Un juez federal de Texas anuló una guía federal que aclara cómo los proveedores de atención médica pueden utilizar la tecnología de seguimiento en línea sin infringir las normas de privacidad de la atención médica.
El Departamento de Salud y Servicios Humanos de EE. UU. carecía de autoridad para emitir la guía del 18 de marzo, que requiere que los proveedores tengan especial cuidado para proteger los datos que, según la agencia, permitirían a terceros identificar a los usuarios de sitios web que buscan información en línea sobre su salud. condiciones de atención, dijo el jueves el juez Mark T. Pittman del Tribunal de Distrito de los Estados Unidos para el Distrito Norte de Texas.
Pittman es una persona designada por Trump en Fort Worth y ha sido identificada como parte de un plan de “compra de jueces” creado por conservadores que buscan garantizar que sus desafíos a las políticas de la administración Biden sean escuchados por oídos comprensivos. Aquí, acusó al HHS de intentar hacerse con el poder a expensas de las entidades cubiertas que deben cumplir con la regla de privacidad de la Ley de Responsabilidad y Portabilidad del Seguro Médico.
El caso “no se trata realmente de HIPAA”, dijo Pittman. Es “un caso sobre los límites de nuestra nación al poder ejecutivo”.
Pittman concluyó que anular la disposición, que la hace inaplicable en todo el país, era el remedio más apropiado disponible para los demandantes, incluida la Asociación Estadounidense de Hospitales.
Cambiando la definición
La regla de privacidad de HIPAA requiere que los proveedores protejan la “información de salud individualmente identificable”, que define como información que “se relaciona” con la condición de salud de una persona, la recepción de atención o el pago de servicios que pueden usarse para identificarla, dijo Pittman. La agencia agregó la obligación de proteger una categoría “novedosa” de información: tecnología en línea que conecta la dirección IP de una persona con una visita a un sitio web que aborda condiciones de salud o proveedores específicos, dijo.
Los datos recién agregados quedaron fuera de la definición legal inequívoca, dijo Pittman. No hay forma de que un proveedor sepa por qué una persona está mirando un sitio web en particular, y la adición de un requisito de “intención específica” por parte de la agencia no solucionó el problema, dijo Pittman. Sólo “agrava el enigma para las entidades cubiertas”, dijo Pittman. Los proveedores aún deben cambiar sus prácticas, y el motivo por el que un usuario visita un sitio web en particular es “incognoscible”, dijo.
Los metadatos son, por naturaleza, anónimos, dijo Pittman. HIPAA tiene claro que la información de salud que no identifica a la persona y que razonablemente no puede usarse para hacerlo no es IIHI, dijo.
Lo más cerca que se acerca la “combinación prohibida” al IIHI “es una inferencia especulativa extrapolada de (pero no fundamentada por) metadatos recopilados”, dijo Pittman. “Excede superficialmente el texto inequívoco de HIPAA”, dijo.
“El HHS intentó modificar la definición del IIHI y quedó atrapado”, dijo Pittman al rechazar el intento adicional de la agencia de “iluminar” a los proveedores argumentando que la HIPAA les exigía proteger estos datos desde el principio. “Con la mano en el tarro de las galletas, el Departamento ahora da marcha atrás”, dijo.
Jones Day y Simmons Hanly Conroy representan las asociaciones hospitalarias. El Departamento de Justicia de Estados Unidos representa al secretario del HHS, Xavier Becerra.
El caso es Am. Hosp. Ass’n contra Becerra, ND Tex., No. 23-cv-1110, 20/6/24.