Português
English
Français
Deutsch
Español
Italiano
日本語
한국어
Русский
LarProtegendo a privacidade das informações de saúde: uma dúzia de conclusões dos casos da FTC
Nos últimos meses, a FTC anunciou caso após caso envolvendo dados confidenciais de saúde dos consumidores, alegando violações da Seção 5 da Lei da FTC e da Regra de Notificação de Violação de Saúde da FTC. A privacidade das informações de saúde é uma prioridade para os consumidores – e por isso é uma prioridade para a FTC. Empresas que coletam ou utilizam dados de saúde, ouçam. Há uma série de mensagens importantes de BetterHelp, GoodRx, Premom, Vitagene e outros assuntos da FTC que você precisa ouvir.
Compreenda a amplitude das “informações sobre saúde”. As informações de saúde não envolvem apenas medicamentos, procedimentos e diagnósticos. Pelo contrário, é qualquer coisa que transmita informação – ou permita uma inferência – sobre a saúde de um consumidor. Na verdade, Premom, BetterHelp, GoodRx e Flo Health deixam claro que o fato de um consumidor estar usando um determinado aplicativo ou site relacionado à saúde – relacionado à saúde mental ou fertilidade, por exemplo – ou como ele interage com esse aplicativo (digamos , ativar ou desativar o “modo de gravidez”) pode, em si, ser uma informação de saúde. Nossa orientação sobre saúde e localização destaca o fato de que os dados de localização podem transmitir informações de saúde. Por exemplo, idas repetidas a uma unidade de tratamento de câncer podem transmitir informações altamente confidenciais sobre a saúde de um indivíduo. Para permanecer do lado certo da Lei FTC, tenha uma visão ampla do que constitui dados de saúde e proteja-os adequadamente.
A sua obrigação de proteger a privacidade das informações de saúde é um dado adquirido. A necessidade de privacidade desde a concepção é (ou deveria ser!) axiomática neste momento, especialmente quando se trata de informações pessoais sensíveis. Se você estiver coletando ou usando dados de saúde de consumidores, avalie e documente os riscos para esses dados e implemente salvaguardas robustas para protegê-los, como um programa de privacidade por escrito, treinamento e supervisão de privacidade e retenção de dados, finalidade e limitações de uso. Mesmo que você não ache que isso seja necessário, a FTC pode dizer o contrário, como mostram as reclamações em BetterHelp e GoodRx. Nessas ações, a FTC alegou especificamente que o facto de as empresas não disporem de políticas e procedimentos de privacidade adequados contribuiu para as alegadas práticas desleais de privacidade. Para cumprir a lei, combine suas decisões tecnológicas com considerações de privacidade.
Não use tecnologias de rastreamento nos bastidores que contradigam suas promessas de privacidade ou prejudiquem os consumidores. Na economia de vigilância actual, o consumidor é muitas vezes o produto. Os dados do consumidor alimentam a máquina publicitária que retorna diretamente ao consumidor. Mas quando as empresas utilizam dados sensíveis de saúde dos consumidores para fins de marketing e publicidade, como para enviar esses dados a empresas de marketing através de pixels de rastreio em websites ou kits de desenvolvimento de software em aplicações, tenha cuidado. BetterHelp, GoodRx, Premom e Flo deixam claro que práticas como essa podem entrar em conflito com a Lei FTC se violarem promessas de privacidade ou se a empresa não conseguir obter o consentimento expresso afirmativo dos consumidores para a divulgação de informações confidenciais de saúde. GoodRx e Premom sublinham que esta conduta também pode violar a Regra de Notificação de Violação de Saúde, que exige notificação aos consumidores, à FTC e, em alguns casos, à mídia, de divulgações de informações de saúde sem a autorização dos consumidores. Precisa entender mais sobre as implicações do rastreamento? Confira as orientações da FTC sobre rastreamento de pixels e cartas conjuntas da FTC-HHS para hospitais e provedores de telessaúde para obter mais informações sobre questões de privacidade relacionadas ao rastreamento.
Não compartilhe informações de saúde dos consumidores de forma inadequada – e também não as receba. Depois de casos como BetterHelp, GoodRx, Premom e Flo, está bastante claro que a divulgação não autorizada de informações de saúde dos consumidores a outras empresas pode colocar o remetente desses dados em maus lençóis. Mas, dependendo dos factos, o destinatário desses dados também poderá ser responsabilizado nos termos da Secção 5. Se receber informações de outras empresas para fins publicitários ou de marketing (por exemplo), poderá ter a responsabilidade, nos termos da Secção 5, de tomar medidas (como como medidas processuais e técnicas) para garantir que você não se envolva no recebimento, uso ou divulgação não autorizada de informações confidenciais. Apenas usar um contrato ou termos de uso padrão e prontos para uso para proibir o envio de certas informações pode não ser suficiente.