Cumplimiento de la Ley de Privacidad del Consumidor de California (CCPA) en las organizaciones sanitarias

La Ley de Privacidad del Consumidor de California (CCPA)¹ es la primera legislación en los Estados Unidos que emula el Reglamento General de Protección de Datos (RGPD) de la Unión Europea y se promulga como ley. La Ley de Privacidad del Consumidor de California (CCPA) es un hito que probablemente se convierta en una nueva era de expectativas y regulaciones sobre la privacidad de datos en los Estados Unidos de Norteamérica. El impulso para aumentar los derechos y el control de los ciudadanos privados sobre su información personal ya se está construyendo en todo el mundo y, con ello, las empresas enfrentan nuevos retos. Conocer los requisitos sobre la ley de protección del dato en el Estado Unido de California junto con Brasil, Europa y, otras regiones o países requieren de una revisión de las prácticas en gestión de la información en numerosas funciones y unidades de negocio en las organizaciones impactadas.

Para organizaciones en determinadas industrias—específicamente financieras y sanitarias—que ya se rigen por regulaciones que tocan la privacidad del dato o que proveen acciones correctivas (incluyendo recurso legal o compensación monetaria) para los consumidores, por tipos específicos de violaciones o infracciones de datos, el cumplimiento de estas nuevas leyes puede parecer un proceso estándar. Pero eso no es necesariamente el caso. Centrándose en la industria sanitaria, las organizaciones conocen sus obligaciones bajo la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA)² de EE. UU. para la información electrónica de salud protegida (ePHI) y/o bajo las regulaciones de privacidad en otras jurisdicciones, como la Ley Protección de Información Personal y Documentos Electrónicos de Canadá o RGPD de la Unión Europea. Estas organizaciones pueden ver el esfuerzo para su cumplimiento actual como una prueba de fallos para CCPA; sin embargo, algunas de las nuevas obligaciones bajo dicha ley puede requerir que las organizaciones sanitarias—incluyendo aquellas que no se encuentran en los Estados Unidos de Norteamérica pero ofertan servicios a los residentes de California—actualicen ciertas políticas y procedimientos.

CCPA aplica a las organizaciones que realizan negocios en California y cumplen con uno o más de los siguientes:

• Ingresos brutos anuales superiores a USD 25 millones.
• Compra, recibe, vende o comparte con fines comerciales la información personal de 50.000 o más consumidores, hogares o dispositivos de California.
• Obtiene el 50 por ciento o más de sus ingresos anuales por la venta de información personal de los consumidores.

Proporciona protecciones amplias y estrictas para los datos personales de los residentes de California, incluidos los derechos de privacidad centrados en la notificación, el acceso y el consentimiento.

Ahora que la ley está en vigor, las organizaciones sanitarias deberían estar al tanto de la evaluación de las posibles brechas entre el cumplimiento de la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA) de EE. UU. y el resto de los datos personales no cubiertos por dicha ley pero dentro del alcance según las definiciones de CCPA. Esto incluye hacer un balance de la huella de los datos (es decir, la amplitud de la información confidencial y del consumidor que la organización gestiona y almacena) en relación con los residentes de California y otras consideraciones notables.

Ciertos datos no están cubiertos

Según CCPA, las actividades cubiertas³ por las entidades y socios comerciales que recopilan y usan datos incluyendo información médica regida por la Ley de Confidencialidad de la Información Médica de California (apartado 2.6 [a partir de la Sección 56] de la División 1),⁴ o información de salud protegida (PHI) que es recopilada por una organización gubernamental para las reglas de notificación de la privacidad, seguridad y notificación de incumplimiento emitidas por HIPAA (Ley Pública 104-191)⁵ y la Ley de Tecnología de la Información de Salud para la Salud Económica y Clínica (HITECH) de los Estados Unidos (Ley Pública 111-5).⁶ Esto deja algunas brechas potenciales de información, tanto médicas como no médicas, que pueden estar sujetas CCPA. Las organizaciones sanitarias deben considerar la información no médica adjunta a un archivo médico, la información médica utilizada para fines de marketing y/o la información médica utilizada para fines de investigación y desarrollo sin autorización/consentimiento explícito.

Riesgo en el uso de datos agregados

La cuestión de los datos anónimos y agregados que contienen información de identificación personal (PII) complica aún más lo que está y no está cubierto por las excepciones de HIPAA relacionadas con CCPA. Este tipo de información—datos que se agregan a los sistemas de análisis para mostrar tendencias a alto nivel, métricas comerciales u otras ideas no identificables personalmente—pueden ser potencialmente identificables como datos personales. Muchas organizaciones actualmente y regularmente usan información regulada por HIPAA, como información de pago y tratamiento, por una variedad de razones. Cuando esos datos se utilizan para actividades relacionadas con la atención médica, como la administración de pacientes o el cumplimiento de un reclamo médico, están cubiertos por la excepción de HIPAA de bajo CCPA. Pero esos datos también se utilizan con frecuencia para informar otras necesidades comerciales a través de su agregación en análisis a gran escala y sistemas de evaluación comparativa de la industria.⁷ Si bien los datos des-identificados están exentos de CCPA, garantizar que los datos están verdaderamente anonimizados se convierte en un proceso importante a llevar a cabo. Este proceso incluye la implementación tanto de salvaguardas técnicas como de procedimientos para garantizar que se prohíba específicamente la re-identificación de los datos.

DEBERÁN TRABAJAR CON EXPERTOS EN PRIVACIDAD DE DATOS PARA IMPLEMENTAR HERRAMIENTAS Y PROCESOS QUE LES PERMITAN GARANTIZAR QUE EL USO DE DATOS NO IDENTIFICADOS SE CUMPLE.

El uso de datos no identificados en la atención médica crea algunas lagunas en torno a la privacidad.⁸ Los datos personales en los sistemas de análisis agregados pueden vincularse a un individuo, lo que significa que los conjuntos de datos no siempre se anonimizan por completo como se esperaba. Esto complica la forma en que los datos gobernados por CCPA pueden usarse en sistemas de análisis agregados—y cómo se puede acceder, revisar o eliminar de esos sistemas en respuesta a una solicitud de un Derecho del Sujeto de Datos (DSR).⁹ Por ejemplo, si un sujeto de datos en California ejerció su derecho a emitir un DSR (por ejemplo, para solicitar acceso a sus datos o solicitar que se eliminen), CCPA requiere que la organización cumpla con la solicitud. Esto incluye localizar y extraer los datos personales de ese individuo de los conjuntos de datos agregados, lo que sería un esfuerzo complicado y uno que podría afectar la integridad y la precisión de los análisis. Las organizaciones de salud digital, y cualquier otra que dependa en gran medida de datos no identificados para obtener información comercial, deberán trabajar con expertos en privacidad de datos para implementar herramientas y procesos que les permitan garantizar que el uso de datos no identificados se cumple, y tener la capacidad de realizar ingeniería inversa según sea necesario para cumplir con los DSR.

Riesgo legal

Mientras que HIPAA no incluye un derecho privado de acción para el ciudadano, muchas regulaciones sobre privacidad—incluyendo CCPA y RGPD—lo hacen. Individuos o clases pueden recurrir a recursos legales en contra de las organizaciones sanitarias por la violación que involucra datos robados o accedidos inapropiadamente en un formato no cifrado o no redactado, si la brecha del dato no está sujeta a las advertencias de excepción bajo HIPAA u otras leyes.

Nuevos requisitos de notificación en caso de incumplimiento

También hay nuevas consideraciones para las organizaciones sanitarias con respecto a la notificación en caso de un evento de filtración de datos. HIPAA requiere que entidades gubernamentales notifiquen a los pacientes cuando su información de salud protegida (PHI) insegura es accedida o divulgada fuera de cualquier autorización que el paciente ha firmado. HIPAA incluye varias excepciones a esta regla. La primera aplica a la adquisición no intencional, acceso o uso de información de salud protegida por un miembro de la fuerza laboral o persona actuando bajo la autoridad de una entidad cubierta o socio de negocio, si este ha actuado en buena fe y sin el alcance de la autoridad. La segunda excepción aplica a la divulgación involuntaria de la PHI por una parte autorizada a otra parte autorizada o un acuerdo entre organizaciones sanitarias, en el cual la entidad cubierta participa. En ambos casos, la información no puede ser utilizada o divulgada en una manera que no sea permitida por la regla de privacidad. La excepción final aplica en el evento de que exista buena fe de la persona no autorizada a la que se realizó la divulgación, este no habría podido ser capaz de retener la información.

El problema se vuelve más grave si una brecha sucede sin una de las previas excepciones, y los datos expuestos también están bajo la jurisdicción de otra ley de privacidad. Tal evento puede generar requerimientos adicionales de notificación. CCPA sigue la regulación de notificación de violación de datos existente en California¹⁰ en donde la obligación de notificar es solamente desencadenada por una brecha que involucre información personal. Esto es definido como un primer nombre o inicial y apellido en conjunción con el número de seguridad social, número de licencia de conducir, número de tarjeta de identificación de California, número de cuenta o número de tarjeta financiera en combinación con una clave, información médica, información del seguro de salud o información recopilada a través del sistema automático de reconocimiento de matrícula.

El proyecto de ley de la asamblea de California-1130 (California Assembly Bill [AB]-1130), el proyecto de ley de notificación (Notification Bill), y las enmiendas de CCPA, expanden la definición de información personal al añadir “otros números de identificación emitidos por el gobierno” y “data única biométrica generada por mediciones o análisis técnicos de las características del cuerpo humano, tales como huella dactilar, retina, la imagen del iris u otras representaciones físicas únicas o representación digital de datos biométricos”¹¹ Las organizaciones deben entender y estar preparadas para cumplir con estas obligaciones añadidas.

Notificación de terceras partes

Previamente bajo HIPAA, las organizaciones no requerían alertar a sus clientes sobre el uso de terceras partes, mientras que el tercero firmara un acuerdo de socio comercial (siglas en inglés BAA) con la organización. Esto cambio con CCPA. Las organizaciones sanitarias ahora necesitaran notificar a sus clientes y obtener su informado consentimiento para permitir el acceso, recepción, proceso, uso o almacenamiento de datos personales por parte de cualquier tercero. Así como los requisitos de notificación de incumplimiento por parte de estos; pueden existir algunas excepciones a esta regla para la información que está sujeta a otras regulaciones.

Cerrando las brechas

Hay un gran número de mejores prácticas que pueden implementarse para evaluar dónde la implementación de HIPAA no habilita el cumplimiento de CCPA. Estas son:

• Entrenamiento y formación—Cualquier unidad de negocio o empleados que tratan con información personal necesitan estar conscientes de las diferencias entre HIPAA y CCPA. Los equipos deberían ser capacitados en CCPA y cualquier otra medida adicional para mantener el cumplimiento de los datos pertenecientes a los residentes de California.
• Mapeo de datos—Se debe preparar un mapa claro que indique dónde la organización almacena los datos personales (a través de copias digitales y físicas), por cuánto tiempo y, cómo esos datos son usados o compartidos con otras partes. Esto debe incluir un entendimiento extensivo sobre la exposición del riesgo regulatorio con respecto a los datos y como la obligación de cumplimiento impacta en los productos, servicios, procesos de negocio, sistemas internos, relaciones con terceras partes, etc.
• Actualizar los avisos de privacidad—Los consejeros legales y los expertos en privacidad deben desarrollar avisos de privacidad compatibles, que complementen los existentes relacionados con HIPAA. Estos deben incluir una descripción de los derechos del consumidor bajo la ley, un listado exhaustivo de terceros a los que se cede información personal y, las categorías de los terceros con los que se comparte información personal para con motivos comerciales.
• Gestión de la venta de datos—Proporcionar una solicitud de consentimiento clara y visible y un enlace de “No Vender Mi Información Personal” debe ser incluido en la página de inicio de la organización. Implementar un proceso de gestión de las solicitudes relacionadas con “No Vender Mi Información Personal” que debe ser de fácil acceso en la web. Los contratos con los vendedores deben ser revisados para asegurar que la venta/uso de información personal está limitada a los límites de los nuevos matices de CCPA y, que las solicitudes de derecho del dato relacionadas con esta información pueden ser respondidas y ejecutadas de manera oportuna.
• Respuestas operacionales a los Derechos del Sujeto de Datos (DSR)—Proveer de un teléfono gratuito y/o dirección de correo electrónico donde los individuos puedan enviar sus solicitudes de acceso al dato y/o quejas sobre privacidad. Responder a este tipo de contacto puede requerir de esfuerzo substancial. Desarrollar un flujo de trabajo estandarizado para atender las solicitudes en el tiempo designado de 45 días. Preparar respuestas tipo, incluyendo los pasos para autenticar a la(s) persona(s) que realiza(n) la solicitud y un flujo de procesos para gestionar el acceso y supresión de los datos relacionados con la petición.

Conclusión

Las organizaciones sanitarias sujetas a CCPA no pueden confiar en HIPAA como una garantía para su cumplimiento. Estas organizaciones deben asegurar que los procedimientos existentes están alineados con los nuevos requisitos sobre los datos, que no están cubiertos y exentos por otras regulaciones. Las empresas, lideradas por los equipos de legal y de cumplimiento (compliance), deben proactivamente buscar soporte en los expertos de privacidad del dato, quienes pueden identificar las carencias, aconsejar en las dificultades y proveer de mejores prácticas. Invertir ahora en una fuerte postura sobre privacidad del dato posicionará mejor a las organizaciones a medida que surjan nuevas leyes estatales, federales e internacionales.

Notas finales

¹ State of California Department of Justice, California Consumer Privacy Act (CCPA), https://oag.ca.gov/privacy/ccpa
² US Department of Health and Human Services, Summary of the HIPAA Privacy Rule, https://www.hhs.gov/hipaa/for-professionals/privacy/laws-regulations/index.html#targetText=The%20Privacy%20Rule%20protects%20all,health%20information%20(PHI).%22
³ California Legislative Information, SB-1121 California Consumer Privacy Act of 2018, 24 de septiembre de 2018, https://leginfo.legislature.ca.gov/faces/billTextClient.xhtml?bill_id=201720180SB1121
⁴ California Legislative Information, “Chapter 2. Disclosure of Medical Information by Providers,” https://leginfo.legislature.ca.gov/faces/codes_displaySection.xhtml?sectionNum=56.10.&lawCode=CIV
⁵ US Department of Health and Human Services, HIPAA for Professionals, https://www.hhs.gov/hipaa/for-professionals/index.html#targetText=To%20improve%20the%20efficiency%20and,unique%20health%20identifiers%2C%20and%20security
⁶ US Department of Health and Human Services, “Public Law 111-5,” 17 de febrero de 2009, https://www.hhs.gov/sites/default/files/ocr/privacy/hipaa/understanding/coveredentities/hitechact.pdf
⁷ Datavant, “The Fragmentation of Health Data,” https://datavant.com/2018/08/01/the-fragmentation-of-health-data/
⁸ Drees, J.; “De-Identified Patient Data: Treasure Trove for Research or Privacy Nightmare?” Becker’s Healthcare, 11 de septiembre de 2019, https://www.beckershospitalreview.com/ehrs/de-identified-patient-data-treasure-trove-for-research-or-privacy-nightmare.html
⁹ Data Guidance and Future of Privacy Forum, “Comparing Privacy Laws: GDPR v. CCPA,” https://fpf.org/wp-content/uploads/2018/11/GDPR_CCPA_Comparison-Guide.pdf
¹⁰ California Legislative Information, “Health and Safety Code—Chapter 2. Health Facilities,” https://leginfo.legislature.ca.gov/faces/codes_displaySection.xhtml?lawCode=HSC§ionNum=1280.15
¹¹ California Legislative Information, AB-1130 Personal Information: Data Breaches, 14 de octubre de 2019, https://leginfo.legislature.ca.gov/faces/billTextClient.xhtml?bill_id=201920200AB1130

Louise Rains Gomez
Es una directora gerente (Managing Director) en FTI Consulting para el segmento tecnológico. Gomez tiene más de 10 años de experiencia en litigación, descubrimiento electrónico (e-discovery) y gobierno de la información, con un enfoque en ayudar a los clientes en reducir costes y aligerar los grandes desafíos sobre la gestión de los datos.

Thomas Hiney
Es un director en FTI Consulting para el segmento tecnológico. Él provee experiencia en la gestión del programa de privacidad y optimización, en el cumplimiento del Reglamento General de Protección de Datos (RGPD) de la Unión Europea y, en la evaluación de riesgos y brechas sobre la Ley de Transferencia y Responsabilidad de Seguro Médico (HIPAA) de EE.UU.