Una guía práctica de HIPAA, CCPA y RGPD comparados

Esta guía explica HIPAA, CCPA y RGPD comparados de forma práctica, con un enfoque en decisiones de analítica respetuosas con la privacidad.

A menudo se agrupa a HIPAA, CCPA y RGPD como "leyes de privacidad", pero resuelven problemas diferentes. Tratarlas como intercambiables lleva a malas decisiones de cumplimiento.

La pregunta práctica no es "¿qué ley es más estricta?". Es "¿qué ley se aplica a este flujo de datos, para esta organización, en este contexto?".

RGPD: protección amplia de datos personales

El RGPD se aplica a los datos personales relativos a personas en la UE/EEE cuando el tratamiento entra dentro de su ámbito territorial. Los datos personales son amplios: si la información puede identificar a una persona directa o indirectamente, puede ser dato personal.

El RGPD se centra en:

• Base legal para el tratamiento
• Transparencia
• Limitación del propósito
• Minimización de datos
• Exactitud
• Limitación del almacenamiento
• Seguridad
• Derechos del interesado
• Transferencias internacionales
• Responsabilidad proactiva

La Comisión Europea resume los derechos individuales bajo el RGPD, incluidos acceso, rectificación, supresión, limitación, portabilidad y oposición (resumen de derechos de la Comisión Europea).

Para la analítica, las preguntas del RGPD incluyen si las cookies requieren consentimiento, si las direcciones IP o los identificadores son datos personales, si la herramienta transfiere datos internacionalmente y si los datos recopilados son necesarios.

CCPA/CPRA: derechos del consumidor en California

La California Consumer Privacy Act, modificada por la CPRA, otorga a los residentes de California derechos sobre la información personal e impone obligaciones a las empresas cubiertas. La visión general de la CCPA del Fiscal General de California explica derechos como conocer, eliminar, corregir, optar por no participar en la venta o cesión y limitar el uso de información personal sensible.

La CCPA es especialmente importante para:

• Avisos al consumidor
• Obligaciones de "Do Not Sell or Share"
• Información personal sensible
• Actividad de los corredores de datos
• Global Privacy Control en algunos contextos
• Contratos con proveedores y prestadores de servicios

Para la analítica, la gran pregunta es si el intercambio de datos con proveedores de ad-tech o analítica cuenta como venta o cesión bajo la ley de California, en particular para la publicidad conductual entre contextos.

HIPAA: información sanitaria en relaciones específicas

La HIPAA es más estrecha de lo que mucha gente supone. No cubre todos los sitios web ni apps de bienestar relacionados con la salud. Se aplica a entidades cubiertas y socios comerciales que manejan información sanitaria protegida.

HHS explica que la Privacy Rule de la HIPAA protege los registros médicos y otra información sanitaria identificable individualmente que poseen las entidades cubiertas y otorga a los individuos derechos sobre dicha información (HIPAA Privacy Rule de HHS).

La HIPAA importa para la analítica cuando el sitio web o la app de una entidad regulada envía información sanitaria identificable a un proveedor de rastreo. La OCR de HHS ha publicado orientación sobre tecnologías de rastreo en línea porque los píxeles, cookies y herramientas similares pueden divulgar información sanitaria protegida en ciertos contextos. Importante matiz de 2024: HHS señala que un tribunal federal anuló parte de ese boletín en lo que respecta a la teoría de que una dirección IP más una visita a determinadas páginas web públicas no autenticadas activa automáticamente las obligaciones de la HIPAA.

Ejemplo: la página de citas de un hospital que envía la URL de la página, la dirección IP y los datos de clic a una plataforma publicitaria puede crear un riesgo muy distinto al de un blog genérico de fitness que use analítica agregada.

Diferencias clave

El RGPD es amplio y basado en principios. Cubre muchos tipos de datos personales y exige una base legal para el tratamiento.

La CCPA/CPRA se centra en los derechos del consumidor. Pone el énfasis en el aviso, el acceso, la eliminación, la corrección, la opción de no venta/cesión y los límites al uso de datos sensibles.

La HIPAA es específica de un sector. Protege la información sanitaria en poder de las entidades cubiertas y los socios comerciales, con reglas detalladas sobre los usos y divulgaciones permitidos.

El mismo evento de analítica puede, por tanto, ser:

• Dato personal del RGPD si se refiere a un visitante de la UE
• Información personal de la CCPA si se refiere a un consumidor de California
• Información sanitaria protegida por la HIPAA si la recopila una entidad cubierta o un socio comercial en un contexto que se relaciona con la atención, el pago, los servicios autenticados o la información sanitaria divulgada

El contexto lo cambia todo.

Lista de comprobación de cumplimiento de la analítica

Para cada sitio web o app:

1. Identifica quién es la audiencia.
2. Identifica si la organización es una entidad cubierta, un socio comercial, un negocio cubierto, un responsable o un encargado del tratamiento.
3. Lista los proveedores y etiquetas de analítica.
4. Registra qué datos recopila cada etiqueta.
5. Comprueba si las URLs revelan contenido sensible, como páginas de patologías o rutas de citas.
6. Determina si se requiere consentimiento, opción de no participación o autorización.
7. Minimiza los datos antes de enviarlos a los proveedores.
8. Actualiza los avisos y los contratos.

Lista de comprobación de mapeo de marcos

Mapea cada flujo de datos analíticos por rol de la organización, ubicación del visitante, tipo de dato, contexto de la página, propósito y destino. Bajo la HIPAA, separa la medición de la educación pública no autenticada de los flujos de citas, portal, admisión, pago, específicos de patologías y autenticados. Bajo la CCPA/CPRA, comprueba la venta/cesión y la información personal sensible. Bajo el RGPD, comprueba la base legal, el consentimiento ePrivacy, las transferencias, la minimización y el riesgo de categoría especial.

Si el mismo evento crea obligaciones bajo más de un marco, diseña para el control práctico más estricto: recopila menos, elimina el contexto sensible, evita la reutilización publicitaria, acorta la retención y mantén los contratos alineados con el flujo de datos real.

La conclusión

HIPAA, CCPA y RGPD se solapan, pero no son lo mismo. Una configuración de analítica que prioriza la privacidad ayuda bajo los tres porque reduce la recopilación de datos personales, limita el intercambio con proveedores y mantiene la medición más cerca de las necesidades de negocio agregadas. Cuantas menos señales sensibles envíe tu sitio web a terceros, más fácil resulta cada marco.

Casos límite en la analítica web

Los casos más difíciles no son los formularios de contacto evidentes. Son las URLs ordinarias, los referentes, los términos de búsqueda y los nombres de eventos que revelan el contexto. Una ruta de página de una clínica como /appointments/cardiology, una página de aterrizaje de un bufete sobre quiebra o un artículo de soporte sobre violencia doméstica pueden volverse sensibles cuando se envían a un proveedor de analítica o publicidad. Bajo la HIPAA, la OCR ha advertido que las entidades reguladas deben tener cuidado con las tecnologías de rastreo en línea. Bajo el RGPD y la CCPA/CPRA, señales similares pueden crear datos personales, datos sensibles, cuestiones de venta/cesión o de consentimiento dependiendo del contexto.

Una revisión práctica debería incluir tres columnas: elemento de dato, sensibilidad y destino. La dirección IP completa, la ubicación precisa, el ID de cuenta, el correo electrónico, el ID de cita, el ID de clic en anuncio y los campos de búsqueda de texto libre merecen un escrutinio especial. Si un proveedor no puede recibir el dato de forma segura bajo todos los regímenes aplicables, descártalo antes de la recopilación en lugar de intentar arreglarlo en el panel después. La analítica que prioriza la privacidad ayuda porque parte de menos identidad, menos destinos de terceros y límites de propósito más claros.