La legislatura del estado de Washington ha aprobado Un amplio proyecto de ley de protección de datos que podría cambiar la forma en que las empresas recopilan, usan y divulgan los datos de salud de los consumidores, incluida la información relacionada únicamente con la salud y el bienestar. Si el gobernador lo firma, el Proyecto de Ley 1155 de la Cámara de Representantes, denominado Ley Mi Salud, Mis Datos (“MHMD”), establecería nuevas restricciones significativas en torno a los datos de salud del consumidor que van más allá del alcance tradicional de la Ley Federal de Portabilidad y Responsabilidad de la Información de Salud ( HIPAA), al regular no solo a los proveedores de atención médica y los planes de salud, sino también a cualquier negocio que recopile información relacionada con la salud o información que pueda llevar a conclusiones sobre la condición de salud física o mental de una persona.

La Ley Mi Salud, Mis Datos llega en un momento en que las preocupaciones sobre la privacidad en torno al uso comercial de la salud y los datos de los consumidores relacionados con la salud están en su punto más alto. Las acciones de aplicación recientes de la Comisión Federal de Comercio (FTC) y los esfuerzos de demandas colectivas centrados en las tecnologías de seguimiento de sitios web han subrayado el uso y el intercambio de estos conjuntos de datos, y estas prácticas están sujetas a un escrutinio específico donde fomentan los problemas de privacidad y derechos reproductivos en el período posterior. . . Sentencia del Tribunal Supremo de junio de 2022 en Dobbs v. Organización de Salud de la Mujer de Jackson.

Aquí hay algunas cosas importantes que debe saber sobre MHMD:

1. El alcance es amplio

MHMD es reconocido por su amplia definición de “datos de salud del consumidor” y la amplia gama de consumidores y entidades que la aplican.

El MHMD define “datos de salud del consumidor” como cualquier información que pueda vincularse a un residente de Washington o a una persona cuyos datos se hayan recopilado en Washington y que identifique la salud física o mental pasada, presente o futura de un consumidor, u otros atributos como “funciones corporales .” .” La definición incluye casos en los que los atributos tradicionales, como las condiciones de salud y los tratamientos, pueden “derivarse o extrapolarse” de información no relacionada con la salud. En otras palabras, MHMD incluye inferencias derivadas de cualquier información si esa inferencia puede revelar algo sobre un estado físico. condición de salud o mentalidad del consumidor, como, hipotéticamente, cuando un consumidor hojea un artículo de noticias sobre el tratamiento de la diabetes o compra fórmula infantil.

Como tal, la definición tiene el potencial de incluir no solo datos sobre diagnósticos y condiciones médicas específicas, sino también datos biométricos y de ubicación que se pueden usar para hacer inferencias sobre la salud cuando se asocian con un producto o servicio de salud o bienestar. Como resultado, los productos de consumo (como los dispositivos portátiles), los sitios web y las aplicaciones que recopilan (ya sea de forma automática o manual) y comparten datos de salud del consumidor sobre temperatura corporal, frecuencia cardíaca, ciclo menstrual, búsqueda de salud en línea y datos de geolocalización para información relacionada con la salud. las visitas serán facturadas.

También se considera el alcance potencial del proyecto de ley.
cada entidades legales que realizan negocios en el estado de Washington o que dirigen sus productos o servicios a los residentes de Washington y que especifican propósitos o métodos para recopilar datos de salud del consumidor. A diferencia de muchas generaciones actuales de leyes estatales de privacidad de EE. UU., MHMD no contiene umbrales de cumplimiento para la cobertura, como ingresos o volúmenes de recopilación de datos.

2. Esto requiere consentimiento para participar

MHMD requiere el consentimiento de aceptación para cualquier recopilación, uso, divulgación u otro procesamiento de datos de salud del consumidor más allá de lo requerido para proporcionar el producto o servicio que solicita el consumidor. Las entidades reguladas deben explicar a los consumidores en un lenguaje fácil de entender y sin ambigüedades lo que están aceptando, y el consentimiento debe obtenerse voluntariamente.

Este nuevo requisito es el último de una tendencia reciente de exigir el consentimiento informado y afirmativo antes de recopilar cualquier dato. En enero, entró en vigor la Ley de Protección de Datos del Consumidor de Virginia (VCDPA) y exige el consentimiento informado y afirmativo para la recopilación de diagnósticos de salud mental o física, entre otras cosas. En los últimos meses, la FTC también ha requerido el consentimiento afirmativo por escrito antes de compartir información de salud como condición para llegar a un acuerdo.

MHMD también prohíbe la implementación de geocercas alrededor de empresas que brindan servicios de salud cara a cara cuando la geocerca se usa para recopilar o rastrear datos de consumidores o para entregar anuncios relacionados con datos de salud de consumidores. Esta prohibición integral significa que las empresas cubiertas no pueden obtener el consentimiento del consumidor para dicha actividad.

3. Esto impone limitaciones potencialmente insuperables en la mayoría de las acciones de terceros

MHMD impone restricciones significativas a la venta de datos, que se definen ampliamente para cubrir la mayoría de los casos de intercambio de datos con terceros. Las empresas que deseen vender datos de salud del consumidor a terceros primero deben obtener una autorización por escrito del consumidor, que incluye especificar el propósito de la venta y proporcionar información de contacto de la entidad que compra los datos. Al igual que las leyes de privacidad estatales recientes, como la Ley de Privacidad del Consumidor de California (CCPA), el MHMD define una “venta” o “venta” como “compartir datos de salud del consumidor por consideraciones monetarias u otras consideraciones valiosas”. Sin embargo, en una divergencia importante de la ley, MHMD requerirá el consentimiento para participar en lugar de optar por no participar.

4. Proporciona derechos de privacidad adicionales, familiares y desconocidos.

Al igual que el Reglamento General de Protección de Datos de la UE (GDPR) y la Ley de Privacidad del Consumidor de California (CCPA), la Ley Mi Salud, Mis Datos establece amplios derechos de privacidad, incluido el derecho a acceder a los datos y la capacidad de optar por no participar o revocar el consentimiento. A diferencia del RGPD y la CCPA, MHMD promete lo que podría decirse que son derechos de borrado prácticamente ilimitados, en particular, sin excepciones que permitan a las entidades cubiertas rechazar o retrasar una solicitud de eliminación con fines tales como cumplir con los requisitos legales de mantenimiento y retención de registros.

MHMD también requiere que las entidades reguladas publiquen una notificación de “Política de privacidad de datos de salud del consumidor”. En las circunstancias actuales, el MHMD no tiene claro si es necesario que las empresas reguladas proporcionen una política de privacidad de datos de salud del consumidor por separado o si las modificaciones a las políticas y avisos de privacidad existentes son suficientes.

Las entidades reguladas también deben implementar medidas de seguridad razonables, establecer estrictos controles de acceso interno e incluir ciertas disposiciones relacionadas con la protección de datos en sus contratos con procesadores, similares a los requisitos de los contratos de procesadores de datos o proveedores de servicios bajo el RGPD, CCPA y las leyes de protección. otros datos

5. Acoger pleitos personales

El MHMD proporciona sólidos mecanismos de cumplimiento, incluida la capacidad de los ciudadanos para enjuiciar a los infractores. Además de la aplicación del fiscal general, las entidades reguladas estarán sujetas a demandas civiles por parte de personas que alegan violaciones del MHMD en virtud de la Ley de Protección al Consumidor de Washington.

* * *

Si se aprueba, el proyecto de ley entrará en vigencia el 31 de marzo de 2024 para la mayoría de las entidades reguladas y el 30 de junio de 2024 para las pequeñas empresas. Las empresas que saben que estarán sujetas a MHMD ahora se enfrentan a obligaciones de aprobación más estrictas, así como a una prohibición de facto de compartir la mayoría de los datos de salud de los consumidores con terceros. El trabajo debe comenzar de inmediato para evaluar la idoneidad de las prácticas comerciales actuales o planificadas que involucran la recopilación o el intercambio de información, incluso aquellas directamente relacionadas con la salud del consumidor, y las empresas deben desarrollar un plan para implementar medidas de cumplimiento durante los próximos 12 meses.

El contenido de este artículo pretende proporcionar una guía general sobre el tema. Se debe buscar el consejo de un especialista acerca de sus circunstancias particulares.