Google Analytics es una solución de medición que puede utilizarse para obtener estadísticas empresariales sobre el tráfico de sus sitios web y aplicaciones. Es importante asegurarse de que la implementación de Google Analytics y los datos recogidos sobre los visitantes de sus propiedades cumplan todos los requisitos legales aplicables.
Recuerde que, para proteger la privacidad de los usuarios, las políticas y los términos de Google Analytics estipulan que está prohibido enviar a Google datos que este pueda reconocer como información personal identificable (IPI), y que los datos que recoja con Google Analytics no pueden revelar información sensible de ningún tipo sobre los usuarios, ni tampoco identificarlos. Si necesita eliminar datos de los servidores de Analytics por algún motivo, puede programar una solicitud de eliminación de datos o usar la API User Deletion.
¿Qué es la HIPAA y a quién se aplica?
La ley de transferencia y responsabilidad de los seguros médicos de EE. UU. (Health Insurance Portability and Accountability Act, HIPAA) de 1996 es una ley federal de EE. UU. que se aplica a las entidades reguladas por la HIPAA. Normalmente, ni los clientes de Google Analytics que operan exclusivamente fuera de EE. UU. ni todos los clientes que operan en EE. UU. están sujetos a la HIPAA y sus reglamentos de aplicación. Los clientes de Analytics son responsables de determinar si son entidades reguladas por la HIPAA y cuáles son sus obligaciones en virtud de la HIPAA.
¿Se puede usar Google Analytics de conformidad con la HIPAA?
Los clientes deben abstenerse de usar Google Analytics de formas que puedan conllevar obligaciones para Google en virtud de la HIPAA. Las entidades reguladas por la HIPAA que usen Google Analytics deben abstenerse de exponer a Google a cualquier tipo de datos que pueda considerarse información médica protegida, aunque no se describa explícitamente como IPI en los contratos y las políticas de Google. Google no garantiza que Google Analytics cumpla los requisitos de la HIPAA ni ofrece contratos de colaboración empresarial relacionados con este servicio.
En cuanto a las entidades reguladas por la HIPAA que quieran determinar cómo configurar Google Analytics en sus propiedades, el boletín del departamento de salud y servicios sociales de EE. UU. (US Department of Health and Human Services, HHS) ofrece directrices específicas sobre en qué casos se considera que los datos son información médica protegida y en cuáles no. Estos son algunos pasos adicionales que debe realizar para asegurarse de que hace un uso autorizado de Google Analytics:
- Los clientes que estén sujetos a la HIPAA no deben usar Google Analytics de forma que implique el acceso a información médica protegida, o su recogida, por parte de Google Analytics, y solo pueden usar Google Analytics en páginas que no estén amparadas por la HIPAA.
- Es probable que las páginas autenticadas estén amparadas por la HIPAA, así que los clientes no deben configurar etiquetas de Google Analytics en ellas.
- Las páginas no autenticadas que estén relacionadas con la prestación de servicios de atención sanitaria, incluyendo las disposiciones descritas en el boletín de HHS, tienen más probabilidades de estar cubiertas por la ley HIPAA. Los clientes no deben configurar etiquetas de Google Analytics en las páginas cubiertas por la ley HIPAA.
- Le recomendamos que consulte a su equipo legal para identificar las páginas de su sitio que no estén relacionadas con la prestación de servicios de atención sanitaria, de forma que su configuración de Google Analytics no tenga como resultado la recogida de información médica protegida.
