La FTC propone cambios para aclarar la regla de notificación de violaciones de la salud

El 18 de mayo, la Comisión Federal de Comercio (FTC, por sus siglas en inglés) propuso cambios a la regla de notificación de infracciones de salud (la HBNR o la regla), incluida la aclaración de la aplicabilidad de la regla a las aplicaciones de salud y otras tecnologías similares. Estos cambios propuestos buscan institucionalizar formalmente la interpretación amplia de la regla de la FTC, como se describe en su declaración de política de 2021.

Específicamente, estos cambios propuestos ampliarían significativamente la forma en que se aplica la HBNR en comparación con la forma en que muchas partes habían entendido previamente la legislación y la regla pertinentes. Estos cambios ampliarían los tipos de entidades cubiertas por la Regla (por ejemplo, mediante la aplicación a ciertas aplicaciones de salud que antes no se pensaba que estaban cubiertas por la Regla) y ampliarían los tipos de actividades que activan las obligaciones de notificación de la Regla (como como la divulgación no autorizada de cierta información de salud a un tercero sin el consentimiento del consumidor). Si bien estas interpretaciones son consistentes tanto con la guía reciente de la FTC como con las decisiones de aplicación, son un nuevo desarrollo que esta regla propuesta ahora consolidaría como un requisito legal. Las empresas potencialmente afectadas por esta propuesta deben evaluar esta amplitud y cobertura adicionales en el contexto de la autoridad legal original y considerar la mejor manera de responder durante este período de comentarios a estos cambios propuestos.

Además, los cambios propuestos por la FTC al HBNR son parte de una serie de acciones que la agencia ha tomado para demostrar que está particularmente preocupada por proteger lo que considera categorías de datos "sensibles". Además de sus acciones de ejecución recientes relacionadas con datos de salud, la FTC ha anunciado recientemente dos acciones de ejecución contra empresas por procesar datos de niños en violación de la Ley de protección de la privacidad en línea de los niños. También emitió una guía en mayo sobre los mayores riesgos asociados con el procesamiento de información biométrica, lo que indica que la agencia también está prestando atención a este problema. Las empresas que procesan estas categorías de datos más confidenciales en el curso ordinario de los negocios deben ser conscientes de que la FTC está prestando mucha atención y deben asegurarse de que sus prácticas de privacidad sean consistentes con las recientes acciones de orientación y cumplimiento de la agencia.

Hemos resumido los cambios clave propuestos a la Regla a continuación y estamos felices de responder cualquier pregunta que pueda tener. Puede seguir estando al tanto de nuestras actualizaciones suscribiéndose al blog de privacidad y ciberseguridad de WilmerHale.

Muchas aplicaciones de salud y tecnologías similares no están cubiertas por HIPAA, pero este alcance aclarado de la Regla cubriría a dichas empresas. Las empresas que ofrecen servicios relacionados con el bienestar que podrían no haber sido vistos tradicionalmente como problemas de salud o médicos también deben tener en cuenta que este alcance aclarado tiene la intención de cubrirlos: un producto etiquetado como un producto de "bienestar" (en lugar de un producto de "salud") podría seguirá estando sujeto a las obligaciones de HBNR en virtud de estos cambios propuestos.

Los cambios propuestos también aclararían que solo las entidades que acceden o envían información de salud identificable de PHR no segura se consideran entidades relacionadas con PHR, en el intento de la agencia de reducir el alcance de las entidades bajo esta definición. Para evitar conflictos de obligaciones como resultado de esta nueva definición, la agencia también busca aclarar que un tercero proveedor de servicios no se considera una entidad relacionada con PHR cuando accede a información de salud no segura de PHR en el curso de la prestación de servicios.

Ampliación de la definición de una brecha de seguridad

Según los cambios, la Regla también actualizaría la definición de violación de seguridad para cubrir la adquisición no autorizada de información de salud identificable de PHR que ocurre como resultado de una violación de seguridad de datos o divulgación no autorizada.

La regla actual define una violación de seguridad como "la adquisición de información de salud identificable de PHR no segura de un individuo en un registro de salud personal sin la autorización del individuo" e incluye una presunción refutable por el acceso no autorizado a los datos de un individuo. La nueva definición incluiría "unano autorizadoadquisición de información de salud identificable de PHR no segura en un registro de salud personalque ocurre como resultado de una violación de datos o una divulgación no autorizada(énfasis agregado). La nueva definición haría evidente que la adquisición no autorizada de información de salud identificable que ocurra como resultado de una infracción o divulgación no autorizada estaría cubierta por la Regla.

Las empresas que comparten información con terceros deben asegurarse de que dichas divulgaciones hayan sido autorizadas por el cliente. Según la nueva definición, una divulgación voluntaria realizada por un proveedor de PHR sin la autorización del consumidor calificaría explícitamente como una violación de seguridad, de acuerdo con las acciones recientes de la FTC, como en los casos GoodRx y Easy Healthcare.

Modernización de los métodos de notificación

Según la nueva Regla, electrónico significaría correo electrónico en combinación con al menos uno de los siguientes: mensajes de texto, mensajes dentro de la aplicación o banner electrónico. La adición de la segunda vertiente a un aviso por correo electrónico tiene como objetivo aumentar la probabilidad de que los consumidores encuentren la notificación de incumplimiento.

Actualmente, las empresas tienen la obligación de incluir en sus avisos una descripción de los tipos de información de salud identificable de PHR no segura que podría haber estado involucrada en la violación. La Regla actual establece ejemplos de dicha información, como nombre completo, fecha de nacimiento, número de Seguro Social, número de cuenta o código de discapacidad. Según los cambios propuestos, esta lista se ampliaría para incluir otros tipos de información de salud identificable de PHR, como diagnóstico de salud o información sobre condiciones, resultados de laboratorio, medicamentos, otra información de tratamiento, el uso del usuario de una aplicación móvil relacionada con la salud y el dispositivo. identificador La FTC señala que la exposición de la información de salud puede provocar una variedad de daños; por ejemplo, incluso la divulgación del uso de una aplicación móvil relacionada con la salud por parte de un individuo podría provocar lesiones que incluyen vergüenza, estigma social, primas de seguro médico más caras e incluso la pérdida del empleo. Las empresas que experimentan una brecha de seguridad deben pensar detenidamente qué tipo de información de salud puede haber estado expuesta, porque la agencia está señalando una interpretación amplia de lo que implica la información de salud identificable de PHR.

El cambio final propuesto a la regla requiere que las empresas proporcionen al menos dos procedimientos de contacto para que las personas puedan obtener más información sobre la infracción.