Aunque
potencialmente fuera del alcance de HIPAA, a los desarrolladores en este
espacio se les recuerda los riesgos que surgen de otras leyes federales y
estatales de privacidad y seguridad, incluidas las leyes de prácticas y actos
de abuso injustos o engañosos (UDAAP). Un acuerdo reciente de la Comisión
Federal de Comercio (“FTC”) arroja luz sobre la importancia de describir con
precisión cómo se recopila, usa y comparte la información.
Específicamente,
la FTC llegó a un acuerdo recientemente con Flo Health, Inc., una popular
aplicación de seguimiento de la fertilidad, basada en las promesas hechas sobre
cómo se compartirían los datos de salud. En su queja, la FTC alegó que, si bien
Flo prometió mantener la privacidad de los datos de salud de los usuarios y
solo usarlos para proporcionar los servicios de la aplicación a los usuarios,
de hecho, la información de salud de más de 100 millones de usuarios se estaba
compartiendo con compañías de terceros populares que brindan servicios de
marketing y servicios de análisis a la aplicación.
Como muchos
desarrolladores de aplicaciones, Flo rastreó tanto los eventos de aplicaciones
estándar como el inicio o el cierre de la aplicación, como los eventos de
aplicaciones "personalizados". Los eventos de aplicaciones
personalizadas registran las interacciones de los usuarios exclusivas de
aquellos que utilizan la aplicación Flo. Por ejemplo, si un usuario ingresa una
fecha de menstruación, esa interacción se registra como un evento de aplicación
personalizado. Flo usó esos eventos de aplicaciones personalizadas para mejorar
la funcionalidad de la aplicación e identificar características que podrían ser
de interés para el usuario. Flo también le dio a cada evento de aplicación
personalizado un título descriptivo, como "R_PREGNANCY_WEEK_CHOSEN".
Estos eventos de aplicaciones personalizados, con ese título descriptivo,
transmitían información sobre la menstruación, la fertilidad o los embarazos de
los usuarios.
En su
aplicación, Flo integró varias herramientas de terceros (kits de desarrollo de
software o SDK) que recopilaron publicidad u otros identificadores únicos de
dispositivos. Al hacer esto, los SDK también recopilaron los eventos de
aplicaciones personalizadas que revelan cierta información de salud sobre los
usuarios. La FTC alegó que se trataba de compartir información médica con
terceros y contradecía directamente las declaraciones de la política de
privacidad de Flo que afirmaban no compartir nunca datos médicos (por ejemplo,
"Podemos compartir cierta información no identificable sobre usted y
algunos Datos personales (pero nunca datos relacionados para la salud).").
Además, Flo no limitó lo que estas empresas podían hacer con la información de
los usuarios, aceptando los términos de servicio estándar de cada empresa.
Además de supuestamente violar su política de privacidad, la FTC también señaló
que este tipo de intercambio violaba varios de los propios términos de servicio
/ uso de terceros. Esos términos prohibían compartir información médica o
confidencial.
Como parte
del acuerdo, Flo debe notificar a los usuarios afectados sobre la divulgación
de su información personal e instruir a cualquier tercero que haya recibido
información médica de los usuarios para que destruya esos datos. Además, aparte
de cualquier política de privacidad o términos de uso, antes de compartir
cualquier información de salud con un tercero en el futuro, Flo debe revelar las
categorías de información de salud que se compartirá, las identidades de los
terceros, el propósito de tal divulgación y cómo se utilizará la información, y
obtener el consentimiento expreso afirmativo de los usuarios. La FTC no impuso
ninguna sanción financiera como parte del acuerdo.
Nuestro
blog hermano analiza más detalles de este caso, incluidas las acusaciones de
que Flo violó la UE-EE. UU. Privacy Shield y Swiss-U.S. Marcos del Escudo de
privacidad.
Consideraciones prácticas
Las
aplicaciones que recopilan información confidencial o de salud deben tener en
cuenta que los títulos de eventos de aplicaciones personalizados descriptivos
podrían transmitir inadvertidamente información que no está destinada a ser
compartida con terceros. Esta información podría verse como un intercambio de
información personal y, por lo tanto, la FTC (y otros) esperarán que se
describa correctamente en la política de privacidad de la empresa y en
cualquier otro lugar donde se realicen representaciones sobre el uso y el
intercambio de datos. Las empresas que aún no lo hayan hecho querrán pensar en
los títulos de eventos de las aplicaciones y la información que se comparte
como parte de las integraciones de SDK y alinear eso con sus divulgaciones de
privacidad. Este caso también es un recordatorio de que las empresas en el
ámbito de la salud y el bienestar tienen obligaciones de privacidad y
seguridad, incluso si están fuera del alcance de la aplicabilidad de HIPAA.
FUENTE: National Law Review