A conformidade HIPAA com rastreamento web exige que entidades cobertas e associados de negócios avaliem cada tecnologia de rastreamento de terceiros implantada em páginas que possam processar informações de saúde protegidas (PHI). De acordo com as diretrizes do OCR do HHS publicadas em dezembro de 2022 e atualizadas em março de 2024, scripts que coletam endereços IP, caminhos de navegação ou termos de pesquisa relacionados à saúde em páginas autenticadas de pacientes podem constituir uma violação da HIPAA sem as salvaguardas adequadas e os Acordos de Parceiro de Negócios correspondentes.
Por que scripts de rastreamento criam riscos de HIPAA
Sites de saúde atraem um tipo específico de intenção do usuário. Um visitante que pesquisa "tratamento para depressão" ou faz login em um portal de pacientes compartilha informações de saúde por meio dessa interação, mesmo sem preencher um formulário. As ferramentas padrão de análise web e publicidade capturam esses dados de interação por design.
O problema é que essas ferramentas — Google Analytics, Meta Pixel, LinkedIn Insight Tag, serviços de gravação de sessão e centenas de outros — enviam os dados coletados para servidores de terceiros. Quando o contexto da página é o de um prestador de saúde, esses dados frequentemente se qualificam como PHI sob a HIPAA, e o processador de dados então precisa de um Acordo de Parceiro de Negócios (BAA). A maioria dos fornecedores de rastreamento não assina BAAs que cubram esses dados. Google Analytics, Meta e plataformas similares financiadas por publicidade geralmente excluem dados de rastreamento de saúde da cobertura do BAA ou simplesmente recusam assinar um.
As diretrizes do OCR de 2022 e o que mudou
Antes de dezembro de 2022, muitas organizações de saúde assumiam que pixels de rastreamento eram permitidos em páginas públicas porque os pacientes não tinham feito login e nenhum prontuário médico estava sendo acessado diretamente.
O boletim do Office for Civil Rights (OCR) do HHS publicado em dezembro de 2022 encerrou essa suposição. O OCR declarou que tecnologias de rastreamento em páginas não autenticadas também podem expor PHI quando o contexto da página revela uma condição de saúde: a página de agendamento de consultas de um hospital, um verificador de sintomas ou uma página de recursos sobre doenças específicas. As diretrizes atualizadas de março de 2024 suavizaram a posição original do OCR sobre alguns cenários de páginas não autenticadas, mas mantiveram que o rastreamento em páginas autenticadas sem um BAA continua sendo uma violação.
O teste operacional segundo as diretrizes atuais do OCR:
- A entidade é uma entidade coberta ou associado de negócios da HIPAA?
- Os dados coletados (endereço IP, URL, termo de pesquisa, fonte de referência) identificam uma pessoa em conexão com uma condição de saúde, serviço médico ou pagamento por cuidados?
- O fornecedor de rastreamento possui um BAA assinado que cobre os dados coletados?
Se 1 e 2 são sim e 3 é não, a tecnologia de rastreamento cria responsabilidade sob a HIPAA.
Quais elementos de dados se tornam PHI em sites de saúde
| Elemento de dados | Quando se torna PHI | Exemplo de cenário |
|---|---|---|
| Endereço IP | Quando associado a uma visita a página sobre condição de saúde | Paciente navega pelo departamento de oncologia, IP enviado ao Meta Pixel |
| URL da página | Quando a URL contém nome de doença ou tratamento | Caminho /tratamento-cancer ou /terapia-saude-mental nas análises |
| URL de referência | Quando revela uma condição de saúde por meio de consulta de pesquisa | Referência da pesquisa "especialista em dor nas costas perto de mim" |
| Termos de pesquisa no site | Sempre, em páginas de saúde autenticadas | Pesquisa no portal de pacientes por "medicamento para pressão arterial" |
| Status de login / conta | Em páginas autenticadas | Usuário logado no portal de pacientes consultando resultados de exames |
| Dados inseridos em formulários | Durante o envio de formulários capturado por gravadores de sessão | Descrição de sintomas em um formulário de solicitação de consulta |
Nível de risco por tipo de tecnologia de rastreamento
| Tecnologia | O que coleta | Risco de HIPAA em páginas de pacientes | BAA normalmente disponível? |
|---|---|---|---|
| Google Analytics 4 | IP, URLs de páginas, eventos | Alto | Apenas escopo limitado |
| Meta Pixel | IP, URL, eventos personalizados | Alto | Meta recusa BAA |
| LinkedIn Insight Tag | IP, dados profissionais inferidos | Médio | LinkedIn recusa BAA |
| Gravação de sessão (Hotjar, FullStory) | Teclas digitadas, entradas de formulário, movimento do mouse | Muito alto | Variável; verificar escopo |
| Widgets de chat (Intercom, Drift) | Mensagens do usuário, IP, páginas visualizadas | Alto se conteúdo de saúde | BAA individual necessário |
| Ferramentas de teste A/B | Variante de página, ID do usuário, dados de clique | Médio | Verificar termos do fornecedor |
| Scripts de terceiros via CDN | Todos os dados que o script carregado coleta | Depende do propósito do script | BAA do fornecedor principal necessário |
Incidentes documentados
Kaiser Permanente (2024): A Kaiser divulgou uma violação que afetou 13,4 milhões de membros, rastreada a códigos de rastreamento em suas propriedades web e aplicativos móveis. Os scripts transmitiram nomes de membros, endereços IP, termos de pesquisa da enciclopédia de saúde e status de login para fornecedores terceiros. A análise completa do incidente está disponível no blog da cside.
Novant Health (2022): A Novant Health notificou 1,3 milhão de pacientes que o Meta Pixel integrado ao seu portal de pacientes e à integração do MyChart havia enviado detalhes de consultas, nomes de médicos e tipos de consulta para a Meta.
Cerebral (2023): A plataforma de saúde mental divulgou que os pixels de rastreamento Meta Pixel, Google e TikTok que havia implantado capturaram dados sensíveis de saúde mental — incluindo declarações de pacientes e informações sobre condições psiquiátricas — que foram transmitidos para essas plataformas de publicidade.
BetterHelp (2023): A FTC chegou a um acordo de 7,8 milhões de dólares com a BetterHelp por compartilhar dados de saúde de consumidores, incluindo endereços de e-mail e respostas a questionários de saúde, com Facebook e Snapchat para direcionamento de anúncios.
Como realizar um inventário de tecnologias de rastreamento
Uma avaliação de riscos alinhada ao OCR para tecnologias de rastreamento cobre quatro etapas.
Etapa 1: Inventariar cada script em cada página. A revisão manual do gerenciador de tags e do código-fonte é insuficiente — scripts carregados por meio de plataformas de publicidade, CDNs ou widgets de parceiros incorporados podem não aparecer no gerenciador de tags, e scripts carregados condicionalmente requerem observação em tempo de execução.
Etapa 2: Classificar as páginas por sensibilidade dos dados. Páginas de marketing público carregam menos risco do que portais de pacientes, verificadores de sintomas, formulários de agendamento de consultas e qualquer página que exija autenticação. Mapear cada tipo de página para os dados que processa e os scripts que nela são carregados.
Etapa 3: Verificar o status do BAA para cada fornecedor de rastreamento. Solicitar o BAA e ler as limitações de escopo. A maioria das plataformas financiadas por publicidade exclui dados de saúde da cobertura do BAA mesmo quando oferece um BAA para outras finalidades.
Etapa 4: Remover ou bloquear scripts sem BAA de páginas de alto risco. Para rastreadores em que nenhum BAA está disponível ou foi recusado, removê-los das páginas sensíveis ou usar uma camada de gerenciamento de scripts que impeça seu carregamento em caminhos de página específicos.
Controles técnicos que reduzem o risco de HIPAA
Limitar scripts às páginas aprovadas. Usar o gerenciador de tags para impedir que scripts de análise e publicidade sejam carregados em páginas voltadas para pacientes. Não implantar scripts de rastreamento em todo o site de saúde; configurar regras por página ou por seção.
Usar uma Política de Segurança de Conteúdo como camada de controle. Uma CSP pode bloquear origens de scripts de terceiros não autorizados em páginas de pacientes. A CSP sozinha não detecta tudo — scripts entregues por domínios autorizados ainda podem coletar dados — mas reduz a superfície de ataque.
Conhecer os limites de Subresource Integrity. SRI impede que um script seja modificado em trânsito, mas não impede que um script não modificado colete e transmita PHI conforme projetado.
Monitorar o comportamento em tempo de execução, não apenas a configuração. O comportamento dos scripts muda com atualizações de fornecedores, testes A/B e variações de entrega por CDN. Monitorar continuamente os dados que scripts de terceiros realmente enviam em tempo de execução — e não apenas o que sua documentação afirma — é necessário para detectar mudanças antes que se tornem divulgações.
Como o Privacy Watch da cside aborda os riscos de scripts em saúde
O Privacy Watch da cside monitora o comportamento em tempo de execução de scripts de terceiros em propriedades web, identificando quais dados cada script lê da página e para onde os envia. Para organizações de saúde, isso significa visibilidade contínua sobre se um pixel de rastreamento implantado está coletando dados relacionados a PHI, quais domínios os recebem e se novos scripts aparecem em páginas que deveriam estar restritas.
Quando um script é carregado em uma página fora de seu escopo aprovado, o Privacy Watch pode sinalizar o evento e bloquear a execução do script antes que os dados do paciente saiam do navegador. Essa camada de monitoramento captura o comportamento em tempo de execução que controles baseados apenas em configuração e auditorias estáticas de gerenciadores de tags não conseguem detectar.
