Por la Lcda. Melissa M. Bayona Torres (Ferraiuoli LLC)

El Federal Trade Commission ("FTC") y la Oficina de Derechos Civiles ("OCR", por sus siglas en inglés) del Departamento de Salud y Servicios Humanos de los Estados Unidos han emitido un comunicado conjunto ("Comunicado") dirigido a varios hospitales y proveedores de servicios de telemedicina con respecto a los riesgos de seguridad y privacidad relacionados al uso de tecnologías de rastreo en línea (también conocidas como "online tracking technologies").

En particular, el Comunicado enfatiza que las páginas web o aplicaciones móviles que utilizan algunos hospitales y proveedores de servicios de telemedicina podrían estar compartiendo a terceros información personal de salud sensitiva de sus pacientes, tales como condiciones de salud, diagnósticos, medicamentos, tratamientos médicos, frecuencia de visitas a profesionales de la salud, entre otros. Según explica el Comunicado, esto constituye una violación del Health Insurance Portability and Accountability Act of 1996 ("HIPAA"). Lo anterior podría conllevar a una serie de riesgos para la persona cuya información de salud ha sido compartida, desde riesgos de privacidad o económicos hasta riesgos mentales o de salud. Adicional a lo anterior, el Comunicado discute un resumen con respecto a las responsabilidades de los hospitales, los proveedores de servicios de telemedicina y las entidades interventoras en el manejo de la información personal de salud, los cuales se detallan a continuación.

En primer lugar, las entidades reguladas por HIPPA que obtengan información personal de salud a través de tecnologías de rastreo o que les divulguen a terceros dicha información, no podrán utilizar tecnologías de rastreo de manera que se realicen divulgaciones no permitidas de dicha información personal de salud a terceros, incluyendo, sin limitarse a, proveedores de tecnologías de rastreo. En particular, se considera como una divulgación no permitida la divulgación de información personal de salud a proveedores de tecnologías de rastreo para propósitos de mercadeo y publicidad, sin previa autorización de la persona cuya información ha sido divulgada. Dicha autorización debe estar en cumplimiento con los estándares y requisitos establecidos por HIPPA.

Por otro lado, el Comunicado destaca que la obligación de proteger la información personal de salud y evitar las divulgaciones no permitidas con respecto a la misma no es exclusivamente para las entidades reguladas por HIPPA. Bajo el Federal Trade Commission Act of 1914 ("FTC Act"), esta obligación también se extiende a otras entidades que manejen información personal de salud, aunque no sean entidades reguladas por HIPPA. La obligación de proteger la información personal de salud de divulgaciones no permitidas se mantiene, aun si se utilizó a un tercero para desarrollar la página web y/o aplicación móvil a través de la cual se maneja o se obtiene dicha información. También se mantiene la obligación aun si no se utiliza la información que fue obtenida a través de tecnologías de rastreo. Las entidades que manejan u obtienen información personal de salud deben monitorear el flujo y movimiento de dicha data, especialmente cuando la misma se comparte con terceros a través de tecnologías integradas dentro de las páginas web y/o aplicaciones móviles.

Adicional a HIPPA y al FTC Act, estas prácticas y obligaciones que se detallan anteriormente también podrían estar sujetas a leyes o regulaciones estatales y/o federales con respecto al uso de tecnología de rastreo y a la protección de la información personal de salud de los individuos.