Português
English
Français
Deutsch
Español
Italiano
日本語
한국어
Русский
FTC propõe mudanças para esclarecer a regra de notificação de violação de saúde
Em 18 de maio, a Federal Trade Commission (FTC) propôs alterações na regra de notificação de violação de saúde (o HBNR ou a regra), incluindo o esclarecimento da aplicabilidade da regra a aplicativos de saúde e outras tecnologias semelhantes. Essas mudanças propostas visam institucionalizar formalmente a ampla interpretação da Regra pela FTC, conforme descrito em sua declaração de política de 2021.
Especificamente, essas mudanças propostas expandiriam significativamente a forma como o HBNR se aplica em comparação com a maneira como muitas partes anteriormente entendiam a legislação relevante e a regra. Essas alterações ampliariam os tipos de entidades cobertas pela regra (como a aplicação a determinados aplicativos de saúde que não eram considerados anteriormente cobertos pela regra) e expandiriam os tipos de atividades que acionam as obrigações de notificação da regra (como como a divulgação não autorizada de certas informações de saúde a terceiros sem o consentimento do consumidor). Embora essas interpretações sejam consistentes com as recentes orientações e decisões de aplicação da FTC, elas são um novo desenvolvimento que esta regra proposta consolidaria como um requisito legal. As empresas potencialmente afetadas por esta proposta devem avaliar esta abrangência e cobertura adicionais no contexto da autoridade estatutária original e considerar a melhor forma de responder durante este período de comentários a essas alterações propostas.
Além disso, as mudanças propostas pela FTC para o HBNR fazem parte de uma série de ações que a agência tomou para mostrar que está particularmente preocupada em proteger o que considera categorias de dados "sensíveis". Além de suas recentes ações de execução envolvendo dados de saúde, a FTC anunciou recentemente duas ações de execução contra empresas por processar dados de crianças em violação da Lei de Proteção à Privacidade Online das Crianças. Também emitiu orientações em maio sobre o aumento dos riscos associados ao processamento de informações biométricas, indicando que a agência também está prestando atenção a essa questão. As empresas que processam essas categorias de dados mais sensíveis no curso normal dos negócios devem estar cientes de que a FTC está prestando muita atenção e devem garantir que suas práticas de privacidade sejam consistentes com as recentes orientações e ações de fiscalização da agência.
Resumimos as principais alterações propostas para a regra abaixo e estamos felizes em responder a quaisquer perguntas que você possa ter. Você pode continuar por dentro de nossas atualizações assinando o WilmerHale Privacy and Cybersecurity Blog.
Muitos aplicativos de saúde e tecnologias semelhantes não são cobertos pela HIPAA, mas esse escopo esclarecido da regra abrangeria essas empresas. As empresas que oferecem serviços relacionados ao bem-estar que podem não ter sido tradicionalmente vistos como problemas de saúde ou médicos também devem observar que esse escopo esclarecido pretende cobri-los - um produto marcado como um produto de "bem-estar" (em vez de um produto de "saúde") pode ainda estar sujeito às obrigações HBNR de acordo com essas alterações propostas.
As mudanças propostas também esclareceriam que apenas entidades que acessam ou enviam informações de saúde identificáveis PHR não seguras são consideradas entidades relacionadas a PHR, na tentativa da agência de restringir o escopo de entidades sob esta definição. Para evitar obrigações conflitantes como resultado dessa nova definição, a agência também procura esclarecer que um prestador de serviços terceirizado não é considerado uma entidade relacionada ao PHR quando acessa informações de saúde não seguras do PHR durante a prestação de serviços.
Expandindo a definição de uma violação de segurança
Com as alterações, a regra também atualizaria a definição de violação de segurança para abranger a aquisição não autorizada de informações de saúde identificáveis PHR que ocorre como resultado de uma violação de segurança de dados ou divulgação não autorizada.
A regra atual define uma violação de segurança como "a aquisição de informações de saúde identificáveis PHR não seguras de um indivíduo em um registro pessoal de saúde sem a autorização do indivíduo" e inclui uma presunção refutável de acesso não autorizado aos dados de um indivíduo. A nova definição incluiria "um