El cumplimiento de HIPAA en materia de seguimiento web exige que las entidades cubiertas y sus asociados comerciales evalúen cada tecnología de seguimiento de terceros implementada en páginas que puedan manejar información de salud protegida (PHI). Según la guía de la OCR del HHS publicada en diciembre de 2022 y actualizada en marzo de 2024, los scripts que recopilan direcciones IP, rutas de navegación o términos de búsqueda relacionados con la salud en páginas autenticadas de pacientes pueden constituir una violación de HIPAA sin las salvaguardas adecuadas y los Acuerdos de Socio Comercial correspondientes.
Por qué los scripts de seguimiento crean riesgos para HIPAA
Los sitios web sanitarios concentran un tipo específico de intención del usuario. Un visitante que busca "tratamiento para la depresión" o que inicia sesión en un portal de pacientes comparte información de salud a través de esa interacción, aunque no rellene ningún formulario. Las herramientas estándar de análisis web y publicidad capturan estos datos de interacción por diseño.
El problema es que estas herramientas — Google Analytics, Meta Pixel, LinkedIn Insight Tag, servicios de grabación de sesiones y cientos más — envían los datos recopilados a servidores de terceros. Cuando el contexto de la página es el sitio web de un proveedor sanitario, esos datos suelen constituir PHI según HIPAA, y el procesador de datos necesita entonces un Acuerdo de Socio Comercial (BAA). La mayoría de los proveedores de seguimiento no firman BAAs que cubran estos datos. Google Analytics, Meta y plataformas similares financiadas por publicidad suelen excluir los datos de seguimiento sanitario de la cobertura BAA o directamente se niegan a firmarlo.
La guía de la OCR de 2022 y qué cambió
Antes de diciembre de 2022, muchas organizaciones sanitarias asumían que los píxeles de seguimiento eran permisibles en páginas públicas porque los pacientes no habían iniciado sesión y no se accedía directamente a registros médicos.
El boletín de la Oficina de Derechos Civiles (OCR) del HHS publicado en diciembre de 2022 cerró esa suposición. La OCR declaró que las tecnologías de seguimiento en páginas no autenticadas también pueden exponer PHI cuando el contexto de la página revela una condición de salud: la página de reserva de citas de un hospital, un verificador de síntomas o una página de recursos sobre enfermedades específicas. La guía actualizada de marzo de 2024 suavizó la posición original de la OCR sobre algunos escenarios de páginas no autenticadas, pero mantuvo que el seguimiento en páginas autenticadas sin un BAA sigue siendo una violación.
La prueba operativa según la guía actual de la OCR:
- ¿Es la entidad una entidad cubierta o un asociado comercial de HIPAA?
- ¿Los datos recopilados (dirección IP, URL, término de búsqueda, fuente de referencia) identifican a una persona en relación con una condición de salud, servicio sanitario o pago por atención?
- ¿El proveedor de seguimiento tiene firmado un BAA que cubra los datos recopilados?
Si la respuesta a 1 y 2 es sí y a 3 es no, la tecnología de seguimiento genera responsabilidad bajo HIPAA.
Qué elementos de datos se convierten en PHI en sitios web sanitarios
| Elemento de datos | Cuándo se convierte en PHI | Escenario de ejemplo |
|---|---|---|
| Dirección IP | Cuando se asocia a una visita a una página sobre condiciones de salud | Paciente navega por el departamento de oncología; IP enviada a Meta Pixel |
| URL de la página | Cuando la URL contiene nombre de enfermedad o tratamiento | Ruta /tratamiento-cancer o /terapia-salud-mental en análisis |
| URL de referencia | Cuando revela una condición de salud mediante consulta de búsqueda | Referencia desde búsqueda "especialista en dolor de espalda cerca de mí" |
| Términos de búsqueda en el sitio | Siempre, en páginas sanitarias autenticadas | Búsqueda en portal de pacientes de "medicación para la tensión arterial" |
| Estado de inicio de sesión | En páginas autenticadas | Usuario conectado al portal de pacientes consultando resultados de análisis |
| Datos introducidos en formularios | Durante el envío de formularios capturado por grabadores de sesión | Descripción de síntomas en un formulario de solicitud de cita |
Nivel de riesgo por tipo de tecnología de seguimiento
| Tecnología | Qué recopila | Riesgo HIPAA en páginas de pacientes | ¿BAA disponible habitualmente? |
|---|---|---|---|
| Google Analytics 4 | IP, URLs de páginas, eventos | Alto | Solo alcance limitado |
| Meta Pixel | IP, URL, eventos personalizados | Alto | Meta rechaza el BAA |
| LinkedIn Insight Tag | IP, datos profesionales inferidos | Medio | LinkedIn rechaza el BAA |
| Grabación de sesión (Hotjar, FullStory) | Pulsaciones de teclado, entradas de formulario, movimiento del ratón | Muy alto | Variable; verificar alcance |
| Widgets de chat (Intercom, Drift) | Mensajes del usuario, IP, páginas vistas | Alto si hay contenido sanitario | Requiere BAA individual |
| Herramientas de pruebas A/B | Variante de página, ID de usuario, datos de clics | Medio | Consultar términos del proveedor |
| Scripts de terceros entregados por CDN | Cualquier dato que recopile el script cargado | Depende del propósito del script | Requiere BAA del proveedor principal |
Incidentes documentados
Kaiser Permanente (2024): Kaiser divulgó una brecha que afectó a 13,4 millones de miembros originada en códigos de seguimiento en sus propiedades web y aplicaciones móviles. Los scripts transmitieron nombres de miembros, direcciones IP, términos de búsqueda de la enciclopedia de salud y estado de inicio de sesión a proveedores externos. El análisis completo del incidente está disponible en el blog de cside.
Novant Health (2022): Novant Health notificó a 1,3 millones de pacientes que Meta Pixel integrado en su portal de pacientes y en la integración de MyChart había enviado detalles de citas, nombres de médicos y tipos de cita a Meta.
Cerebral (2023): La plataforma de salud mental divulgó que los píxeles de seguimiento de Meta Pixel, Google y TikTok que había implementado capturaron datos sensibles de salud mental — incluidas declaraciones de pacientes e información sobre afecciones psiquiátricas — que fueron transmitidos a esas plataformas publicitarias.
BetterHelp (2023): La FTC alcanzó un acuerdo de 7,8 millones de dólares con BetterHelp por compartir datos de salud de los consumidores, incluidas direcciones de correo electrónico y respuestas a cuestionarios de salud, con Facebook y Snapchat para segmentación publicitaria.
Cómo realizar un inventario de tecnologías de seguimiento
Una evaluación de riesgos alineada con la OCR para tecnologías de seguimiento cubre cuatro pasos.
Paso 1: Inventariar cada script en cada página. La revisión manual del gestor de etiquetas y el código fuente es insuficiente — los scripts cargados a través de plataformas publicitarias, CDNs o widgets de socios integrados pueden no aparecer en el gestor de etiquetas, y los scripts que se cargan condicionalmente requieren observación en tiempo de ejecución.
Paso 2: Clasificar las páginas según la sensibilidad de los datos. Las páginas de marketing público conllevan menos riesgo que los portales de pacientes, verificadores de síntomas, formularios de reserva de citas y cualquier página que requiera autenticación. Mapear cada tipo de página con los datos que gestiona y los scripts que se cargan en ella.
Paso 3: Verificar el estado del BAA para cada proveedor de seguimiento. Solicitar el BAA y leer las limitaciones de alcance. La mayoría de las plataformas financiadas por publicidad excluyen los datos de salud de la cobertura BAA incluso cuando ofrecen un BAA para otros fines.
Paso 4: Eliminar o bloquear scripts sin BAA de páginas de alto riesgo. Para los rastreadores en los que no hay BAA disponible o ha sido rechazado, eliminarlos de las páginas sensibles o usar una capa de gestión de scripts que impida su carga en rutas de páginas específicas.
Controles técnicos que reducen el riesgo de HIPAA
Acotar los scripts a las páginas aprobadas. Usar el gestor de etiquetas para evitar que los scripts de análisis y publicidad se carguen en páginas orientadas a pacientes. No implementar scripts de seguimiento en todo el sitio web sanitario; configurar reglas por página o por sección.
Usar una Política de Seguridad de Contenidos como capa de control. Una CSP puede bloquear el origen de scripts de terceros no autorizados en páginas de pacientes. La CSP por sí sola no lo detecta todo — los scripts entregados a través de dominios en lista blanca aún pueden recopilar datos — pero reduce la superficie de ataque.
Conocer los límites de Subresource Integrity. SRI evita que un script sea modificado en tránsito, pero no impide que un script no modificado recopile y transmita PHI por diseño.
Monitorear el comportamiento en tiempo de ejecución, no solo la configuración. El comportamiento de los scripts cambia con las actualizaciones de los proveedores, las pruebas A/B y las variaciones de entrega por CDN. Monitorear continuamente los datos que los scripts de terceros envían en tiempo de ejecución — no solo lo que dice su documentación — es necesario para detectar cambios antes de que se conviertan en divulgaciones.
Cómo Privacy Watch de cside aborda el riesgo de scripts sanitarios
Privacy Watch de cside monitorea el comportamiento en tiempo de ejecución de los scripts de terceros en las propiedades web, identificando qué datos lee cada script de la página y a dónde los envía. Para las organizaciones sanitarias, esto supone visibilidad continua sobre si un píxel de seguimiento implementado está recopilando datos relacionados con PHI, qué dominios los reciben y si aparecen nuevos scripts en páginas que deberían estar restringidas.
Cuando un script se carga en una página fuera de su alcance aprobado, Privacy Watch puede señalar el evento y bloquear la ejecución del script antes de que los datos del paciente abandonen el navegador. Esta capa de monitoreo captura el comportamiento en tiempo de ejecución que los controles basados solo en configuración y las auditorías estáticas del gestor de etiquetas no pueden detectar.
