Um guia prático de HIPAA, CCPA e GDPR comparados

Este guia explica HIPAA, CCPA e GDPR comparados na prática, com foco em decisões de analytics que respeitam a privacidade.

HIPAA, CCPA e GDPR são frequentemente agrupados como “leis de privacidade”, mas resolvem problemas diferentes. Tratá-los como intercambiáveis leva a decisões erradas de conformidade.

A questão prática não é “Qual lei é mais rigorosa?” É "Qual lei se aplica a este fluxo de dados, para esta organização, neste contexto?"

GDPR: Ampla proteção de dados pessoais

A GDPR aplica-se a dados pessoais relativos a pessoas da EU/EEA quando o tratamento se enquadra no seu âmbito territorial. Os dados pessoais são amplos: se as informações puderem identificar uma pessoa direta ou indiretamente, podem ser dados pessoais.

GDPR se concentra em:

• Base legal para processamento
• Transparência
• Limitação de finalidade
• Minimização de dados
• Precisão
• Limitação de armazenamento
• Segurança
• Direitos do titular dos dados
• Transferências internacionais
• Responsabilidade

A Comissão Europeia resume os direitos individuais sob GDPR, incluindo acesso, retificação, apagamento, restrição, portabilidade e objeção (Visão geral dos direitos da Comissão Europeia).

Para análise, as perguntas GDPR incluem se os cookies exigem consentimento, se os endereços ou identificadores IP são dados pessoais, se a ferramenta transfere dados internacionalmente e se os dados coletados são necessários.

CCPA/CPRA: Direitos do consumidor na Califórnia

A Lei de Privacidade do Consumidor da Califórnia, alterada pela CPRA, concede aos residentes da Califórnia direitos sobre informações pessoais e impõe obrigações às empresas cobertas. A visão geral CCPA do Procurador Geral da Califórnia explica direitos como conhecer, excluir, corrigir, cancelar a venda ou compartilhamento e limitar o uso de informações pessoais confidenciais.

CCPA é especialmente importante para:

• Avisos ao consumidor
• Obrigações de “Não vender ou compartilhar”
• Informações pessoais confidenciais
• Atividade do corretor de dados
• Controle Global de Privacidade em alguns contextos
• Contratos de fornecedores e prestadores de serviços

Para análise, a grande questão é se o compartilhamento de dados com fornecedores de tecnologia de publicidade ou de análise conta como venda ou compartilhamento de acordo com a lei da Califórnia, especialmente para publicidade comportamental em vários contextos.

HIPAA: Informações de saúde em relacionamentos específicos

HIPAA é mais estreito do que muitas pessoas imaginam. Não cobre todos os sites ou aplicativos de bem-estar relacionados à saúde. Aplica-se a entidades cobertas e parceiros comerciais que lidam com informações de saúde protegidas.

O HHS explica que a Regra de Privacidade HIPAA protege registros médicos e outras informações de saúde individualmente identificáveis mantidas por entidades cobertas e concede aos indivíduos direitos sobre essas informações (Regra de Privacidade HHS HIPAA).

HIPAA é importante para análise quando o site ou aplicativo de uma entidade regulamentada envia informações identificáveis relacionadas à saúde para um fornecedor de rastreamento. O HHS OCR emitiu orientações sobre tecnologias de rastreamento online porque pixels, cookies e ferramentas semelhantes podem divulgar informações de saúde protegidas em determinados contextos. Advertência importante para 2024: o HHS observa que um tribunal federal anulou parte desse boletim conforme aplicado à teoria de que um endereço IP mais uma visita a certas páginas da web públicas não autenticadas acionam automaticamente obrigações HIPAA.

Exemplo: uma página de consulta hospitalar que envia a página URL, o endereço IP e dados de cliques para uma plataforma de anúncios pode criar um risco muito diferente de um blog genérico de fitness usando análises agregadas.

Principais diferenças

GDPR é amplo e baseado em princípios. Abrange muitos tipos de dados pessoais e requer uma base legal para o processamento.

CCPA/CPRA tem foco nos direitos do consumidor. Ele enfatiza aviso, acesso, exclusão, correção, cancelamento de venda/compartilhamento e limites ao uso de dados confidenciais.

HIPAA é específico do setor. Protege informações de saúde mantidas por entidades cobertas e parceiros comerciais, com regras detalhadas sobre usos e divulgações permitidas.

O mesmo evento analítico pode, portanto, ser:

• Dados pessoais GDPR se estiverem relacionados a um visitante EU
• CCPA informações pessoais se estiverem relacionadas a um consumidor da Califórnia
• HIPAA informações de saúde protegidas se coletadas por uma entidade coberta ou associado comercial em um contexto relacionado a cuidados, pagamentos, serviços autenticados ou informações de saúde divulgadas

O contexto muda tudo.

Lista de verificação de conformidade analítica

Para cada site ou aplicativo:

1. Identifique quem é o público.
2. Identifique se a organização é uma entidade coberta, associada comercial, empresa coberta, controladora ou processadora.
3. Liste fornecedores e tags de análise.
4. Registre quais dados cada tag coleta.
5. Verifique se URLs revela conteúdo confidencial, como páginas de condições ou caminhos de compromissos.
6. Determine se é necessário consentimento, cancelamento ou autorização.
7. Minimize os dados antes de enviá-los aos fornecedores.
8. Atualizar avisos e contratos.

Lista de verificação de mapeamento da estrutura

Mapeie cada fluxo de dados analíticos por função da organização, localização do visitante, tipo de dados, contexto da página, finalidade e destino. Em HIPAA, separe a medição da educação pública não autenticada dos fluxos de trabalho de agendamento, portal, entrada, pagamento, específicos de condição e autenticados. Em CCPA/CPRA, verifique venda/compartilhamento e informações pessoais confidenciais. Em GDPR, verifique a base legal, consentimento ePrivacy, transferências, minimização e risco de categoria especial.

Se o mesmo evento criar obrigações sob mais de uma estrutura, projete o controle prático mais rigoroso: colete menos, remova o contexto sensível, evite a reutilização de publicidade, reduza a retenção e mantenha os contratos alinhados com o fluxo real de dados.

O resultado final

HIPAA, CCPA e GDPR se sobrepõem, mas não são iguais. Uma configuração de análise que prioriza a privacidade ajuda em todos os três porque reduz a coleta de dados pessoais, limita o compartilhamento de fornecedores e mantém a medição mais próxima das necessidades agregadas de negócios. Quanto menos sinais confidenciais seu site enviar a terceiros, mais fácil se tornará cada estrutura.

Casos de análise de site Edge

Os casos mais difíceis não são formulários de contato óbvios. Eles são URLs comuns, referenciadores, termos de pesquisa e nomes de eventos que revelam o contexto. Um caminho de página de clínica como /appointments/cardiology, a página inicial de um escritório de advocacia sobre falência ou um artigo de suporte sobre violência doméstica podem se tornar confidenciais quando enviados a um fornecedor de análise ou publicidade. Sob HIPAA, o OCR alertou que as entidades regulamentadas devem ter cuidado com tecnologias de rastreamento online. Em GDPR e CCPA/CPRA, sinais semelhantes podem criar questões de dados pessoais, dados confidenciais, venda/compartilhamento ou consentimento, dependendo do contexto.

Uma revisão prática deve incluir três colunas: elemento de dados, sensibilidade e destino. Endereço IP completo, localização precisa, ID da conta, e-mail, ID de compromisso, ID de clique no anúncio e campos de pesquisa de texto livre merecem um exame especial. Se um fornecedor não puder receber os dados com segurança sob todos os regimes aplicáveis, descarte-os antes da coleta, em vez de tentar corrigi-los posteriormente no painel. A análise que prioriza a privacidade ajuda porque começa com menos identidade, menos destinos de terceiros e limites de propósito mais claros.