Italiano
English
Français
Deutsch
Español
Português
日本語
한국어
Русский
La FTC propone modifiche per chiarire la regola di notifica delle violazioni sanitarie
Il 18 maggio, la Federal Trade Commission (FTC) ha proposto modifiche alla Health Breach Notification Rule (HBNR o la Regola), incluso il chiarimento dell'applicabilità della regola alle app sanitarie e ad altre tecnologie simili. Queste modifiche proposte mirano a istituzionalizzare formalmente l’ampia interpretazione della norma da parte della FTC, come delineato nella sua dichiarazione politica del 2021.
Nello specifico, queste modifiche proposte amplierebbero in modo significativo il modo in cui si applica l’HBNR rispetto al modo in cui molti partiti avevano precedentemente compreso la legislazione pertinente e la norma. Questi cambiamenti amplierebbero sia i tipi di entità coperte dalla Regola (ad esempio applicandosi a determinate app sanitarie che in precedenza non si pensava fossero coperte dalla Regola) sia espanderebbero i tipi di attività che fanno scattare gli obblighi di notifica della Regola (come come la divulgazione non autorizzata di determinate informazioni sanitarie a terzi senza il consenso del consumatore). Sebbene queste interpretazioni siano coerenti sia con le recenti linee guida che con le decisioni di applicazione della FTC, rappresentano un nuovo sviluppo che questa norma proposta ora consoliderebbe come requisito legale. Le aziende potenzialmente interessate da questa proposta dovrebbero valutare questa ulteriore ampiezza e copertura nel contesto dell’autorità statutaria originaria e considerare il modo migliore per rispondere durante questo periodo di commento a queste modifiche proposte.
Inoltre, le modifiche proposte dalla FTC all'HBNR fanno parte di una serie di azioni che l'agenzia ha intrapreso per dimostrare che è particolarmente preoccupata di proteggere quelle che ritiene essere categorie di dati "sensibili". Oltre alle recenti azioni coercitive che coinvolgono dati sanitari, la FTC ha recentemente annunciato due azioni coercitive contro aziende per il trattamento dei dati dei bambini in violazione del Children's Online Privacy Protection Act. A maggio ha inoltre pubblicato linee guida sui maggiori rischi associati al trattamento delle informazioni biometriche, indicando che l’agenzia sta prestando attenzione anche a questo problema. Le aziende che trattano queste categorie di dati più sensibili nel normale svolgimento delle loro attività dovrebbero essere consapevoli che la FTC sta prestando molta attenzione e dovrebbero garantire che le loro pratiche sulla privacy siano coerenti con le recenti linee guida e le azioni di applicazione dell'agenzia.
Abbiamo riassunto di seguito le principali modifiche proposte alla Regola e siamo lieti di rispondere a qualsiasi domanda tu possa avere. Puoi continuare a rimanere aggiornato sui nostri aggiornamenti iscrivendoti al blog sulla privacy e sulla sicurezza informatica di WilmerHale.
Molte app sanitarie e tecnologie simili non sono coperte dall’HIPAA, ma questo ambito chiarito della norma coprirebbe tali aziende. Le aziende che offrono servizi legati al benessere che potrebbero non essere stati tradizionalmente considerati problemi sanitari o medici dovrebbero anche tenere presente che questo ambito chiarito intende coprirli: un prodotto etichettato come prodotto "benessere" (piuttosto che un prodotto "salute") potrebbe saranno ancora soggetti agli obblighi HBNR previsti dalle modifiche proposte.
Le modifiche proposte chiarirebbero inoltre che solo le entità che accedono o inviano informazioni sanitarie identificabili dal PHR non protette sono considerate entità correlate al PHR, nel tentativo dell'agenzia di restringere l'ambito delle entità sotto questa definizione. Per evitare obblighi contrastanti derivanti da questa nuova definizione, l’agenzia cerca inoltre di chiarire che un fornitore di servizi di terze parti non è considerato un’entità correlata al PHR quando accede a informazioni sanitarie PHR non protette nel corso della fornitura di servizi.
Ampliare la definizione di violazione della sicurezza
In base alle modifiche, la norma aggiornerebbe anche la definizione di violazione della sicurezza per coprire l’acquisizione non autorizzata di informazioni sanitarie identificabili dal PHR che si verifica a seguito di una violazione della sicurezza dei dati o di una divulgazione non autorizzata.
L'attuale norma definisce una violazione della sicurezza come "l'acquisizione di informazioni sanitarie identificabili dal PHR non protette di un individuo in una cartella clinica personale senza l'autorizzazione dell'individuo" e include una presunzione confutabile per l'accesso non autorizzato ai dati di un individuo. La nuova definizione includerebbe "an