Novedades

El acuerdo reciente de la FTC sirve como recordatorio para los desarrolladores de salud digital
Muchos desarrolladores de aplicaciones de salud digitales que ofrecen soluciones de salud y bienestar directamente a los consumidores pueden encontrarse en un espacio no regulado por la Ley de Responsabilidad y Portabilidad de Seguros de Salud (“HIPAA”).
Tecnologías

Aunque potencialmente fuera del alcance de HIPAA, a los desarrolladores en este espacio se les recuerda los riesgos que surgen de otras leyes federales y estatales de privacidad y seguridad, incluidas las leyes de prácticas y actos de abuso injustos o engañosos (UDAAP). Un acuerdo reciente de la Comisión Federal de Comercio (“FTC”) arroja luz sobre la importancia de describir con precisión cómo se recopila, usa y comparte la información.

Específicamente, la FTC llegó a un acuerdo recientemente con Flo Health, Inc., una popular aplicación de seguimiento de la fertilidad, basada en las promesas hechas sobre cómo se compartirían los datos de salud. En su queja, la FTC alegó que, si bien Flo prometió mantener la privacidad de los datos de salud de los usuarios y solo usarlos para proporcionar los servicios de la aplicación a los usuarios, de hecho, la información de salud de más de 100 millones de usuarios se estaba compartiendo con compañías de terceros populares que brindan servicios de marketing y servicios de análisis a la aplicación.

Como muchos desarrolladores de aplicaciones, Flo rastreó tanto los eventos de aplicaciones estándar como el inicio o el cierre de la aplicación, como los eventos de aplicaciones "personalizados". Los eventos de aplicaciones personalizadas registran las interacciones de los usuarios exclusivas de aquellos que utilizan la aplicación Flo. Por ejemplo, si un usuario ingresa una fecha de menstruación, esa interacción se registra como un evento de aplicación personalizado. Flo usó esos eventos de aplicaciones personalizadas para mejorar la funcionalidad de la aplicación e identificar características que podrían ser de interés para el usuario. Flo también le dio a cada evento de aplicación personalizado un título descriptivo, como "R_PREGNANCY_WEEK_CHOSEN". Estos eventos de aplicaciones personalizados, con ese título descriptivo, transmitían información sobre la menstruación, la fertilidad o los embarazos de los usuarios.

En su aplicación, Flo integró varias herramientas de terceros (kits de desarrollo de software o SDK) que recopilaron publicidad u otros identificadores únicos de dispositivos. Al hacer esto, los SDK también recopilaron los eventos de aplicaciones personalizadas que revelan cierta información de salud sobre los usuarios. La FTC alegó que se trataba de compartir información médica con terceros y contradecía directamente las declaraciones de la política de privacidad de Flo que afirmaban no compartir nunca datos médicos (por ejemplo, "Podemos compartir cierta información no identificable sobre usted y algunos Datos personales (pero nunca datos relacionados para la salud)."). Además, Flo no limitó lo que estas empresas podían hacer con la información de los usuarios, aceptando los términos de servicio estándar de cada empresa. Además de supuestamente violar su política de privacidad, la FTC también señaló que este tipo de intercambio violaba varios de los propios términos de servicio / uso de terceros. Esos términos prohibían compartir información médica o confidencial.

Como parte del acuerdo, Flo debe notificar a los usuarios afectados sobre la divulgación de su información personal e instruir a cualquier tercero que haya recibido información médica de los usuarios para que destruya esos datos. Además, aparte de cualquier política de privacidad o términos de uso, antes de compartir cualquier información de salud con un tercero en el futuro, Flo debe revelar las categorías de información de salud que se compartirá, las identidades de los terceros, el propósito de tal divulgación y cómo se utilizará la información, y obtener el consentimiento expreso afirmativo de los usuarios. La FTC no impuso ninguna sanción financiera como parte del acuerdo.

Nuestro blog hermano analiza más detalles de este caso, incluidas las acusaciones de que Flo violó la UE-EE. UU. Privacy Shield y Swiss-U.S. Marcos del Escudo de privacidad.

Consideraciones prácticas

Las aplicaciones que recopilan información confidencial o de salud deben tener en cuenta que los títulos de eventos de aplicaciones personalizados descriptivos podrían transmitir inadvertidamente información que no está destinada a ser compartida con terceros. Esta información podría verse como un intercambio de información personal y, por lo tanto, la FTC (y otros) esperarán que se describa correctamente en la política de privacidad de la empresa y en cualquier otro lugar donde se realicen representaciones sobre el uso y el intercambio de datos. Las empresas que aún no lo hayan hecho querrán pensar en los títulos de eventos de las aplicaciones y la información que se comparte como parte de las integraciones de SDK y alinear eso con sus divulgaciones de privacidad. Este caso también es un recordatorio de que las empresas en el ámbito de la salud y el bienestar tienen obligaciones de privacidad y seguridad, incluso si están fuera del alcance de la aplicabilidad de HIPAA.

FUENTE: National Law Review
x
Este sitio utiliza cookies para su correcto funcionamiento. Para aceptar su uso presione Aceptar para continuar navegando. Aceptar
2018 - 2019   |   Todos los derechos reservados