El que HIPAA realment diu sobre el seguiment

El propi HIPAA no menciona galetes, píxels ni seguiment web — la llei es va redactar el 1996 i es va modificar mitjançant la llei HITECH el 2009. Les regles rellevants per al seguiment en línia provenen de dos llocs: la definició de PHI de la Regla de Privadesa i els requisits de la Regla de Seguretat per salvaguardar la PHI electrònica (ePHI). Juntes diuen que qualsevol informació sanitària identificable individualment en possessió d'una entitat coberta o un associat comercial ha de ser protegida, i que la divulgació a tercers sense autorització o un Acord d'Associat Comercial és un ús no permès.

El Butlletí de Tecnologia de Seguiment de l'OCR

El document regulador clau per als editors és el butlletí de l'OCR titulat Ús de Tecnologies de Seguiment en Línia per part d'Entitats Cobertes i Associats Comercials de HIPAA. La versió original de desembre del 2022 va adoptar una postura agressiva — que qualsevol adreça IP recopilada en una pàgina web era potencialment PHI si la pàgina concernia un problema de salut específic. Després d'una resolució judicial federal el 2024 que va revocar parts del butlletí per excedir l'autoritat de l'OCR, l'OCR va revisar el document per traçar una línia més nítida entre pàgines de màrqueting no autenticades i pàgines autenticades de portals de pacients. La revisió del 2024 és el text de referència el 2026, i és el document que els equips legals dels editors haurien de mantenir obert en un segon monitor mentre configuren el CMP.

Què compte com a PHI en un context de seguiment

L'OCR tracta la combinació d'un identificador (adreça IP, ID de dispositiu, empremta del navegador, correu electrònic hash) amb informació sobre la salut d'un individu específic (una cerca d'una afecció, un clic en una pàgina de tractament, un enviament de formulari amb símptomes) com a PHI quan la combinació es relaciona amb un pacient conegut o una persona que pot ser identificada. L'identificador sol no és PHI; la informació sanitària sola no és PHI; la combinació sí que ho és. Aquest és el moviment analític que agafa els editors desprevenuts, perquè el píxel estàndard d'adtech està dissenyat per transmetre exactament aquesta combinació a un tercer amb finalitats de mesura i personalització.

La Distinció entre Autenticat i No Autenticat

El concepte únic més important del butlletí de l'OCR és la línia entre una pàgina autenticada — una a la qual un usuari arriba iniciant sessió en un portal de pacients, un sistema de cites connectat a EHR, una consola de facturació — i una pàgina no autenticada — les pàgines de màrqueting públiques, els articles d'informació sobre afeccions, la cerca de metges. La postura de compliment difereix marcadament entre les dues.

Pàgines Autenticades

Les pàgines autenticades són la superfície d'alt risc. Una vegada que l'usuari ha iniciat sessió, l'entitat coberta sap qui és, i qualsevol tecnologia de seguiment que s'activi en aquelles pàgines potencialment revela PHI a qualsevol proveïdor que rebi la sol·licitud. Els píxels de tercers, els píxels de màrqueting i qualsevol etiqueta d'analítica que operi fora d'un Acord d'Associat Comercial no haurien de funcionar en pàgines autenticades en absolut. La postura de l'OCR aquí és inequívoca i els acords dels casos han estat substancials.

Pàgines No Autenticades

Les pàgines no autenticades són més matisades. La revisió de l'OCR del 2024 va concedir que no tota visita a una pàgina de màrqueting pública produeix PHI — un usuari llegint un article general sobre diabetis no revela necessàriament que té diabetis. Però la línia es desplaça quan la pàgina combina un identificador amb un context sanitari clar: un verificador de símptomes que accepta entrada de text lliure i activa un píxel amb l'entrada adjunta, una pàgina de destinació específica d'una afecció que utilitza la URL com a paràmetre de seguiment, una eina de cerca d'especialistes que passa l'especialitat i el codi postal a un proveïdor d'analítica. Aquests fluxos converteixen una pàgina no autenticada en una superfície de PHI.

La Prova Pràctica

La prova pràctica que els editors apliquen el 2026 és la prova d'expectativa raonable. Esperaria una persona raonable que visités aquesta pàgina que la seva visita indica un problema de salut específic? Si és afirmatiu, la pàgina es tracta com a portadora de PHI per a finalitats de seguiment independentment de l'estat d'autenticació. La prova és conservadora per disseny — equivocar-se del costat permissiu produeix risc d'execució, mentre que equivocar-se del costat restrictiu produeix únicament ingressos publicitaris perduts.

Acords d'Associat Comercial i la Pila de Proveïdors

HIPAA permet a una entitat coberta compartir PHI amb un proveïdor únicament quan el proveïdor ha signat un Acord d'Associat Comercial (BAA) comprometent-se amb proteccions equivalents a HIPAA. Entre els principals proveïdors de tecnologia publicitària i analítica, la qüestió del BAA és desigual i conseqüent.

Proveïdors que Signen BAA

Google ofereix un HIPAA BAA per a Google Workspace, Google Cloud Platform i un subconjunt limitat de desplegaments de Google Analytics 4 sota configuracions específiques. Microsoft signa BAA per a Azure i una configuració de Microsoft Clarity limitada. Un grapat de plataformes d'analítica especialitzades en salut — Freshpaint, Heap amb complement HIPAA, la configuració sanitària de FullStory — signen BAA. Aquests són els proveïdors que un editor cobert per HIPAA pot utilitzar en superfícies autenticades o portadores de PHI.

Proveïdors que No Signen BAA

Meta no signa BAA per a Meta Pixel ni Conversions API en cap configuració estàndard. TikTok no signa BAA per a TikTok Pixel. La majoria de SSP i DSP programàtics no signen BAA. Google Analytics estàndard, les plantilles estàndard de Google Tag Manager i les etiquetes de conversió predeterminades de Google Ads no estan cobertes pel BAA de Google. Executar qualsevol d'aquests en una superfície portadora de PHI és una violació de HIPAA independentment de la configuració del bàner de consentiment — el consentiment no substitueix un BAA quan hi ha PHI implicada.

La Pila de Consentiment més BAA

El patró conforme per a les pàgines de màrqueting d'un editor de salut és la pila de consentiment més BAA. Les pàgines de màrqueting no autenticades executen un CMP amb portes de consentiment per a qualsevol seguiment no essencial, la capa d'analítica es configura sota un BAA amb un proveïdor conscient de HIPAA, i la capa de píxels de màrqueting o bé s'executa únicament en pàgines que superin la prova d'expectativa raonable o bé es redirigeix a través d'una API de conversió del costat del servidor que elimina la informació identificativa abans de reenviar a proveïdors sense BAA.

L'Arquitectura CMP per a Editors de Salut

El CMP per a un editor cobert per HIPAA fa més que recollir consentiment. Aplica la distinció de classe de pàgina, gestiona l'accés de proveïdors per estat de BAA i produeix un registre d'auditoria que satisfà tant els requisits de documentació de la Regla de Seguretat de HIPAA com qualsevol llei de privadesa estatal aplicable a sobre.

Detecció de Classe de Pàgina

El CMP ha de saber en quina classe de pàgina s'està renderitzant. El patró més net és una variable JavaScript injectada per CSP — establerta pel servidor basant-se en el patró d'URL, l'estat d'autenticació i les metadades de tipus de contingut — que el CMP llegeix en la inicialització. La variable produeix un tri-estat: pública-baix-risc (sense context sanitari), pública-portadora-de-PHI (context sanitari, sense autenticació) o autenticada. La llista de proveïdors del CMP i els valors predeterminats de consentiment varien entre els tres estats.

Control d'Accés de Proveïdors per Estat de BAA

Cada proveïdor a la llista de proveïdors del CMP ha d'estar etiquetat amb el seu estat de BAA i les condicions en les quals s'aplica el BAA. Un proveïdor sense BAA està bloquejat fermament en superfícies portadores de PHI i autenticades independentment de l'estat de consentiment. Un proveïdor amb un BAA condicional — un que requereix opcions de configuració específiques — únicament és permès quan aquelles condicions estan confirmades. El registre d'auditoria registra cada decisió sobre proveïdors amb la classe de pàgina, l'estat de consentiment i la decisió de BAA, produint un registre defensable per a una consulta reguladora.

La Capa de la Llei Estatal

HIPAA és un pis federal; les lleis estatals — la CMIA de Califòrnia, la llei My Health My Data de Washington i les disposicions de privadesa de salut del consumidor a Connecticut i Nevada — s'hi superposen amb requisits més estrictes en els seus àmbits específics. L'arquitectura CMP hauria de tractar HIPAA com la línia de base i afegir la regla estatal aplicable més estricta a sobre sempre que el senyal geogràfic d'un usuari indiqui un estat amb un règim de salut del consumidor més sòlid.

Errors Comuns de Seguiment de HIPAA que Desencadenen Acords

Les accions coercitives de seguiment de HIPAA durant el 2024 i el 2025 han produït una llista clara dels patrons que condueixen a investigacions de l'OCR. Meta Pixel activant-se en portals de pacients perquè algú l'havia afegit per a analítica de màrqueting sense consultar el departament de compliment. Google Analytics funcionant en una eina de verificació de símptomes amb el símptoma passat com a dimensió personalitzada. Una pàgina de cerca de metges que passava l'especialitat com a paràmetre d'URL que l'etiqueta d'analítica captura i reenvía. Un flux d'incorporació de telesalut amb TikTok Pixel instal·lat per a adquisició de pagament i no eliminat quan l'usuari va entrar al portal autenticat. Un test A/B de l'equip de màrqueting que va activar un gravador de mapa de calor en totes les pàgines inclosos els formularis orientats al pacient. Cadascun d'aquests ha produït un acord públic o un pla d'acció correctiva en la finestra d'execució posterior al 2022.

Conclusió

HIPAA el 2026 ja no és un règim de compliment administratiu que l'equip de màrqueting pot ignorar. El butlletí de l'OCR, els acords públics i la línia d'execució en maduració contra l'ús de píxels en pàgines autenticades han convertit el seguiment en línia en una qüestió de nivell directiu per a qualsevol entitat coberta amb petjada digital. La postura de compliment no és impossible — és un CMP que coneix la classe de pàgina, una pila de proveïdors que respecta el límit del BAA, una capa de consentiment que gestiona la superposició de la llei estatal i una arquitectura documentada que un investigador de l'OCR pot llegir en una hora i marxar convenç. Els editors que inverteixen en aquesta arquitectura el 2026 mantenen els seus canals digitals oberts i les seves audiències monetitzables; els editors que continuen tractant les pàgines de salut com a pàgines de comerç electrònic passen els dos anys següents redactant acords de liquidació amb el govern federal.