Five To-Do’s for Telemed Companies Before the Public Health Emergency Ends

Este artículo apareció originalmente en Bloomberg Law el 26 de mayo de 2021.

La privacidad de los pacientes seguirá siendo una prioridad fundamental para los reguladores, ya que los pacientes continúan dependiendo en gran medida de la telemedicina. Los abogados de Foley & Lardner LLP afirman que tomar medidas ahora para garantizar el cumplimiento de la HIPAA situará a los proveedores y a los prestadores de servicios sanitarios en una posición ventajosa de cara a lo que sin duda será un periodo agitado y confuso, cuando finalicen las exenciones por emergencia de salud pública y la discrecionalidad federal en materia de aplicación de la ley.

La privacidad de los datos ya es un tema muy debatidoentre los legisladores y, dado el crecimiento explosivo de la telemedicina en los últimos años y la relativa falta de aplicación de las normas de privacidad durante la emergencia de salud pública (PHE) provocada por la COVID-19, la privacidad de los datos de los pacientes pronto será una prioridad para los reguladores que revisan las prácticas de las empresas de servicios sanitarios basados en la tecnología, en particular la telemedicina y la salud digital.

Durante la PHE, la Oficina de Derechos Civiles del Departamento de Salud y Servicios Humanos anunció que los proveedores de atención médica no serán sancionados por infracciones a la HIPAA que se produzcan en la prestación de servicios de telemedicina de buena fe. Esta flexibilidad llevó a los proveedores de telemedicina a valerse de tecnologías de comunicación que antes no se utilizaban en la atención médica ni se habían sometido a evaluación para verificar su cumplimiento de la HIPAA.

Además de utilizar estas plataformas (a menudo menos seguras), las empresas de tecnología sanitaria han empezado a considerar cada vez más los datos de los pacientes como un activo, creando lagos de datos y programas de minería de datos a una escala nunca antes vista en el sector sanitario.

Al mismo tiempo, el auge del «paciente como consumidor» ha llevado a las empresas de telemedicina a recurrir a los principios del comercio electrónico para crear una mejor experiencia de usuario con el objetivo de convertir a los usuarios en pacientes (o viceversa). Las herramientas de análisis de datos y publicidad de sitios web creadas para el comercio electrónico directo al consumidor (DTC) no relacionado con la atención sanitaria son ahora utilizadas por las empresas de atención sanitaria.

Esto ha hecho que sea especialmente complicado trazar la línea divisoria entre los datos no sanitarios del «usuario» y la información sanitaria protegida (PHI) del «paciente» cuando la misma persona es al mismo tiempo usuario de una empresa tecnológica y paciente del grupo médico afiliado a dicha empresa.

Para mejorar la experiencia del usuario, esta nueva ola de empresas de tecnología sanitaria se basa en los datos recopilados de los usuarios y posteriormente compartidos con servicios de análisis de datos y publicidad para obtener información sobre el comportamiento de los usuarios. Algunas empresas llegan incluso a volver a dirigir la publicidad al usuario si este abandona el sitio web sin reservar una cita de telemedicina. Este tipo de divulgación de datos implica la aplicación de la Norma de Privacidad de la HIPAA para los proveedores de atención sanitaria regulados por la HIPAA y sus proveedores.

Un caso clínico ilustra problemas relacionados con la privacidad

Por ejemplo, consideremos el caso de un paciente que visita el sitio web de telemedicina de su proveedor en busca de información relacionada con la diabetes. El objetivo del proveedor puede ser convertir la curiosidad del paciente sobre la diabetes en una cita de telemedicina. Supongamos entonces que el paciente consulta la información en línea, pero no programa una cita. El proveedor tiene un contrato con un proveedor de análisis de datos, en virtud del cual los datos de navegación, la dirección IP y otros identificadores únicos del paciente son compartidos y analizados por el proveedor para generar información sobre las posibles razones por las que este paciente no concertó una cita. Además, el «abandono del carrito» del paciente podría desencadenar una llamada a la acción automatizada (por ejemplo, un correo electrónico o un mensaje de texto que le invite a completar su compra y concertar una cita).

Se trata de tácticas básicas de comercio electrónico DTC que se vuelven significativamente espinosas cuando se utilizan en el sector sanitario. Según la HIPAA, la dirección IP y cualquier identificador único se incluyen en los 18 elementos de datos identificados por la HIPAAcomo PHI. Para divulgar la PHI a un tercero, como un proveedor de análisis de datos, debe existir un acuerdo de asociación comercial adecuado entre el proveedor y el proveedor de la plataforma de telemedicina o el proveedor de atención sanitaria, y se debe obtener el consentimiento del paciente en función de la situación.

Muchos de los proveedores de análisis de datos más utilizados en el comercio electrónico no firman acuerdos de asociación comercial y algunos llegan incluso a exigir que las organizaciones reguladas por la HIPAA no compartan información médica protegida.

Por lo tanto, la pregunta para la empresa en este ejemplo es: ¿se puede estructurar esta divulgación de información médica protegida (PHI) de conformidad con la Norma de Privacidad de la HIPAA y, en caso afirmativo, cómo hacerlo sin dejar de ofrecer una experiencia de usuario satisfactoria? Este tipo de divulgaciones de datos y prácticas de marketing atraerán sin duda la atención tanto de la OCR del HHS como de la Comisión Federal de Comercio en los próximos años.

Prepárense para el fin de las exenciones

La PHE y sus exenciones asociadas, incluidas las relativas a violaciones de la privacidad y la seguridad, llegarán a su fin. Las empresas de telemedicina deben desarrollar ahora una estrategia sobre cómo operarán una vez que finalicen las exenciones.

A continuación se presentan cinco medidas concretas que las empresas de telemedicina y salud digital pueden adoptar ahora para posicionarse de la mejor manera posible y garantizar unas operaciones sólidas y conformes con la normativa:

Realizar, bajo el privilegio abogado-cliente, una evaluación de riesgos de los datos sanitarios conservados y transmitidos por la organización.
Realizar una diligencia debida de terceros a todos los proveedores que mantienen información médica protegida (PHI), incluidos los proveedores de plataformas de telemedicina, análisis de datos y registros médicos electrónicos.
Revise las prácticas de recopilación de datos del sitio web y la aplicación de la empresa, y luego determine si dichas prácticas cumplen con la HIPAA y la legislación estatal.
Revise los documentos de privacidad de la empresa (por ejemplo, políticas y procedimientos de la HIPAA, aviso de prácticas de privacidad, política de privacidad en línea, condiciones de uso en línea, autorizaciones de pacientes-usuarios y políticas de conservación de registros) para asegurarse de que la empresa no omite ningún documento clave y de que los documentos existentes se han actualizado para reflejar las prácticas actuales de la empresa en materia de datos.
Si la empresa tiene proveedores de datos que se niegan a firmar un acuerdo de socio comercial, considere proveedores alternativos que estén dispuestos a hacerlo.

Este artículo no refleja necesariamente la opinión de The Bureau of National Affairs, Inc. ni la de su propietario.

Descargo de responsabilidad

Foley & Lardner LLP ("Foley" o "la Firma") pone a disposición este blog únicamente con fines informativos. No pretende transmitir la posición jurídica de la Firma en nombre de ningún cliente, ni tampoco asesoramiento jurídico específico. Las opiniones expresadas en este artículo no reflejan necesariamente los puntos de vista de Foley & Lardner LLP, sus socios o sus clientes. En consecuencia, no actúe sobre la base de esta información sin buscar el asesoramiento de un abogado autorizado. Este blog no pretende crear, y su recepción no constituye, una relación abogado-cliente. La comunicación con Foley a través de este sitio web por correo electrónico, entrada de blog, o de otro modo, no crea una relación abogado-cliente para ningún asunto legal. Por lo tanto, cualquier comunicación o material que usted transmita a Foley a través de este blog, ya sea por correo electrónico, entrada de blog o de cualquier otra manera, no será tratado como confidencial o de propiedad. La información de este blog se publica "TAL CUAL" y no se garantiza que sea completa, exacta o actualizada. Foley no hace representaciones o garantías de ningún tipo, expresas o implícitas, en cuanto a la operación o el contenido del sitio. Foley rechaza expresamente todas las demás garantías, condiciones y representaciones de cualquier tipo, ya sean expresas o implícitas, ya se deriven de cualquier estatuto, ley, uso comercial o de otro tipo, incluidas las garantías implícitas de comerciabilidad, idoneidad para un fin determinado, titularidad y no infracción. En ningún caso Foley o cualquiera de sus socios, directivos, empleados, agentes o afiliados serán responsables, directa o indirectamente, bajo ninguna teoría legal (contrato, agravio, negligencia u otra), ante usted o cualquier otra persona, por cualquier reclamación, pérdida o daño, directo, indirecto especial, incidental, punitivo o consecuente, resultante de u ocasionado por la creación, uso o confianza en este sitio (incluyendo información y otros contenidos) o cualquier sitio web de terceros o la información, recursos o material al que se acceda a través de cualquiera de dichos sitios web. En algunas jurisdicciones, los contenidos de este blog pueden considerarse publicidad de abogados. En su caso, tenga en cuenta que resultados anteriores no garantizan un resultado similar. Las fotografías son sólo para fines de dramatización y pueden incluir modelos. Los parecidos no implican necesariamente la condición actual de cliente, socio o empleado.

Un hombre con traje oscuro y corbata roja sonríe en el pasillo de un moderno despacho de abogados, reflejo de la profesionalidad de los mejores abogados de Chicago.

[email protected]

Tampa 813.225.4129

[email protected]

Tampa 813.225.4127

Información relacionada

Ver todas las entradas

5 de enero de 2026 La ley sanitaria actual

Liderando el futuro de las ACO: nuevo modelo de diseño mejorado a largo plazo para las ACO

El Centro de Innovación de los Centros de Servicios de Medicare y Medicaid (CMS) ha anunciado el Modelo de Diseño ACO Mejorado a Largo Plazo (LEAD), un...

5 de enero de 2026 La ley sanitaria actual

Modelo CMS ACCESS: Los proveedores se preparan para una atención sanitaria basada en el valor e impulsada por la tecnología

El 1 de diciembre de 2025, los Centros de Servicios de Medicare y Medicaid (CMS) anunciaron el modelo ACCESS (Avanzando en la atención crónica con...

January 5, 2026 Health Care Law Today Podcast

Episode 37: Chanda Center for Health: Reimagining Access to and Delivery of Long-term Disability Care

In this episode, Lauren Carboni, co-chair of Foley’s Health Care Litigation Area of Focus, is joined by Chanda Hinton, Founder and Executive Director of The Chanda Center for Health, a pioneering nonprofit dedicated to empowering individuals with long-term physical disabilities.

Cinco cosas que deben hacer las empresas de telemedicina antes de que acabe la emergencia de salud pública

Un caso clínico ilustra problemas relacionados con la privacidad

Prepárense para el fin de las exenciones

Autor(es)

Aaron T. Maguregui

Nathaniel M. Lacktman

Información relacionada

Liderando el futuro de las ACO: nuevo modelo de diseño mejorado a largo plazo para las ACO

Modelo CMS ACCESS: Los proveedores se preparan para una atención sanitaria basada en el valor e impulsada por la tecnología

Episode 37: Chanda Center for Health: Reimagining Access to and Delivery of Long-term Disability Care