L'HIPAA è un tema caldo in questo momento. L'anno scorso un'inchiesta della redazione no-profit The Markup ha rivelato che molti ospedali divulgano illegalmente informazioni sanitarie protette con Meta attraverso i pixel Meta sui loro siti web. Dopo la pubblicazione dell'inchiesta, Meta è stata interrogata dal Senato degli Stati Uniti in merito alla raccolta di informazioni protette e sono state intentate molte cause contro gli operatori sanitari per violazione dell'HIPAA (compresa un'azione collettiva che ha coinvolto Meta stessa).
Queste cause potrebbero costare molto alle entità coperte dall'HIPAA, quindi è un buon momento per approfondire l'HIPAA e il suo significato per l'analisi dei siti web.
- Che cos'è l'HIPAA?
- Che cos'è la norma sulla privacy?
- Che cos'è la PHI?
- Cosa significa questo per l'analisi web
- Google Analytics è conforme all'HIPAA?
- E le applicazioni mobili?
- L'analisi senza cookie è la soluzione?
Che cos'è l'HIPAA?
L'Health Insurance Portability and Accountability Act (HIPAA) è una legge federale degli Stati Uniti adottata nel 1996. L'HIPAA mira a proteggere la privacy e la sicurezza delle informazioni sanitarie protette (PHI) e a garantirne la portabilità da un fornitore di servizi sanitari a un altro.
L'HIPAA si applica solo a determinate entità: fornitori di servizi sanitari, piani di assicurazione sanitaria e centri di compensazione sanitaria (cioè intermediari per lo scambio di informazioni sanitarie). Se la vostra organizzazione non rientra in questi criteri, non dovete preoccuparvi dell'HIPAA, anche se trattate informazioni sanitarie.
Ciò non significa che possiate fare quello che volete con le informazioni sanitarie. Possono essere applicate altre regole: ad esempio, il CCPA della California prevede regole per il trattamento delle informazioni sanitarie e di altre categorie di informazioni sensibili.
Che cos'è la norma sulla privacy?
Gli Standards for Privacy of Individually Identifiable Health Information (comunemente denominati Privacy Rule) sono una normativa federale emanata dal Dipartimento della Salute e dei Servizi Umani degli Stati Uniti. La norma attua l'HIPAA imponendo una serie di standard per la protezione delle PHI.
In pratica, la Privacy Rule è uno dei parametri di riferimento per la conformità all'HIPAA. La Security Rule è un altro parametro di riferimento che impone determinate misure organizzative e tecniche per mantenere le informazioni personali al sicuro.
Uno dei punti centrali della Privacy Rule è la limitazione della divulgazione. Alcune divulgazioni di PHI sono consentite perché sono essenziali per la fornitura di assistenza sanitaria e per il funzionamento del sistema sanitario. Ad esempio, l'ospedale può inviare le fatture mediche al proprio piano assicurativo o inoltrarle a un altro ospedale in cui si riceve assistenza. Tutte le altre divulgazioni richiedono un'autorizzazione scritta da parte della persona a cui le informazioni si riferiscono.
Che cos'è la PHI?
Le PHI sono le informazioni coperte e protette dall'HIPAA e dalla Privacy Rule. La nozione di PHI ai sensi dell'HIPAA è complessa perché combina tre requisiti distinti:
- riguardano le condizioni di salute di un individuo o la fornitura di assistenza sanitaria (= sono informazioni sulla salute)
- si riferiscono a un individuo identificabile (= sono informazioni di identificazione personale, in breve PII)
- sono create da un operatore sanitario o da un'altra entità coperta dall'HIPAA.
Le tre condizioni sono cumulative. Ad esempio, se un sito web fornisce informazioni mediche ma non servizi sanitari, l'HIPAA non si applica, anche se può raccogliere informazioni sanitarie di identificazione personale attraverso le sue analisi web.
Il requisito più difficile è che le informazioni personali siano identificabili. L'HIPAA non contiene alcuna definizione di informazioni di identificazione personale (PII). Tuttavia, la Privacy Rule offre alcune indicazioni elencando gli identificatori che rendono le informazioni PII (che possono essere rimossi per de-identificarle). L'elenco è lungo e comprende gli indirizzi IP e qualsiasi altro numero identificativo unico.
Cosa significa questo per l'analisi web
La Privacy Rule rappresenta un grave problema per le analisi basate sui cookie. La condivisione dei dati personali a scopo di web marketing e web analytics non è una divulgazione consentita ai sensi della Privacy Rule e richiede pertanto un'autorizzazione scritta.
Il Dipartimento della Salute e dei Servizi Umani degli Stati Uniti ha inoltre chiarito che il consenso ai banner dei cookie e a pop-up simili non costituisce un'autorizzazione valida a divulgare i dati personali. Poiché non esiste un modo realistico per un sito web di raccogliere un'autorizzazione scritta da ogni visitatore, l'unico modo per rispettare la Privacy Rule è quello di non trasmettere affatto i dati personali.
Tuttavia, Google Analytics e altri servizi di analisi basati sui cookie includono identificatori unici nei loro cookie. È così che questi servizi raccolgono dati importanti come i visitatori unici. Supponiamo che un'entità coperta da HIPAA implementi indiscriminatamente analisi basate sui cookie sul proprio sito web. In questo caso, è molto probabile che si verifichi una divulgazione non autorizzata di dati personali, con conseguente violazione dell'HIPAA.
Google Analytics è conforme all'HIPAA?
L'implementazione di analisi basate sui cookie in modo conforme all'HIPAA è possibile, ma richiede un notevole impegno. Google è piuttosto aperta a questo proposito: la documentazione di Google Analytics non afferma che il servizio sia conforme alle norme HIPAA, avverte i clienti di non inoltrare a Google alcuna informazione di carattere personale (PHI) e incoraggia i clienti a rivolgersi a professionisti legali per assicurarsi che Google Analytics sia implementato in modo conforme alle norme HIPAA.
Come si fa a implementare l'analisi basata sui cookie rispettando l'HIPAA e la normativa sulla privacy?
Le linee guida del Dipartimento della Salute e dei Servizi Umani degli Stati Uniti ( ) sono un buon inizio. Il Dipartimento avverte di fare molta attenzione alle pagine autenticate, ovvero alle pagine a cui i visitatori possono accedere solo dopo l'autenticazione. Per essere sicuri, dovreste disabilitare del tutto il tracciamento su queste pagine (come suggerito dalla documentazione di Google Analytics). Dovreste inoltre disabilitare il tracciamento su tutte le pagine in cui un visitatore può prenotare un appuntamento, indipendentemente dal fatto che la pagina sia autenticata o meno.
Ma le pagine non autenticate sono valide? Non proprio. Anche le pagine non autenticate in cui i pazienti possono prenotare appuntamenti sono off-limits. Anche le pagine che forniscono informazioni su specifiche condizioni di salute o terapie possono consentire a Google (o a qualsiasi altro fornitore di analisi basate su cookie) di raccogliere informazioni sulla salute. Quindi, la possibilità o meno di tracciare i visitatori di una pagina non autenticata dipende in ultima analisi dal suo contenuto.
In conclusione, se l'HIPAA vi copre, dovreste disabilitare il tracciamento su tutte le pagine autenticate. Per quanto riguarda le pagine non autenticate, dovrete valutare attentamente ogni singola pagina in base al suo contenuto. È probabile che vogliate coinvolgere un professionista legale, il che può essere costoso se non disponete di un team legale interno.
In alcuni casi, una valutazione rigorosa può portare alla conclusione che è necessario disattivare il tracciamento per una parte significativa del sito web, con un impatto sulla qualità delle informazioni ottenute. Ad esempio, i siti web degli ospedali presentano spesso molte pagine che forniscono informazioni su specifiche condizioni di salute e opzioni terapeutiche. Disabilitare il tracciamento su ognuna di esse avrà un impatto sostanziale sulla qualità dell'analisi di quel sito web.
E le applicazioni mobili?
Alle app mobili si applicano le stesse identiche regole: in base alla Privacy Rule, non è consentito divulgare i dati personali per scopi di marketing o di analisi.
In pratica, la situazione delle applicazioni mobili è ancora peggiore. Molti kit di sviluppo software (SDK) sono dotati di tracker integrati. Gli SDK rappresentano un enorme problema di privacy in generale: lo sviluppo delle app viene spesso esternalizzato e, di conseguenza, molte aziende tracciano inconsapevolmente i propri utenti. Se l'HIPAA vi copre, ciò può comportare una violazione della norma sulla privacy.
L'analisi senza cookie è la soluzione?
Dipende. Senza cookie non significa necessariamente rispettoso della privacy, perché ci sono altri modi per tracciare i visitatori. Se prendete le impronte digitali dei visitatori o li tracciate attraverso il loro IP, potete ancora divulgare i dati personali al vostro fornitore di analisi web, il che rappresenta il problema legale principale.
L'opzione migliore è rappresentata dai servizi di analisi rispettosi della privacy, che semplicemente non tracciano l'utente e forniscono informazioni senza rilevare le impronte digitali dei visitatori o utilizzare trucchi di reidentificazione.
Abbiamo costruito uno strumento di questo tipo. Simple Analytics è stato progettato tenendo conto della privacy fin dall'inizio. Non traccia gli utenti e non ha bisogno di informazioni di identificazione personale per funzionare, pur fornendo ai clienti informazioni di qualità per far crescere la loro attività e migliorare la loro presenza online. Consultate la nostra pagina "Cosa raccogliamo" e la nostra documentazione legale per rendervene conto. Se vi sembra una buona idea, sentitevi liberi di