La Comisión Federal de Comercio de EE. UU. Emitió una declaración de política esta semana confirmando que los dispositivos conectados y las aplicaciones de salud que usan o recopilan información de salud de los consumidores deben notificar a los usuarios y a otras personas cuando se violan esos datos.
El incumplimiento, dijo la agencia, podría resultar en una multa de hasta $ 43,792 por violación por día.
“Dado que muchos estadounidenses recurren a aplicaciones y otras tecnologías para rastrear enfermedades, diagnósticos, tratamientos, medicamentos, estado físico, fertilidad, sueño, salud mental, dieta y otras áreas vitales, esta regla es más importante que nunca”, escribió la comisión en su declaración de política.
POR QUÉ ES IMPORTANTE
La declaración de política de la FTC tiene como objetivo ofrecer una guía, dice, sobre el alcance de su regla de notificación de infracciones de salud.
La regla tiene como objetivo garantizar que las organizaciones que no están cubiertas por HIPAA sigan siendo responsables de mantener seguros los datos de salud confidenciales de los clientes.
Aunque la regla se emitió hace más de una década, la proliferación de dispositivos conectados y aplicaciones de salud en los últimos años le da aún más importancia, dijo la agencia.
La FTC tampoco lo ha hecho cumplir nunca, pero ese tiempo, implica esta declaración, ha terminado.
“La regla cubre a los proveedores de registros médicos personales que contienen información de salud identificable individualmente creada o recibida por proveedores de atención médica”, dijo la declaración de política. “La regla se activa cuando tales entidades experimentan una ‘violación de la seguridad'”.
“Según las definiciones a las que se hace referencia cruzada por la regla, el desarrollador de una aplicación de salud o un dispositivo conectado es un ‘proveedor de atención médica, porque’ proporciona[es] servicios o suministros de salud ‘”, continuó el comunicado.
La FTC también señaló que considera que las aplicaciones están cubiertas si son capaces de extraer información de múltiples fuentes, incluso si algunas fuentes no contienen información de salud, como las fechas.
“Por ejemplo, una aplicación está cubierta si recopila información directamente de los consumidores y tiene la capacidad técnica para extraer información a través de una API que permite la sincronización con el rastreador de actividad física de un consumidor”, se lee en la declaración de política.
La agencia también recordó a las entidades que una “violación” no se limita a acciones nefastas, sino que también incluye acciones no autorizadas y compartir en general.
La presidenta de la FTC, Lina M. Khan, dijo en un comunicado que las aplicaciones aún tienen muy pocas protecciones de privacidad.
“Si bien esta regla impone cierta medida de responsabilidad a las empresas de tecnología que abusan de nuestra información personal, un problema más fundamental es la mercantilización de la información de salud sensible, donde las empresas pueden usar estos datos para alimentar anuncios de comportamiento o análisis de usuarios avanzados”, dijo.
“Dada la creciente prevalencia de la publicidad basada en la vigilancia, la comisión debería analizar qué datos se recopilan en primer lugar y si determinados tipos de modelos comerciales crean incentivos que necesariamente ponen en riesgo a los usuarios”, agregó.
LA TENDENCIA MÁS GRANDE
Las filtraciones de datos, tanto “nefastas” como accidentales, se han apoderado del ciclo de noticias en los últimos meses.
Esta semana, investigadores de ciberseguridad descubrieron una base de datos no protegida por contraseña que contiene más de 61 millones de registros con información de rastreadores de actividad física y dispositivos portátiles.
Pero la ayuda está en camino, al menos en lo que respecta a los dispositivos: la Universidad de Minnesota anunció recientemente que estaba lanzando un nuevo Centro de Ciberseguridad de Dispositivos Médicos destinado a funcionar como un centro para el descubrimiento, la divulgación y la capacitación de la fuerza laboral en torno a la seguridad de los dispositivos y las amenazas potenciales. .
EN EL REGISTRO
“La capacidad de la comisión para abordar los daños a la privacidad sería más fuerte si el Congreso promulgara una ley federal de privacidad integral”, señaló Morgan Reed, presidente de la Asociación de Aplicaciones, en un comunicado.
“Las aplicaciones de salud pueden desempeñar un papel positivo en la vida de los estadounidenses y están transformando nuestro sistema de atención médica, pero no sin una comunicación clara con los usuarios sobre el uso de sus datos. Esperamos trabajar con la FTC mientras consideran acciones adicionales en torno a los datos de salud y privacidad “, continuó Reed.
Kat Jercich es editora senior de Healthcare IT News.
.: @kjercich
Correo electrónico: [email protected]
Healthcare IT News es una publicación de HIMSS Media.