades para la entidad cubierta, incluido el análisis de datos. Los asociados comerciales también están sujetos a algunas normas de protección de datos en virtud de la HIPAA, y deben firmar un acuerdo de asociación comercial (BAA) con las entidades cubiertas con las que trabajan.
Por último, la HIPAA también cubre a los subcontratistas. Los subcontratistas trabajan con los asociados comerciales y básicamente realizan una parte de su trabajo. Se puede pensar en los subcontratistas como socios comerciales de los socios comerciales.
Tenga en cuenta que estamos simplificando un poco - hay más cosas para determinar si alguien es una entidad cubierta, un asociado comercial o un subcontratista. Pero es importante señalar que trabajar para una entidad cubierta no le convierte, por sí mismo, en asociado comercial. Usted no puede ser un asociado comercial si no recibe PHI, independientemente de para quién trabaje.
Si su organización no es una entidad cubierta, un asociado comercial o un subcontratista, no tiene que preocuparse por la HIPAA. Pero esto no significa que pueda hacer lo que quiera con esa información. Pueden aplicarse otras normas: por ejemplo, la CCPA de California incluye normas específicas para el tratamiento de información sanitaria y otras categorías de información sensible.
¿Qué es la Norma de Privacidad?
La HIPAA impone ciertas normas para garantizar que la PHI se procesa de forma segura y confidencial. Estas normas se conocen comúnmente como la Regla de Privacidad de la HIPAA.
Uno de los puntos centrales de la Regla de Privacidad es la limitación de la divulgación. Ciertas divulgaciones de la PHI están permitidas porque son esenciales para la prestación de asistencia sanitaria y el funcionamiento del sistema sanitario. Por ejemplo, un hospital puede enviar sus facturas médicas a su compañía de seguros o remitir su historial médico electrónico a su nuevo hospital.
Otras divulgaciones requieren una autorización por escrito de la persona a la que se refiere la información. Se trata de un requisito muy importante, ya que los proveedores de asistencia sanitaria (por lo general) no pueden negarse a prestar sus servicios si usted no autoriza la divulgación. En otras palabras, no se puede chantajear a los pacientes para que autoricen una divulgación innecesaria.
¿Qué es la PHI?
PHI es la información que está cubierta y protegida por la HIPAA y la Regla de Privacidad. La noción de PHI según la HIPAA es compleja porque combina tres requisitos distintos:
- se refiere al estado de salud de una persona o a la prestación de asistencia sanitaria (= es información sanitaria)
- se refiere a un individuo identificable (= es información personal identificable, abreviada IIP)
- ha sido creada por un proveedor de asistencia sanitaria u otra entidad cubierta por la HIPAA.
Las tres condiciones son acumulativas. Por ejemplo, si un sitio web proporciona información médica pero no servicios sanitarios, la HIPAA no se le aplica, aunque pueda recopilar información sanitaria personalmente identificable a través de sus análisis web.
Que la PHI sea personalmente identificable es el requisito más complicado. La HIPAA no contiene ninguna definición de información personal identificable (IPI). Sin embargo, la Norma de Privacidad ofrece algunas orientaciones al enumerar los identificadores que convierten la información en IIP (que pueden eliminarse para desidentificarla). La lista es larga e incluye direcciones IP y cualquier otro número de identificación único.
¿Qué significa esto para la analítica web?
El Reglamento de privacidad es un gran problema para la analítica basada en cookies.
Google Analytics y otros servicios de análisis basados en cookies incluyen identificadores únicos en sus cookies. Así es como estos servicios recopilan métricas importantes como los visitantes únicos. Sin embargo, los identificadores únicos se consideran IIP en virtud de la Norma de confidencialidad. Esto significa que los datos de las cookies son PHI cuando se cumplen los otros dos requisitos de la HIPAA (= son creados por una identidad cubierta por la HIPAA, y son información sanitaria).
Compartir PHI con fines de marketing y análisis webno es una divulgación permitida por la Regla de Privacidad y, por tanto, requiere autorización por escrito.
El Departamento de Salud y Servicios Humanos de EE.UU. también ha aclarado que consentir banners de cookies y ventanas emergentes similares no cuenta como dar una autorización válida para divulgar la PHI. Y puesto que no hay otra forma realista de obtener una autorización por escrito de cada visitante, la única manera de que los sitios web respeten la Norma de Privacidad es no transmitir la PHI en absoluto cuando utilicen un servicio de análisis web.
Esto va en contra del diseño de Google Analytics, ya que la información de identificación personal debe ser procesada por Google (y revelada a Google) para que el servicio funcione.
Esto no quiere decir que las entidades cubiertas por la HIPAA no puedan utilizar Google Analytics o cualquier otra solución de análisis basada en cookies. Pero es mucho trabajo. Si implementa la analítica basada en cookies del mismo modo que lo haría en cualquier otro sitio web, está prácticamente garantizado que infringirá la HIPAA.
¿Cumple Google Analytics la HIPAA?
Google Analyticsno es compatible con la HIPAA desde el primer momento. Por este motivo, Google no está disponible para firmar un acuerdo de asociación empresarial con entidades cubiertas por la HIPAA.
La propia documentación de la empresa es bastante transparente al respecto. Google no afirma que el servicio cumpla con la HIPAA, advierte a los clientes de que no deben enviar ningún tipo de PHI a Google y anima a los clientes a acudir a profesionales del ámbito legal para asegurarse de que Google Analytics se implementa de forma que cumpla con la HIPAA.
¿Cómo se implementan los análisis basados en cookies de conformidad con la HIPAA?
Estas directrices del Departamento de Salud y Servicios Humanos de EE.UU. son un buen comienzo. El Departamento advierte que hay que tener mucho cuidado con las páginas autenticadas, es decir, las páginas a las que los visitantes sólo pueden acceder después de autenticarse o iniciar sesión. Para mayor seguridad, debería inhabilitar el seguimiento en estas páginas (como también sugiere la documentación de Google Analytics). También debería inhabilitar el seguimiento en cualquier página en la que un visitante pueda reservar una cita, tanto si la página está autenticada como si no.
Pero, ¿las páginas no autenticadas están autorizadas? La verdad es que no. Las páginas no autenticadas en las que los pacientes pueden reservar citas también están prohibidas. Y las páginas que proporcionan información sobre enfermedades o tratamientos específicos también pueden permitir a Google (o a cualquier otro proveedor de análisis basados en cookies) recopilar información sanitaria. Por lo tanto, la posibilidad de realizar un seguimiento de los visitantes en una página no autenticada depende en última instancia de su contenido.
En resumen: si la HIPAA le ampara, debe inhabilitar el seguimiento en todas las páginas autenticadas. En cuanto a las páginas no autenticadas, debe evaluar cuidadosamente cada página en función de su contenido. Sin duda querrá que intervenga un profesional jurídico, lo que le resultará costoso si no dispone de un abogado o equipo jurídico interno.
En algunos casos, una evaluación rigurosa puede llegar a la conclusión de que necesita desactivar el rastreo para una parte significativa de su sitio web. Esto puede repercutir negativamente en la calidad de los datos que obtenga de su análisis web.
Por ejemplo, los sitios web de hospitales suelen incluir páginas informativas sobre enfermedades y tratamientos específicos. Estas páginas suelen ser páginas de aterrizaje que atraen a nuevos visitantes, por lo que deshabilitar el seguimiento de las mismas afectará negativamente a la calidad de sus análisis web.
Así que se puede hacer, pero no es tan sencillo como modificar algunos ajustes e inyectar una línea de código aquí y allá. Una implementación adecuada de los análisis basados en cookies que cumpla con la HIPAA es engorrosa, puede ser costosa y probablemente afectará a la calidad de los datos que obtenga.
No se trata sólo de cookies.
Las mismas normas se aplican a las aplicaciones móviles: según la Norma de Privacidad, no está permitido revelar la PHI con fines de marketing o análisis.
En la práctica, la situación de las aplicaciones móviles es aún peor. Muchos kits de desarrollo de software (SDK) vienen con rastreadores incorporados. Los SDK son un gran problema para la privacidad en general: el desarrollo de aplicaciones suele subcontratarse y, como resultado, muchas empresas rastrean a sus usuarios sin saberlo. Si la HIPAA le ampara, este rastreo puede suponer una violación de la Regla de Privacidad.
La PHI también puede recopilarse de otras formas. Por ejemplo, las API de servicios populares como Google Maps a veces recopilan y revelan información personal. Si incrusta una API en su sitio web, asegúrese de saber exactamente qué versión de la API está utilizando y qué datos está revelando.
Otra forma habitual de incumplir la norma de privacidad es la eliminación inadecuada de dispositivos. Si está cubierto por la HIPAA, debe asegurarse de eliminar toda la PHI de la memoria de un dispositivo antes de deshacerse de él (en realidad, hágalo para cualquier información personal e independientemente de la HIPAA).
En resumen: centrarse en la analítica web es bueno, pero no hay que perder de vista el conjunto.
¿Es la analítica sin cookies la solución?
Depende. Sin cookies no significa necesariamente respetuoso con la privacidad, porque hay formas de rastrear a los visitantes sin cookies. Si toma las huellas dactilares de los visitantes o los rastrea a través de su IP, seguirá revelando PHI a su proveedor de análisis web, que es el principal problema legal en juego.
Su mejor opción son los servicios de análisis respetuosos con la privacidad que simplemente no rastrean al usuario y proporcionan información sin tomar las huellas dactilares de los visitantes ni utilizar trucos inteligentes de reidentificación.
Nosotros hemos creado una herramienta de este tipo. Simple Analytics se diseñó teniendo en cuenta la privacidad desde el principio. No rastrea a los usuarios ni necesita información de identificación personal para funcionar, al tiempo que proporciona al cliente información de calidad para hacer crecer su negocio y mejorar su presencia en línea. Consulte nuestra página "Lo que recopilamos" y nuestra documentación legal para comprobarlo.
Simple Analytics es una herramienta fantástica para cumplir con la HIPAA porque nunca, nunca recoge PII o PHI.
La única información personal que utiliza Simple Analytics es la dirección IP del visitante, que es estrictamente necesaria para la comunicación (y nunca se almacena ni se utiliza para realizar un seguimiento). Incluso esta mínima divulgación puede ser evitada por el cliente mediante el uso de un proxy. Esto sólo requiere añadir unas pocas líneas de código a su sitio web.
El proxy le permite implementar Simple Analytics en todo su sitio web sin ningún riesgo de incumplir la Norma de Privacidad, ya que no recibimos ninguna información personal de usted. Este es un camino mucho más fácil y seguro hacia el cumplimiento que evaluar y desactivar el seguimiento de páginas individuales. Y, por supuesto, como no está revelando PHI, ¡no necesita un acuerdo de asociación empresarial!
Para que quede claro, no estamos sugiriendo una solución legal. No se puede incumplir la norma de confidencialidad si no se divulga información personal, así de sencillo. Un enfoque de la analítica web basado en la privacidad es ético y cumple la normativa.
Si esto le parece bien, no dude en probarlo.