O Google Analytics é uma solução de medição que pode ser utilizada para obter estatísticas da empresa sobre o tráfego nos seus Websites e apps. É importante garantir que a sua implementação do Google Analytics e os dados recolhidos sobre os visitantes das suas propriedades satisfazem todos os requisitos legais aplicáveis.
Lembre-se de que, para proteger a privacidade do utilizador, as políticas e os termos do Google Analytics estabelecem que não devem ser transmitidos dados à Google que esta possa reconhecer como informações de identificação pessoal (PII), e que os dados recolhidos através do Google Analytics não devem revelar informações confidenciais sobre um utilizador nem identificar o mesmo. Se, por qualquer motivo, precisar de apagar dados dos servidores do Analytics, pode agendar um pedido de eliminação de dados ou utilizar a API User Deletion.
O que é a HIPAA e a quem se aplica?
A Lei de Portabilidade e Responsabilidade dos Seguros de Saúde de 1996 (HIPAA) é uma lei federal dos EUA que se aplica a entidades reguladas pela HIPAA. Normalmente, a lei e os respetivos regulamentos de implementação não são relevantes para clientes do Google Analytics que operam exclusivamente fora dos EUA, nem para todos os clientes que operam nos EUA. Os clientes do Analytics são responsáveis por determinar se são entidades reguladas pela HIPAA e quais as respetivas obrigações ao abrigo da HIPAA.
O Google Analytics pode ser utilizado em conformidade com a HIPAA?
Os clientes têm de evitar utilizar o Google Analytics de forma que possa criar obrigações ao abrigo da HIPAA para a Google. As entidades reguladas pela HIPAA que utilizam o Google Analytics têm de evitar expor a Google a dados que possam ser considerados Informações de saúde protegidas (PHI), mesmo que não estejam expressamente descritos como PII nos contratos e nas políticas da Google. A Google não afiança que o Google Analytics cumpre os requisitos da HIPAA e não oferece Contratos de Parceiro Comercial em associação a este serviço.
Para entidades reguladas pela HIPAA que pretendem determinar como configurar o Google Analytics nas respetivas propriedades, o boletim do HHS fornece orientações específicas sobre quando os dados podem ou não ser qualificados como PHI. Seguem-se alguns passos adicionais que deve realizar para garantir que a sua utilização do Google Analytics é autorizada:
- Os clientes que estão sujeitos à HIPAA não podem utilizar o Google Analytics de forma que envolva o acesso ou a recolha de PHI por parte da Google, e apenas podem utilizar o Google Analytics em páginas não abrangidas pela HIPAA.
- É provável que as páginas autenticadas sejam abrangidas pela HIPAA e os clientes não devem definir etiquetas do Google Analytics nessas páginas.
- As páginas não autenticadas relacionadas com o aprovisionamento de serviços de cuidados de saúde, inclusive conforme descrito no boletim do HHS, têm maior probabilidade de serem abrangidas pela HIPAA, e os clientes não devem definir etiquetas do Google Analytics em páginas abrangidas pela HIPAA.
- Colabore com o seu departamento jurídico para identificar páginas no seu site que não estejam relacionadas com o aprovisionamento de serviços de cuidados de saúde, de modo que a sua configuração do Google Analytics não resulte na recolha de PHI.