Google Analytics és una solució de mesurament que podeu utilitzar per obtenir estadístiques empresarials sobre el trànsit als vostres llocs web i a les vostres aplicacions. És important que us assegureu que la implementació de Google Analytics i les dades recollides sobre els visitants a les vostres propietats compleixin tots els requisits legals aplicables.
Recordeu que, per protegir la privadesa dels usuaris, les polítiques i les condicions de Google Analytics exigeixen que no es transfereixin a Google dades que Google pugui reconèixer com a informació d'identificació personal (IIP), i que les dades que recolliu mitjançant Google Analytics no revelin informació sensible sobre un usuari ni l'identifiquin. Si heu de suprimir dades dels servidors d'Analytics per qualsevol motiu, podeu programar una sol·licitud de supressió de dades o utilitzar l'API de supressió de l'usuari.
Què és la HIPAA i a qui s'aplica?
La Llei de transferència i responsabilitat de les assegurances mèdiques dels EUA (HIPAA) de 1996 és una llei federal dels Estats Units que s'aplica a les entitats regulades per la HIPAA. Normalment, ni els clients de Google Analytics que operen exclusivament fora dels EUA ni tots els clients que operen dins dels EUA no estan subjectes a aquesta llei ni als seus reglaments d'implementació. Els clients d'Analytics són responsables de determinar si són entitats regulades per la HIPAA i quines són les seves obligacions en virtut d'aquesta llei.
Google Analytics es pot utilitzar d'acord amb la HIPAA?
Els clients han d'abstenir-se d'utilitzar Google Analytics de cap manera que pugui crear obligacions per a Google en virtut del que disposa la HIPAA. Les entitats regulades per la HIPAA que utilitzen Google Analytics han d'abstenir-se d'exposar a Google cap dada que es pugui considerar informació mèdica protegida (PHI), encara que no es descrigui explícitament com a IIP als contractes i a les polítiques de Google. Google no garanteix que Google Analytics compleixi els requisits de la HIPAA, ni ofereix acords d'associació comercial en relació amb aquest servei.
En el cas de les entitats regulades per la HIPAA que vulguin saber com poden configurar Google Analytics a les seves propietats, el butlletí HHS proporciona indicacions específiques sobre quan les dades es poden considerar PHI i quan no. A continuació us indiquem alguns passos addicionals que heu de seguir per assegurar-vos que l'ús que feu de Google Analytics estigui permès:
- Els clients subjectes a la HIPAA no poden utilitzar Google Analytics de cap manera que impliqui que Google accedeixi a PHI o en reculli, i només poden utilitzar Google Analytics en pàgines que no estiguin emparades per la HIPAA.
- És probable que les pàgines autenticades estiguin emparades per la HIPAA i els clients no haurien de configurar etiquetes de Google Analytics en aquestes pàgines.
- Les pàgines no autenticades que estan relacionades amb la prestació de serveis d'atenció sanitària, com ara les que es descriuen al butlletí HHS, és més probable que estiguin emparades per la HIPAA i els clients no haurien de configurar etiquetes de Google Analytics en pàgines emparades per la HIPAA.
- Us recomanem que us poseu en contacte amb el vostre equip jurídic per identificar les pàgines del vostre lloc web que no estiguin relacionades amb la prestació de serveis d'atenció sanitària, perquè la configuració de Google Analytics no provoqui la recollida de PHI.
