FTC

Di solito non consigliamo di leggere la posta di altre persone, ma anche se non fossi una delle circa 130 aziende che hanno ricevuto una recente lettera congiunta dalla FTC e dall'Ufficio per i diritti civili (OCR) dell'HHS, chiunque nel campo della salute - ospedali, altri enti coperti da HIPAA, fornitori di telemedicina, sviluppatori di app sanitarie, ecc. – dovrebbero prendere a cuore la lettera e prendere in considerazione un controllo della privacy e della sicurezza presso la propria azienda.

La lettera congiunta avvisa i destinatari dei rischi che le tecnologie di tracciamento – tra cui Meta/Facebook pixel e Google Analytics – comportano per la privacy e la sicurezza delle informazioni sanitarie personali dei consumatori. Quando gli utenti interagiscono con siti Web o app mobili, le tecnologie spesso monitorano le loro attività online e raccolgono dati personali su di essi. Gran parte di ciò avviene dietro le quinte, con i consumatori completamente ignari di essere monitorati e incapaci di evitare ciò che sta accadendo.

La natura dei dati che queste tecnologie raccolgono senza il consenso dei consumatori – ad esempio condizioni di salute, diagnosi, farmaci e visite agli operatori sanitari – è assolutamente riservata. E la divulgazione inammissibile può portare al furto di identità, perdite finanziarie, discriminazione, stigmatizzazione, angoscia mentale e altre conseguenze dannose.

Ti consigliamo di leggere la lettera per conoscere il punto di vista dell'OCR sul tracciamento e sulle informazioni sanitarie personali, ma ecco una frase che vale la pena sottolineare: "Le entità regolamentate dall'HIPAA non sono autorizzate a utilizzare le tecnologie di tracciamento in modo tale da comportare la divulgazione non ammissibile di PHI a terzi." o qualsiasi altra violazione delle norme HIPAA." La lettera cita anche un bollettino OCR del dicembre 2022 con una panoramica su come l'HIPAA si applica all'uso delle tecnologie di tracciamento online.

Ma anche se un'azienda non è coperta dall'HIPAA, la lettera ricorda che ha ancora obblighi ai sensi della legge FTC e della regola di notifica delle violazioni sanitarie della FTC per proteggersi dalla divulgazione illecita di informazioni sanitarie personali. Citando le recenti azioni delle forze dell'ordine della FTC contro Easy Healthcare, BetterHelp, GoodRx e Flo Health, la lettera stabilisce che è "essenziale monitorare i flussi di dati di informazioni sanitarie a terzi tramite le tecnologie integrate nel proprio sito Web o app". E se il tuo sito o la tua app fossero progettati da qualcun altro? Il peso della conformità continua a spettare a te. Inoltre, la tua azienda è legalmente responsabile anche se non utilizzi i dati ottenuti tramite le tecnologie di tracciamento per scopi di marketing.

Oltre a sottolineare che entrambe le agenzie stanno monitorando gli sviluppi in questo settore, la lettera si conclude con questo ammonimento: “Nella misura in cui utilizzi le tecnologie di tracciamento descritte in questa lettera sul tuo sito web o app, ti invitiamo vivamente a rivedere le leggi citate in questa lettera e intraprendere azioni per proteggere la privacy e la sicurezza delle informazioni sanitarie delle persone."

Si tratta di un buon consiglio per le aziende che hanno ricevuto la lettera congiunta – e anche per altre aziende.

Scopri ulteriori risorse sulla privacy sanitaria della FTC.

tag: