La propuesta de ley sobre privacidad de la información sanitaria de Nueva York apunta a las empresas de salud digital

La Ley de Privacidad de la Información Sanitaria de Nueva York (NYHIPA), si se promulga, podría tener un efecto disuasorio en el acceso y la participación de los pacientes en los servicios de atención sanitaria digitales fácilmente disponibles en los que confían los neoyorquinos. Es probable que las empresas de salud digital tengan dificultades para mantener la participación de los pacientes y la coordinación de la atención, y es casi seguro que se enfrentarán a obstáculos para mejorar sus productos y servicios debido a las cargas financieras y operativas que supone la NYHIPA.

A fecha de 23 de enero de 2025, la NYHIPA ha sido aprobada tanto por el Senado como por la Asamblea de Nueva York y se remitirá al gobernador para su posible firma. Si se promulga, la NYHIPA tendría un impacto significativo en la forma en que las empresas de salud digital recopilan, divulgan y utilizan la información sanitaria de los consumidores en Nueva York.

¿Quién está regulado?

Según su redacción actual, la NYHIPA será aplicable a cualquier organización sanitaria con pacientes o clientes que tengan alguna conexión con Nueva York.

En concreto, la NYHIPA se aplicaría a cualquier entidad que:

controla el procesamiento de la información sanitaria regulada de un residente de Nueva York,
controla el procesamiento de la información sanitaria regulada de una persona que se encuentra físicamente presente en Nueva York mientras dicha persona se encuentra en Nueva York, o
se encuentra en Nueva York y controla el procesamiento de la información sanitaria regulada.

Las exenciones a nivel de entidad son limitadas en comparación con otras leyes de privacidad de datos de los consumidores. Las entidades cubiertas por la HIPAA están exentas, pero solo en la medida en que la entidad mantenga la información de los pacientes de la misma manera que la información sanitaria protegida por la HIPAA. Aunque es probable que los registros médicos tradicionales mantenidos por las entidades cubiertas por la HIPAA estén exentos, la información personal recopilada al principio del flujo de trabajo del usuario probablemente se regirá por la NYHIPA y estará sujeta a los estrictos requisitos de autorización que se describen a continuación antes de cualquier tratamiento por parte de una entidad regulada, a menos que la entidad sea una entidad cubierta por la HIPAA y trate esa información como información sanitaria protegida por la HIPAA.

¿Qué información está regulada?

La NYHIPA pretende regular toda la información que pueda estar relacionada con la salud o el bienestar, incluidos los datos de los dispositivos. La información regulada es cualquier información que pueda vincularse razonablemente con una persona o un dispositivo, recopilada o procesada en relación con la salud física o mental de una persona, incluida la información sobre la ubicación o el pago relacionada con la salud física o mental de una persona, o cualquier inferencia extraída o derivada sobre la salud física o mental de una persona que pueda vincularse razonablemente con una persona o un dispositivo. La información sanitaria protegida por la HIPAA y la información anonimizada quedarían exentas de la regulación.

¿Cuáles son las restricciones de procesamiento?

El «tratamiento» debería adaptarse estrictamente al producto o servicio específico solicitado por una persona, a menos que se obtenga una autorización explícita. El procesamiento, tal y como se define en la NYHIPA, generalmente significa cualquier operación realizada sobre información médica, incluyendo la recopilación, uso, divulgación, acceso, venta, intercambio, creación, generación o desidentificación de información médica.

Las entidades reguladas no pueden procesar información sanitaria a menos que:

la persona ha dado su autorización; o
el tratamiento es estrictamente necesario para determinados fines enumerados, entre los que se incluyen el suministro o mantenimiento de un producto o servicio específico solicitado por dicha persona o la realización de las operaciones comerciales internas de la entidad regulada.

Lo más importante, y lo que sin duda causará inquietud en la comunidad de la salud digital, es que las operaciones comerciales internas excluyen expresamente cualquier actividad relacionada con el marketing, la publicidad, la investigación y el desarrollo, o el suministro de productos o servicios a terceros sin la autorización explícita de la persona que autoriza dichas actividades.

¿Cuándo se puede obtener una autorización y qué debe incluir esta??

La NYHIPA prohibirá obtener la autorización de una persona durante las 24 horas posteriores a la creación de la cuenta o al primer uso del producto o servicio. El consentimiento expreso no será suficiente, ya que se exigirá a las personas que obtengan una autorización explícita para cada actividad que no se considere estrictamente necesaria para los productos o servicios solicitados por la persona.

La autorización debe

se realice por separado de cualquier parte de una transacción;
(ii) realizarse al menos 24 horas después de que la persona cree una cuenta o utilice por primera vez el producto o servicio solicitado; y
permitir a la persona proporcionar o denegar la autorización por separado para cada categoría de actividad de tratamiento, entre otros requisitos.

Para las personas que tengan una cuenta en línea con la entidad, lo cual será el caso de la mayoría de las empresas de salud digital, la entidad regulada deberá proporcionar, «en un lugar visible y fácilmente accesible dentro de la configuración de la cuenta», una lista de todas las actividades de tratamiento para las que la persona haya dado su autorización y, para cada actividad de tratamiento, permitir que la persona revoque la autorización en el mismo lugar «con un solo movimiento o acción». Las entidades no pueden condicionar un producto o servicio a la concesión de la autorización y no pueden discriminar a una persona por denegar la autorización, por ejemplo, aplicando precios diferentes a los productos o servicios, incluso mediante el uso de descuentos u otras ventajas.

¿Es necesario un aviso de privacidad?

La NYHIPA exigiría un aviso de privacidad si una entidad regulada procesa información sanitaria con un fin permitido sin autorización. El aviso debería incluir la información procesada, la naturaleza de la actividad de procesamiento, los «fines específicos» de dicho procesamiento, los nombres o categorías de los proveedores de servicios y terceros a los que se divulga la información y el propósito de la divulgación, así como el mecanismo por el cual la persona puede solicitar el acceso y la eliminación de su información médica. En particular, si la entidad regulada altera sustancialmente sus actividades de procesamiento, deberá proporcionar un aviso claro y visible, independiente de la política de privacidad, las condiciones del servicio o cualquier documento similar, que describa cualquier cambio sustancial en las actividades de tratamiento y ofrezca a la persona la oportunidad de solicitar la eliminación de su información médica. Cabe señalar que, a diferencia de otras leyes de privacidad de datos de los consumidores, la única excepción al requisito de eliminación previsto en la NYHIPA propuesta permite la conservación «en la medida en que sea necesario para cumplir con las obligaciones legales de la entidad regulada».

¿Cuáles son otros requisitos clave que las empresas de salud digital deben tener en cuenta?

La NYHIPA exigirá a los proveedores de servicios que separen la información sanitaria por entidad regulada. Las entidades reguladas deberán celebrar un acuerdo por escrito con los proveedores de servicios. Los términos exigidos para dichos acuerdos son, en general, similares a los de otras leyes de privacidad de datos de los consumidores. Sin embargo, la NYHIPA también exige que el proveedor de servicios:

no combinar la información sanitaria que el proveedor de servicios recibe de la entidad regulada o en nombre de esta con cualquier otra información personal que el proveedor de servicios reciba de otra parte o en nombre de esta, o que recopile a partir de su propia relación con las personas; y
(ii) notificar a la entidad regulada «con una antelación razonable» antes de compartir información sanitaria con cualquier otro proveedor de servicios.

Todos los sitios web y comunicaciones deberán ser razonablemente accesibles para las personas con discapacidad y estar disponibles en los idiomas en los que la entidad regulada proporciona información a través de su sitio web y sus servicios.

¿Cuándo podría entrar en vigor esta ley y cuáles son las posibles sanciones?

La NYHIPA entraría en vigor un año después de que el proyecto de ley se convierta en ley.

El Fiscal General de Nueva York tendría autoridad para hacer cumplir la ley, incluyendo sanciones civiles de 50 000 dólares por infracción o el 20 % de los ingresos obtenidos de los consumidores de Nueva York durante el último año fiscal, entre otras medidas. El Fiscal General también tiene autoridad para promulgar normas y reglamentos de aplicación.

¿Cuáles son las repercusiones prácticas de la NYHIPA?

La NYHIPA supondrá importantes obstáculos financieros y operativos para las empresas de salud digital. Las entidades reguladas estarán obligadas a actualizar sus sitios web y los flujos de trabajo de los usuarios para cada una de las actividades de procesamiento para las que la entidad regulada solicite autorización a una persona, así como a realizar las actualizaciones necesarias para cumplir los nuevos requisitos de accesibilidad. La moratoria de 24 horas para solicitar autorización supondrá, en la práctica, una barrera para las actividades que mejoran la experiencia, la participación y la educación de los pacientes. Los proveedores de servicios sufrirán un impacto financiero como consecuencia de la aplicación de los requisitos para segregar la información sanitaria de cada entidad regulada. Por último, la NYHIPA exigirá a las empresas de salud digital que cumplan con otra ley estatal de privacidad del consumidor que difiere sustancialmente de otras leyes estatales de privacidad.

¿Qué deben hacer ahora las empresas de salud digital?

La NYHIPA ha sido aprobada por ambas cámaras legislativas y solo espera la firma del gobernador para convertirse en ley. Como se ha señalado anteriormente, la fecha de entrada en vigor de la ley sería un año después de la firma del gobernador. Ese periodo de un año es un plazo increíblemente corto para que las empresas de salud digital implementen los cambios que serían necesarios para cumplir con la NYHIPA. Por lo tanto, si se promulga, las empresas de salud digital con pacientes o clientes en Nueva York deberían comenzar inmediatamente a planificar el cumplimiento de la NYHIPA.

La privacidad de los datos sanitarios sigue evolucionando rápidamente. Por lo tanto, las empresas de salud digital deben seguir de cerca cualquier novedad y seguir tomando las medidas necesarias para cumplir con la normativa. Si tiene alguna pregunta sobre el cumplimiento de las leyes de privacidad de los datos sanitarios de los consumidores u otros cambios recientes en las leyes de privacidad de los datos sanitarios, póngase en contacto con cualquiera de los autores o con cualquiera de los socios o asesores jurídicos sénior delGrupo de Ciberseguridad y Privacidad de Datosodel Grupo de Práctica Sanitaria de Foley.

Descargo de responsabilidad

Foley & Lardner LLP ("Foley" o "la Firma") pone a disposición este blog únicamente con fines informativos. No pretende transmitir la posición jurídica de la Firma en nombre de ningún cliente, ni tampoco asesoramiento jurídico específico. Las opiniones expresadas en este artículo no reflejan necesariamente los puntos de vista de Foley & Lardner LLP, sus socios o sus clientes. En consecuencia, no actúe sobre la base de esta información sin buscar el asesoramiento de un abogado autorizado. Este blog no pretende crear, y su recepción no constituye, una relación abogado-cliente. La comunicación con Foley a través de este sitio web por correo electrónico, entrada de blog, o de otro modo, no crea una relación abogado-cliente para ningún asunto legal. Por lo tanto, cualquier comunicación o material que usted transmita a Foley a través de este blog, ya sea por correo electrónico, entrada de blog o de cualquier otra manera, no será tratado como confidencial o de propiedad. La información de este blog se publica "TAL CUAL" y no se garantiza que sea completa, exacta o actualizada. Foley no hace representaciones o garantías de ningún tipo, expresas o implícitas, en cuanto a la operación o el contenido del sitio. Foley rechaza expresamente todas las demás garantías, condiciones y representaciones de cualquier tipo, ya sean expresas o implícitas, ya se deriven de cualquier estatuto, ley, uso comercial o de otro tipo, incluidas las garantías implícitas de comerciabilidad, idoneidad para un fin determinado, titularidad y no infracción. En ningún caso Foley o cualquiera de sus socios, directivos, empleados, agentes o afiliados serán responsables, directa o indirectamente, bajo ninguna teoría legal (contrato, agravio, negligencia u otra), ante usted o cualquier otra persona, por cualquier reclamación, pérdida o daño, directo, indirecto especial, incidental, punitivo o consecuente, resultante de u ocasionado por la creación, uso o confianza en este sitio (incluyendo información y otros contenidos) o cualquier sitio web de terceros o la información, recursos o material al que se acceda a través de cualquiera de dichos sitios web. En algunas jurisdicciones, los contenidos de este blog pueden considerarse publicidad de abogados. En su caso, tenga en cuenta que resultados anteriores no garantizan un resultado similar. Las fotografías son sólo para fines de dramatización y pueden incluir modelos. Los parecidos no implican necesariamente la condición actual de cliente, socio o empleado.

[email protected]

Madison 608.250.7420

Un hombre con traje oscuro y corbata roja sonríe en el pasillo de un moderno despacho de abogados, reflejo de la profesionalidad de los mejores abogados de Chicago.

[email protected]

Tampa 813.225.4129

Información relacionada

Ver todas las entradas

9 de diciembre de 2025 La ley sanitaria actual

Cómo seguir las «indicaciones del médico» sirvió de defensa en un caso de la FCA del Primer Circuito

Cuando se trata de litigios relacionados con la Ley de Reclamaciones Falsas (FCA), los laboratorios clínicos suelen encontrarse en el punto de mira. Pero el primero...

2 de diciembre de 2025 La ley sanitaria actual

Uso de tecnologías sanitarias digitales en ensayos clínicos: apoyo de la MAHA y expectativas definidas en la guía definitiva de la FDA

Las tecnologías sanitarias digitales (DHT) son un aspecto clave del programa «Make America...» del secretario de Salud y Servicios Humanos (HHS) de EE. UU., Robert F. Kennedy Jr.

11 de noviembre de 2025 Derecho sanitario hoy

Fusiones y adquisiciones en la tecnología GLP-1: Recomendaciones prácticas y buenas prácticas

Este artículo apareció originalmente en Pharmaceutical Online en noviembre de 2025. La revolución del GLP-1 ha reescrito el manual de...