FTC

Normalmente não recomendamos a leitura da correspondência de outras pessoas, mas mesmo que você não seja uma das aproximadamente 130 empresas que receberam uma carta conjunta recente da FTC e do Escritório de Direitos Civis (OCR) do HHS, qualquer pessoa na área de saúde – hospitais, outras entidades cobertas pela HIPAA, provedores de telessaúde, desenvolvedores de aplicativos de saúde, etc. – devem levar a carta a sério e considerar uma verificação de privacidade e segurança em seus negócios.

A carta conjunta alerta os destinatários sobre os riscos que as tecnologias de rastreamento – incluindo o pixel Meta/Facebook e o Google Analytics – representam para a privacidade e segurança das informações pessoais de saúde dos consumidores. À medida que os usuários interagem com sites ou aplicativos móveis, as tecnologias muitas vezes rastreiam suas atividades online e coletam dados pessoais sobre elas. Muito disso acontece nos bastidores, com os consumidores totalmente inconscientes de que estão sendo rastreados e incapazes de evitar o que está acontecendo.

A natureza dos dados que estas tecnologias recolhem sem o consentimento dos consumidores – por exemplo, condições de saúde, diagnósticos, medicamentos e visitas a prestadores de cuidados de saúde – é exclusivamente confidencial. E a divulgação inadmissível pode levar ao roubo de identidade, perdas financeiras, discriminação, estigma, angústia mental e outras consequências prejudiciais.

Você vai querer ler a carta para conhecer as perspectivas do OCR sobre rastreamento e informações pessoais de saúde, mas aqui está uma frase que vale a pena destacar: “As entidades regulamentadas pela HIPAA não estão autorizadas a usar tecnologias de rastreamento de uma maneira que resultaria em divulgações inadmissíveis de PHI a terceiros ou quaisquer outras violações das Regras da HIPAA.” A carta também cita um boletim OCR de dezembro de 2022 com uma visão geral sobre como a HIPAA se aplica ao uso de tecnologias de rastreamento online.

Mas mesmo que uma empresa não esteja coberta pela HIPAA, a carta é um lembrete de que ainda tem obrigações ao abrigo da Lei FTC e da Regra de Notificação de Violações de Saúde da FTC para se proteger contra divulgações inadmissíveis de informações pessoais de saúde. Citando ações recentes de aplicação da lei da FTC contra Easy Healthcare, BetterHelp, GoodRx e Flo Health, a carta estabelece que é “essencial monitorar fluxos de dados de informações de saúde para terceiros por meio de tecnologias que você integrou em seu site ou aplicativo”. E se outra pessoa criasse seu site ou aplicativo? A responsabilidade pela conformidade ainda depende de você. Além disso, sua empresa é legalmente responsável mesmo que você não utilize os dados obtidos por meio de tecnologias de rastreamento para fins de marketing.

Além de ressaltar que ambas as agências estão acompanhando os desenvolvimentos nesta área, a carta termina com esta advertência: “Na medida em que você estiver usando as tecnologias de rastreamento descritas nesta carta em seu site ou aplicativo, recomendamos fortemente que você revise as leis citadas. nesta carta e tomar medidas para proteger a privacidade e a segurança das informações de saúde dos indivíduos.”

Este é um bom conselho para as empresas que receberam a carta conjunta – e também para outras empresas.

Confira mais recursos de privacidade em saúde da FTC.

Tag: