Atención médica, HIPAA/HITECH, una agencia de la industria específica debe eliminar las disposiciones de orientación actualizadas con respecto a ciertas ‘combinaciones’ de PHI Marianne Kolbasuk McGee (HealthInfoSec) • 21 de junio de 2024 Imagen: Getty Images Un tribunal federal de Texas dictaminó que el Departamento de Salud y Servicios Humanos de EE. UU. se excedió en su autoridad en una guía que advierte a las entidades reguladas por HIPAA que es ilegal utilizar herramientas de seguimiento en línea para capturar direcciones IP en visitas a sitios web que contienen información sobre enfermedades. Ver también: Reducción de la complejidad en TI para el cuidado de la salud El Tribunal de Distrito de EE. UU. para el Distrito Norte de Texas, División de Fort Worth, dictaminó el jueves que partes de la guía de la Oficina de Derechos Civiles del HHS con respecto al uso de rastreadores en línea “fueron promulgadas en claro exceso de la autoridad del HHS bajo HIPAA”. El tribunal dictaminó que la Oficina de Derechos Civiles se equivocó al decir que la tecnología de seguimiento que captura la dirección IP del dispositivo de un usuario y la relaciona con una visita a una página web que aborda condiciones de salud específicas o enumera a proveedores de atención médica «es una combinación suficiente de información para constituir información de salud individualmente identificable”. «La combinación proscrita no mejora las protecciones de privacidad actuales y al mismo tiempo pone en peligro la difusión de información importante sobre atención médica a las masas», dijo el tribunal. La Asociación Estadounidense de Hospitales, junto con otras tres organizaciones, cuestionó la guía en noviembre (ver: AHA demanda a los federales por advertencia de privacidad sobre el uso de rastreadores web). El tribunal de Texas no dictaminó que todas las nuevas directrices sobre rastreadores web sean inválidas, centrándose en la combinación de direcciones IP e identificadores relacionados combinados con la intención del visitante del sitio web. La orden de anular la combinación prohibida “no pretende ni debe interpretarse como una limitación de la operatividad legal de otras orientaciones contenidas en el documento pertinente del HHS”, dijo el tribunal. El abogado regulador Paul Hales del Hales Law Group – que no estuvo involucrado en el litigio – dijo que el “remedio limitado” del tribunal es “muy significativo”. “Solo elimina la guía de la OCR de que recopilar la dirección IP de un visitante en la página web no autenticada de un hospital podría resultar en una divulgación de PHI que viola HIPAA. Una página web no autenticada no requiere que el visitante inicie sesión. El resto de la guía tecnológica de seguimiento de OCR permanece completamente intacta”. “La AHA prevaleció pero no llegó ni cerca del resultado solicitado. A la OCR sólo se le impide considerar la adquisición de una dirección IP, por sí sola, de una página web no autenticada como una violación de HIPAA”, dijo. Alerta temprana La OCR del HHS emitió por primera vez una guía en diciembre de 2022 para advertir a las entidades cubiertas que el uso de rastreadores en línea en sus sitios web para recopilar y compartir con terceros información de salud protegida de las personas, incluidas las direcciones IP, planteaba posibles violaciones de la HIPAA (consulte: Rastreadores web del HHS en portales de pacientes violan HIPAA). Después de que la AHA presentó su demanda, la OCR del HHS revisó esa guía en marzo, diciendo que la intención del visitante del sitio web es importante al determinar si la recopilación de una dirección IP u otros identificadores se considera IIHI. Si el motivo de un individuo para visitar el sitio web de una entidad de atención médica está relacionado con su atención médica personal, en lugar de buscar un trabajo en la organización, por ejemplo, entonces la dirección IP de ese individuo puede convertirse en IIHI, dijo HHS OCR (consulte: Tracker Backtrack ? Los federales revisan la guía HIPAA sobre herramientas web). Pero el tribunal dictaminó que la “combinación prohibida”, tal como se establece en el boletín OCR actualizado del HHS del 18 de marzo, “es ilegal, ya que fue promulgada en claro exceso de la autoridad del HHS bajo HIPAA”. «El fallo ciertamente expone una extralimitación», dijo el abogado de privacidad Kirk Nahra del bufete de abogados WilmerHale, que no participó en la demanda. “La orientación inicial claramente tenía elementos que no podían ser correctos; por ejemplo, alguien que visitó el sitio web de un hospital para solicitar un trabajo no espera ser un paciente. La guía revisada trazó líneas sobre la intención de un individuo que un hospital posiblemente no podría conocer”, dijo. «Esta guía siempre ha sido una fuente de confusión y no fue particularmente útil más allá de alentar a los hospitales a revisar sus sitios web en general», dijo. “Era justo identificar este problema para los hospitales en general. No parecía apropiado establecer una regla firme, especialmente una tan amplia como ésta, o tomar medidas coercitivas basadas en acciones anteriores a esta guía”, dijo. La OCR del HHS emitió su guía de seguimiento en línea original en diciembre de 2022, después de que la Corte Suprema anulara Roe v. Wade en junio de 2022. La guía se produjo en medio de crecientes preocupaciones sobre la privacidad sobre la información personal y de salud sensible que se recopila y comparte desde sitios web y aplicaciones móviles relacionados con la salud. con terceros mediante el uso de rastreadores en línea, como Facebook Meta Pixel y Google Analytics. Cuestiones delicadas El uso de rastreadores web en sitios web relacionados con la salud todavía está lleno de controversia, dijeron algunos expertos. Entre otras preocupaciones, los expertos en salud reproductiva y privacidad han advertido que las fuerzas del orden pueden intentar recopilar información sobre abortos a través de huellas digitales dejadas en línea y en teléfonos inteligentes. «Ésta es un área frágil con una variedad de implicaciones, especialmente en lo que se refiere a la salud reproductiva y las diversas leyes estatales posteriores a Roe», dijo la abogada reguladora Rachel Rose, que no participa en el litigio. Las entidades que estén considerando el uso de rastreadores en línea en sitios web relacionados con la salud deben proceder con precaución, dijo Rose. «La entrada y salida de PHI o componentes importantes de información identificable se requiere como parte de un análisis de riesgo», dijo. “Entonces, dependiendo de qué información se extraiga, cómo se utilice y si hay ventas y marketing u otro uso ilegal de la misma, entonces no, no está bien. Es posible que se permitan análisis internos, pero debe existir un acuerdo de socio comercial con Google u otra empresa de seguimiento de datos”. El gigante tecnológico Meta se enfrenta a una propuesta de demanda colectiva federal consolidada que implica el uso de Pixel en sitios web relacionados con la salud (ver: El juez niega el segundo intento de Meta de desestimar el caso de privacidad de Pixel). Además, durante los últimos dos años, varias entidades de atención médica importantes, incluidas Advocate Aurora Health y Community Health Network, han informado a la OCR del HHS grandes infracciones de HIPAA relacionadas con el uso anterior de rastreadores web. Mientras tanto, la AHA considera que el fallo del tribunal de Texas es una victoria. «Durante más de un año, la AHA ha estado diciendo a la Oficina de Derechos Civiles que su ‘Boletín de seguimiento en línea’ era ilegal y perjudicial para los pacientes y las comunidades», dijo Chad Golder, abogado general de la AHA, en una declaración a Information Security Media. Grupo. «Lamentamos habernos visto obligados a demandar a la OCR, pero nos complace que el tribunal haya coincidido con la AHA y haya sostenido que la OCR no tiene ‘carta blanca interpretativa para justificar lo que quiera, independientemente de la violencia contra el texto de la HIPAA'», dijo. Como resultado de la decisión del tribunal, “los hospitales y los sistemas de salud podrán nuevamente confiar en estas importantes tecnologías para brindar a sus comunidades información de atención médica confiable y precisa”, dijo Golder. La OCR del HHS no respondió de inmediato a la solicitud del ISMG de comentar sobre el fallo o sobre los próximos pasos de la agencia. La OCR del HHS puede apelar la decisión, dijo Rose. Además de AHA, los otros demandantes que presentaron conjuntamente la demanda contra HHS OCR fueron la Asociación de Hospitales de Texas, Recursos de Salud de Texas y United Regional Health Care System. URL de la publicación original: https://www.databreachtoday.com/court-hhs-overstepped-hipaa-authority-in-web-tracking-guide-a-25596