L'Health Insurance Portability and Accountability Act (HIPAA) del 1996 è complicato. Il suo testo consolidato è lungo più di cento pagine e copre molti argomenti. Ovviamente la privacy è uno di questi, ma non l'unico: ci sono regole sugli standard tecnici per le cartelle cliniche, sui diritti alla portabilità dei dati e così via.
Data la complessità del testo, può essere difficile comprendere alcune delle regole di base stabilite dall'HIPAA. Tra queste, la definizione stessa di informazioni sanitarie protette (PHI). Siamo qui per aiutarvi.
Che cos'è il PHI?
Leinformazioni sanitarie protette - tipicamente chiamate PHI - sono esattamente ciò che è scritto sulla scatola: informazioni sanitarie protette ai sensi dell'HIPAA.
Potrebbe sembrare banale, ma non lo è. L'HIPAA è una legge settoriale che regolamenta i fornitori di servizi sanitari e gli intermediari come i fornitori di pagamenti. Essa indica a queste entità cosa possono o non possono fare con le informazioni mediche, ma non fornisce una protezione generale per i dati medici, il che significa che altre entità possono trattare tali informazioni senza essere vincolate all'HIPAA.
In altre parole, l'HIPAA si applica solo a determinati dati e aziende. Ciò si riflette nel modo molto complicato in cui le PHI sono definite legalmente.
Come vengono definiti i PHI?
La definizione di PHI combina tre requisiti distinti e cumulativi:
- riguardano le condizioni di salute di un individuo o la fornitura di assistenza sanitaria (= sono informazioni sulla salute)
- si riferiscono a un individuo identificabile (= si tratta di informazioni di identificazione personale - PII in breve)
- sono create da un operatore sanitario o da un'altra entità coperta dall'HIPAA.
Il primo requisito: informazioni sulla salute
L'HIPAA copre solo le informazioni relative alle condizioni di salute di un individuo o alla fornitura di assistenza sanitaria. Ad esempio, potrebbe trattarsi della diagnosi di una malattia, di un trattamento medico che è stato fornito o del fatto che è stato prenotato un appuntamento con un professionista medico.
Il secondo requisito: riferirsi a un individuo identificato
Tutti i PHI sono informazioni identificabili. Vale a dire: identificano direttamente un individuo o possono essere ragionevolmente utilizzate per identificarlo. Ciò significa che includono identificatori come nome, indirizzo, e-mail o identificatori unici (come quelli spesso presenti nei cookie di tracciamento).
Il terzo requisito: raccolti da un'entità coperta da HIPAA
I dati rientrano nel campo di applicazione dell'HIPAA solo se raccolti da un'entità che è a sua volta coperta dalla legge. Per quanto sia controintuitivo, le stesse informazioni possono essere PHI o meno, a seconda della loro provenienza.
Chi è coperto dall'HIPAA?
- fornitori di servizi sanitari come ospedali, singoli medici e farmacie
- i piani di assicurazione sanitaria
- i centri di clearing dei dati sanitari, ovvero gli intermediari dei dati sanitari. A volte possono essere inclusi anche i fornitori di servizi di pagamento
Perché è importante?
L'HIPAA contiene una serie di norme denominate collettivamente " Privacy Rule". Queste norme prevedono standard di privacy e sicurezza per i dati personali, comprese severe limitazioni alla divulgazione.
Le regole sulla limitazione della divulgazione sono piuttosto complesse, ma per semplificare grossolanamente:
- le entità coperte dall'HIPAA possono sempre divulgare i PHI quando ciò è necessario per fornire assistenza, per il funzionamento del sistema sanitario o in altri scenari specifici (ad esempio, perché una legge lo richiede)
- tutte le altre divulgazioni richiedono l'autorizzazione scritta dell'interessato.
Ad esempio, un ospedale può trasmettere le informazioni sul trattamento al piano assicurativo dell'utente a fini di fatturazione o inviarle al nuovo ospedale in modo che i professionisti medici possano valutare meglio il proseguimento del trattamento. D'altro canto, non può vendere i vostri dati a intermediari di dati o divulgarli a terzi per scopi di marketing, a meno che non lo autorizziate.
Capire quali dati sono o non sono PHI è fondamentale. Se siete coperti dall'HIPAA, ciò non significa che tutti i dati che controllate siano PHI! Quindi il primo passo per conformarsi all'HIPAA è capire esattamente a quali dati si applicano o meno le PHI.
Ad esempio, gli ospedali devono elaborare le informazioni di identificazione personale dei loro dipendenti per pagare gli stipendi, ma l'HIPAA non copre questi dati perché non sono correlati all'assistenza sanitaria.
Non tutti i casi sono chiari, ma si applicano sempre le stesse regole: le informazioni sono PHI solo se sono personalmente identificabili, se riguardano la salute o l'assistenza sanitaria e se sono state raccolte da un'entità coperta dall'HIPAA.
L'HIPAA è importante per l'analisi web?
Sì, è così. I servizi di analisi web che si basano su cookie e altri meccanismi di tracciamento possono comportare la divulgazione involontaria di dati personali, per cui un'entità coperta dall'HIPAA può essere ritenuta responsabile. L'HHS afferma inoltre chiaramente che i cookie banner non sono considerati un'autorizzazione valida ai sensi dell'HIPAA.
Questo non significa che non possiate implementare strumenti di analisi basati sul tracciamento in modo conforme all'HIPAA. Potete ancora farlo se valutate attentamente il contenuto delle vostre pagine web e disattivate qualsiasi forma di tracciamento laddove possa comportare una divulgazione non autorizzata di dati personali.
Ma si tratta di un'operazione onerosa, che richiede un certo grado di competenza legale e che potrebbe comportare l'esclusione totale di numerose pagine del vostro sito web dalle vostre analisi.
Riflessioni finali
È importante capire se siete o meno coperti dall'HIPAA e se avete a che fare con i dati personali. Se lo siete, dovete prendere le giuste misure per conformarvi, il che influisce anche sulle pratiche aziendali come il tracciamento dei siti web.
Perché ci interessa? Abbiamo creato Simple Analytics proprio per questo motivo. È un'alternativa a Google Analytics rispettosa della privacy che si basa esclusivamente su dati non personali per fornirvi tutti gli approfondimenti necessari sulle prestazioni dei vostri siti web e delle vostre campagne di marketing.
Crediamo in un Internet rispettoso della privacy e non utilizziamo cookie, impronte digitali o altre tecnologie di tracciamento per spiare i vostri visitatori.
Se anche voi credete in un Internet rispettoso della privacy, o se siete semplicemente stanchi di avere a che fare con l'HIPAA e i suoi grattacapi di conformità, allora provateci!