Los servicios de salud digitales, como sitios web, aplicaciones móviles y dispositivos conectados a Internet que rastrean el estado de salud y almacenan información de salud personal confidencial, notificarán a los usuarios sobre violaciones de datos según las nuevas reglas de aplicación que entrarán en vigor a finales de este verano.
Las enmiendas a las Reglas de notificación de infracciones de salud de la Comisión Federal de Comercio, adoptadas en abril, tienen como objetivo modernizar y ampliar la definición de entidades cubiertas en medio de una mayor dependencia de aplicaciones de salud, rastreadores de actividad física y citas de telesalud. Los cambios entrarán en vigor el 29 de julio, según los registros de la agencia que se espera que se hagan públicos el jueves.
Las nuevas reglas exigen que los proveedores y servicios de atención médica protejan los datos de los consumidores de piratas informáticos y ciberdelincuentes patrocinados por el estado que buscan utilizar información personal confidencial para ventas en el mercado negro y robo de identidad. Habrá más presión para hacerlo.
Un proveedor violado debe notificar a las víctimas afectadas dentro de los 60 días posteriores al descubrimiento. Si una infracción expone 500 o más registros, el proveedor objetivo también debe notificar a la FTC.
Además, si un tercero, como un corredor de datos, una empresa de tecnología o una institución de investigación, obtiene información de registros médicos personales como resultado de una violación de seguridad, debe mencionarse en la notificación a los consumidores.
En febrero pasado, la FTC y la plataforma de telemedicina GoodRx llegaron a un acuerdo para abordar múltiples reclamos bajo la Regla de Notificación de Infracciones de Salud, lo que marcó la primera acción de cumplimiento bajo la regla. La FTC acusó a GoodRx de no notificar a los clientes y reguladores sobre la divulgación no autorizada de información de salud personal. Como parte del acuerdo, GoodRx acordó pagar una multa civil de 1,5 millones de dólares.
En mayo, la FTC adoptó esta norma en un acuerdo con el desarrollador de la aplicación de fertilidad Premom. La demanda alega que la empresa engañó a los usuarios al compartir información personal de los usuarios con anunciantes externos y no notificó a los consumidores sobre divulgaciones no autorizadas.
La ciberseguridad de los datos médicos se ha convertido en una máxima prioridad en los últimos meses tras una serie de ataques a la división Change Healthcare de UnitedHealth. Un ataque similar a la red médica de Ascension ha paralizado las operaciones en varios hospitales durante las últimas semanas, lo que obligó a desviar ambulancias mientras el personal desconectaba los sistemas de TI.
Fuente: https://www.nextgov.com/cybersecurity/2024/05/online-health-services-apps-face-new-data-security-rule-enforcement-july/396947/