A proposta de lei sobre privacidade de informações de saúde de Nova Iorque visa empresas de saúde digital

A Lei de Privacidade das Informações de Saúde de Nova Iorque (NYHIPA), se aprovada, poderá criar um efeito inibidor no acesso e envolvimento dos pacientes aos serviços de saúde digitais prontamente disponíveis dos quais os nova-iorquinos dependem. As empresas de saúde digital provavelmente terão dificuldades para manter o envolvimento dos pacientes e a coordenação dos cuidados e, quase certamente, enfrentarão obstáculos na melhoria dos seus produtos e serviços devido aos encargos financeiros e operacionais criados pela NYHIPA.

Em 23 de janeiro de 2025, a NYHIPA foi aprovada pelo Senado e pela Assembleia de Nova Iorque e será encaminhada ao governador para possível assinatura. Se promulgada, a NYHIPA terá um impacto significativo na forma como as empresas de saúde digital recolhem, divulgam e utilizam as informações de saúde dos consumidores em Nova Iorque.

Quem é regulamentado?

Na sua versão atual, a NYHIPA será aplicável a qualquer organização de cuidados de saúde com pacientes ou clientes que tenham alguma ligação com Nova Iorque.

Especificamente, a NYHIPA aplicaria-se a qualquer entidade que:

controla o processamento de informações de saúde regulamentadas de um residente de Nova Iorque,
controla o processamento de informações de saúde regulamentadas de um indivíduo que está fisicamente presente em Nova Iorque enquanto esse indivíduo estiver em Nova Iorque, ou
está localizada em Nova Iorque e controla o processamento de informações de saúde regulamentadas.

As isenções ao nível da entidade são limitadas em comparação com outras leis de privacidade de dados do consumidor. As entidades abrangidas pela HIPAA estão isentas, mas apenas na medida em que a entidade mantenha as informações dos pacientes da mesma forma que as informações de saúde protegidas pela HIPAA. Embora os registos médicos tradicionais mantidos por entidades abrangidas pela HIPAA provavelmente sejam isentos, as informações pessoais coletadas no início do fluxo de trabalho do utilizador provavelmente serão regidas pela NYHIPA e sujeitas aos rigorosos requisitos de autorização discutidos abaixo antes de qualquer processamento por uma entidade regulamentada — a menos que a entidade seja uma entidade abrangida pela HIPAA e trate essas informações como informações de saúde protegidas pela HIPAA.

Que informações são regulamentadas?

A NYHIPA procura regulamentar toda e qualquer informação que possa estar relacionada com a saúde ou o bem-estar, incluindo dados de dispositivos. As informações regulamentadas são quaisquer informações que possam ser razoavelmente associadas a um indivíduo ou dispositivo, coletadas ou processadas em conexão com a saúde física ou mental de um indivíduo, incluindo informações de localização ou pagamento relacionadas à saúde física ou mental de um indivíduo ou qualquer inferência feita ou derivada sobre a saúde física ou mental de um indivíduo que possa ser razoavelmente associada a um indivíduo ou dispositivo. As informações de saúde protegidas pela HIPAA e as informações desidentificadas estariam isentas da regulamentação.

Quais são as restrições de processamento?

O «tratamento» teria de ser estritamente adaptado ao produto ou serviço específico solicitado por um indivíduo, a menos que fosse obtida uma autorização explícita. Processamento, conforme definido pela NYHIPA, geralmente significa qualquer operação realizada em informações de saúde, incluindo a recolha, uso, divulgação, acesso, venda, partilha, criação, geração ou desidentificação de informações de saúde.

As entidades regulamentadas não podem processar informações de saúde, a menos que:

o indivíduo tenha fornecido uma autorização; ou
o tratamento é estritamente necessário para determinados fins enumerados, incluindo o fornecimento ou a manutenção de um produto ou serviço específico solicitado por essa pessoa ou a realização das operações comerciais internas da entidade regulamentada.

Mais importante ainda, e o que certamente causará angústia na comunidade de saúde digital, as operações comerciais internas excluem expressamente quaisquer atividades relacionadas com marketing, publicidade, pesquisa e desenvolvimento ou fornecimento de produtos ou serviços a terceiros sem autorização explícita da pessoa que autoriza tais atividades.

Quando é possível obter uma autorização e o que ela deve incluir?

A NYHIPA proibirá a obtenção de autorização de um indivíduo durante 24 horas após a criação da conta ou a primeira utilização do produto ou serviço. O consentimento opt-in não será suficiente, pois os indivíduos serão obrigados a obter autorização explícita para cada atividade não considerada estritamente necessária para os produtos ou serviços solicitados pelo indivíduo.

A autorização deve

ser feita separadamente de qualquer parte de uma transação;
(ii) ser feita pelo menos 24 horas após o indivíduo criar uma conta ou utilizar pela primeira vez o produto ou serviço solicitado; e
permitir que o indivíduo conceda ou recuse autorização separadamente para cada categoria de atividade de processamento, entre outros requisitos.

Para indivíduos que possuem uma conta online com a entidade – o que será o caso da maioria das empresas de saúde digital –, a entidade regulamentada deve fornecer, «em um local visível e facilmente acessível nas configurações da conta», uma lista de todas as atividades de processamento para as quais o indivíduo forneceu autorização e, para cada atividade de processamento, permitir que o indivíduo revogue a autorização no mesmo local «com um único movimento ou ação». As entidades não podem condicionar um produto ou serviço à concessão de autorização e não podem discriminar um indivíduo por recusar a autorização, por exemplo, cobrando preços diferentes por produtos ou serviços, incluindo através da utilização de descontos ou outros benefícios.

É necessária uma declaração de privacidade?

A NYHIPA exigiria um aviso de privacidade se uma entidade regulamentada processasse informações de saúde para uma finalidade permitida sem autorização. O aviso teria de incluir as informações processadas, a natureza da atividade de processamento, os «fins específicos» desse processamento, os nomes ou categorias dos prestadores de serviços e terceiros a quem as informações são divulgadas e o objetivo da divulgação, bem como o mecanismo pelo qual o indivíduo pode solicitar o acesso e a eliminação das suas informações de saúde. Notavelmente, se a entidade regulamentada alterar substancialmente as suas atividades de processamento, a entidade regulamentada teria de fornecer um aviso claro e visível, separado da política de privacidade, dos termos de serviço ou de documento semelhante, que descreva quaisquer alterações materiais nas atividades de processamento e forneça ao indivíduo a oportunidade de solicitar a eliminação das suas informações de saúde. Note-se que, ao contrário de outras leis de privacidade de dados do consumidor, a única exceção ao requisito de eliminação ao abrigo da NYHIPA, tal como proposta, permite a retenção «na medida do necessário para cumprir as obrigações legais da entidade regulada».

Quais são os outros requisitos importantes que as empresas de saúde digital devem ter em conta?

A NYHIPA exigirá que os prestadores de serviços segreguem as informações de saúde por entidade regulamentada. As entidades regulamentadas terão de celebrar um acordo por escrito com os prestadores de serviços. Os termos exigidos para esses acordos são, em geral, semelhantes aos de outras leis de privacidade de dados do consumidor. No entanto, a NYHIPA também exige que o prestador de serviços:

não combinar as informações de saúde que o prestador de serviços recebe da entidade regulamentada ou em nome desta com quaisquer outras informações pessoais que o prestador de serviços receba de outra parte ou em nome desta, ou que recolha a partir da sua própria relação com indivíduos; e
(ii) notificar a entidade regulamentada com «uma antecedência razoável» antes de partilhar informações de saúde com quaisquer outros prestadores de serviços.

Todos os sites e comunicações deveriam ser razoavelmente acessíveis a pessoas com deficiência e estar disponíveis nos idiomas em que a entidade regulamentada fornece informações através do seu site e serviços.

Quando essa lei poderá entrar em vigor e quais são as possíveis penalidades?

A NYHIPA entraria em vigor um ano após a assinatura do projeto de lei.

O Procurador-Geral de Nova Iorque teria autoridade para fazer cumprir a lei, incluindo penalidades civis no valor máximo de US$ 50.000 por violação ou 20% da receita obtida dos consumidores de Nova Iorque no último ano fiscal, entre outras medidas. O Procurador-Geral também tem autoridade para promulgar regras e regulamentos de implementação.

Quais são os impactos práticos da NYHIPA?

A NYHIPA representará obstáculos financeiros e operacionais significativos para as empresas de saúde digital. As entidades reguladas serão obrigadas a atualizar os seus sites e fluxos de trabalho dos utilizadores para cada uma das atividades de processamento para as quais a entidade regulada solicitará autorização a um indivíduo, bem como quaisquer atualizações necessárias para cumprir os novos requisitos de acessibilidade. A moratória de 24 horas para solicitar autorização criará efetivamente uma barreira às atividades que melhoram a experiência, o envolvimento e a educação do paciente. Os prestadores de serviços sofrerão um impacto financeiro como resultado da implementação dos requisitos para segregar as informações de saúde de cada entidade regulada. Por fim, a NYHIPA exigirá que as empresas de saúde digital cumpram mais uma lei estadual de privacidade do consumidor que difere significativamente de outras leis estaduais de privacidade.

O que as empresas de saúde digital devem fazer a seguir?

A NYHIPA foi aprovada pelas duas câmaras legislativas e aguarda apenas a assinatura do governador para se tornar lei. Conforme mencionado acima, a data de entrada em vigor da lei seria um ano após a assinatura pelo governador. Esse período de um ano é um prazo incrivelmente curto para as empresas de saúde digital implementarem as mudanças necessárias para cumprir a NYHIPA. Portanto, se aprovada, as empresas de saúde digital com pacientes ou clientes em Nova Iorque devem começar imediatamente a planear o cumprimento da NYHIPA.

A privacidade dos dados de saúde continua a evoluir rapidamente. Assim, as empresas de saúde digital devem acompanhar de perto quaisquer novos desenvolvimentos e continuar a tomar as medidas necessárias para garantir a conformidade. Se tiver alguma dúvida sobre a conformidade com as leis de privacidade dos dados de saúde do consumidor ou outras alterações recentes nas leis de privacidade dos dados de saúde, entre em contacto com qualquer um dos autores ou com qualquer um dos sócios ou consultores senioresdo Grupo de Cibersegurança e Privacidade de Dadosoudo Grupo de Prática de Saúde da Foley.

Declaração de exoneração de responsabilidade

Este blogue é disponibilizado por Foley & Lardner LLP ("Foley" ou "a Firma") apenas para fins informativos. Não se destina a transmitir a posição jurídica da Sociedade em nome de qualquer cliente, nem a prestar aconselhamento jurídico específico. As opiniões expressas neste artigo não reflectem necessariamente a posição da Foley & Lardner LLP, dos seus sócios ou dos seus clientes. Por conseguinte, não actue de acordo com esta informação sem procurar aconselhamento junto de um advogado licenciado. Este blogue não se destina a criar, e a sua receção não constitui, uma relação advogado-cliente. A comunicação com a Foley através deste sítio Web, por correio eletrónico, publicação no blogue ou outro, não cria uma relação advogado-cliente para qualquer assunto jurídico. Por conseguinte, qualquer comunicação ou material que transmita a Foley através deste blogue, seja por correio eletrónico, publicação no blogue ou qualquer outra forma, não será tratado como confidencial ou proprietário. A informação neste blogue é publicada "COMO ESTÁ" e não se garante que seja completa, exacta ou actualizada. A Foley não faz representações ou garantias de qualquer tipo, expressas ou implícitas, quanto ao funcionamento ou conteúdo do sítio. A Foley renuncia expressamente a todas as outras garantias, garantias, condições e representações de qualquer tipo, expressas ou implícitas, quer surjam ao abrigo de qualquer estatuto, lei, utilização comercial ou de outra forma, incluindo garantias implícitas de comercialização, adequação a um determinado fim, título e não infração. Em nenhuma circunstância a Foley ou qualquer um dos seus parceiros, oficiais, funcionários, agentes ou afiliados serão responsáveis, direta ou indiretamente, sob qualquer teoria da lei (contrato, delito, negligência ou outra), perante si ou qualquer outra pessoa, por quaisquer reclamações, perdas ou danos, diretos, indirectos, especiais, incidentais, punitivos ou consequenciais, resultantes ou ocasionados pela criação, utilização ou confiança neste site (incluindo informações e outros conteúdos) ou quaisquer sites de terceiros ou as informações, recursos ou materiais acedidos através de tais sites. Em algumas jurisdições, o conteúdo deste blogue pode ser considerado publicidade de advogados. Se aplicável, tenha em atenção que resultados anteriores não garantem um resultado semelhante. As fotografias destinam-se apenas a fins de dramatização e podem incluir modelos. As imagens não implicam necessariamente o estatuto atual de cliente, parceiro ou empregado.

[email protected]

Madison 608.250.7420

Um homem de fato escuro e gravata vermelha sorri num corredor de um escritório de advogados moderno e bem iluminado, reflectindo o profissionalismo dos melhores advogados de Chicago.

[email protected]

Tampa 813.225.4129

Informações relacionadas

Ver todas as publicações

9 de dezembro de 2025 A lei da saúde hoje

Como seguir as «orientações médicas» serviu de defesa num caso da FCA no Primeiro Circuito

Quando se trata de litígios relacionados à Lei de Reivindicações Falsas (FCA), os laboratórios clínicos muitas vezes se encontram na mira. Mas o Primeiro...

2 de dezembro de 2025 A lei da saúde hoje

Utilização de tecnologias digitais de saúde em ensaios clínicos: apoio da MAHA e expectativas definidas na orientação final da FDA

As tecnologias digitais de saúde (DHT) são um aspeto fundamental da iniciativa Make America... do Secretário de Saúde e Serviços Humanos (HHS) dos EUA, Robert F. Kennedy Jr.

11 de novembro de 2025 Lei dos cuidados de saúde hoje

Fusões e aquisições na tecnologia GLP-1: Recomendações práticas e melhores práticas

Este artigo foi publicado originalmente na Pharmaceutical Online em novembro de 2025. A revolução do GLP-1 reescreveu o livro de jogo para o metabolismo...