Google Analytics es una solución de medición que puedes usar para obtener estadísticas empresariales sobre el tráfico en tus sitios web y aplicaciones. Es importante que te asegures de que tu implementación de Google Analytics y los datos recopilados sobre los visitantes de tus propiedades satisfagan todos los requisitos legales aplicables.
Recuerda que para proteger la privacidad del usuario, las políticas y condiciones de Google Analytics exigen que no se transmitan datos que Google pueda reconocer como información de identificación personal (PII). Además, los datos que recopilas mediante Google Analytics no pueden revelar ningún tipo de información sensible sobre los usuarios ni identificarlos. Si por algún motivo necesitas borrar datos de los servidores de Analytics, puedes programar una solicitud de eliminación de datos o utilizar la API de User Deletion.
¿Qué es la ley HIPAA y a quiénes se aplica?
La Ley de Responsabilidad y Portabilidad de Seguros Médicos (HIPAA) de 1996 es una ley federal estadounidense que se aplica a las entidades reguladas por la HIPAA. Por lo general, la ley y sus reglamentaciones de implementación no son relevantes para los clientes de Google Analytics que operan de forma exclusiva fuera de EE.UU. ni tampoco son relevantes para todos los clientes que operan dentro de dicho país. Los clientes de Analytics son responsables de determinar si son entidades que están reguladas por la HIPAA y cuáles son sus obligaciones en virtud de ella.
¿Se puede usar Google Analytics en conformidad con la HIPAA?
Los clientes deben abstenerse de usar Google Analytics de cualquier forma que cree obligaciones según HIPAA para Google. Las entidades reguladas por la HIPAA que usan Google Analytics deben abstenerse de exponer a Google cualquier dato que se pueda considerar Información de salud protegida (PHI), incluso si no se describe expresamente como PII en los contratos y las políticas de Google. Google no manifiesta que Google Analytics satisfaga los requisitos de la HIPAA ni ofrece Acuerdos entre Socios Comerciales en relación con este servicio.
En el caso de las entidades reguladas por la HIPAA que buscan determinar cómo configurar Google Analytics en sus propiedades, el boletín del HHS brinda orientación específica sobre cuándo los datos pueden calificar o no como PHI. Estos son algunos pasos adicionales que debes seguir para asegurarte de que tu uso de Google Analytics esté permitido:
- Los clientes que estén sujetos a la HIPAA no deben usar Google Analytics de ninguna manera que implique que Google accede a PHI, o que recopila esta información, y solo pueden usar Google Analytics en páginas que no están cubiertas por la HIPAA.
- Es probable que las páginas autenticadas estén cubiertas por la HIPAA, y los clientes no deben configurar etiquetas de Google Analytics en ellas.
- Es más probable que las páginas no autenticadas relacionadas con la prestación de servicios de atención médica, incluidos los que se describen en el boletín del HHS, estén cubiertas por la HIPAA, y los clientes no deben configurar etiquetas de Google Analytics en las páginas cubiertas por esta ley.
- Trabaja con tu equipo legal para identificar las páginas de tu sitio que no se relacionan con la prestación de servicios de atención médica, de modo que la configuración de Google Analytics no traiga como resultado la recopilación de PHI.
