Lo que HIPAA realmente dice sobre el seguimiento

El propio HIPAA no menciona cookies, píxeles ni seguimiento web — la ley fue redactada en 1996 y modificada mediante la ley HITECH en 2009. Las reglas relevantes para el seguimiento en línea provienen de dos lugares: la definición de PHI de la Regla de Privacidad y los requisitos de la Regla de Seguridad para salvaguardar la PHI electrónica (ePHI). Juntas indican que cualquier información sanitaria individualmente identificable en posesión de una entidad cubierta o un socio comercial debe estar protegida, y que la divulgación a terceros sin autorización o un Acuerdo de Socio Comercial constituye un uso no permitido.

El Boletín de Tecnología de Seguimiento de la OCR

El documento regulatorio clave para los editores es el boletín de la OCR titulado Uso de Tecnologías de Seguimiento en Línea por Entidades Cubiertas y Socios Comerciales de HIPAA. La versión original de diciembre de 2022 adoptó una postura agresiva — que cualquier dirección IP recopilada en una página web era potencialmente PHI si la página concernía a una afección de salud específica. Tras una resolución de un tribunal federal en 2024 que anuló partes del boletín por exceder la autoridad de la OCR, la OCR revisó el documento para trazar una línea más nítida entre páginas de marketing no autenticadas y páginas autenticadas de portales de pacientes. La revisión de 2024 es el texto rector en 2026, y es el documento que los equipos legales de los editores deben mantener abierto en un segundo monitor mientras configuran el CMP.

Qué cuenta como PHI en un contexto de seguimiento

La OCR trata la combinación de un identificador (dirección IP, ID de dispositivo, huella digital del navegador, correo electrónico cifrado con hash) con información sobre la salud de un individuo específico (una búsqueda de una afección, un clic en una página de tratamiento, el envío de un formulario con síntomas) como PHI cuando la combinación se relaciona con un paciente conocido o una persona que puede ser identificada. El identificador por sí solo no es PHI; la información sanitaria por sí sola no es PHI; la combinación sí lo es. Este es el movimiento analítico que pilla desprevenidos a los editores, porque el píxel estándar de adtech está diseñado para transmitir exactamente esa combinación a un tercero con fines de medición y personalización.

La Distinción entre Autenticado y No Autenticado

El concepto único más importante del boletín de la OCR es la línea entre una página autenticada — una a la que un usuario llega iniciando sesión en un portal de pacientes, un sistema de citas conectado a EHR, una consola de facturación — y una página no autenticada — las páginas de marketing públicas, los artículos de información sobre afecciones, la búsqueda de médicos. La postura de cumplimiento difiere marcadamente entre ambas.

Páginas Autenticadas

Las páginas autenticadas son la superficie de alto riesgo. Una vez que el usuario ha iniciado sesión, la entidad cubierta sabe quién es, y cualquier tecnología de seguimiento que se active en esas páginas potencialmente divulga PHI a cualquier proveedor que reciba la solicitud. Los píxeles de terceros, los píxeles de marketing y cualquier etiqueta de análisis que opere fuera de un Acuerdo de Socio Comercial no deberían ejecutarse en absoluto en páginas autenticadas. La postura de la OCR aquí es inequívoca y los acuerdos de los casos han sido sustanciales.

Páginas No Autenticadas

Las páginas no autenticadas son más matizadas. La revisión de la OCR de 2024 reconoció que no toda visita a una página de marketing pública produce PHI — un usuario que lee un artículo general sobre diabetes no revela necesariamente que tiene diabetes. Pero la línea se desplaza cuando la página combina un identificador con un contexto sanitario claro: un verificador de síntomas que acepta entrada de texto libre y activa un píxel con la entrada adjunta, una página de destino específica para una afección que utiliza la URL como parámetro de seguimiento, una herramienta de búsqueda de especialistas que pasa la especialidad y el código postal a un proveedor de análisis. Estos flujos convierten una página no autenticada en una superficie de PHI.

La Prueba Práctica

La prueba práctica que aplican los editores en 2026 es la prueba de expectativa razonable. ¿Esperaría una persona razonable que visita esta página que su visita indica una preocupación sanitaria específica? Si la respuesta es sí, la página se trata como portadora de PHI para fines de seguimiento independientemente del estado de autenticación. La prueba es conservadora por diseño — equivocarse en el lado permisivo genera riesgo de ejecución, mientras que equivocarse en el lado restrictivo solo genera pérdida de ingresos publicitarios.

Acuerdos de Socios Comerciales y la Pila de Proveedores

HIPAA permite a una entidad cubierta compartir PHI con un proveedor solo cuando el proveedor ha firmado un Acuerdo de Socio Comercial (BAA) comprometiéndose con protecciones equivalentes a HIPAA. Entre los principales proveedores de adtech y análisis, la situación del BAA es desigual y determinante.

Proveedores que Firman BAA

Google ofrece un HIPAA BAA para Google Workspace, Google Cloud Platform y un subconjunto limitado de implementaciones de Google Analytics 4 bajo configuraciones específicas. Microsoft firma BAA para Azure y una configuración limitada de Microsoft Clarity. Un puñado de plataformas de análisis especializadas en salud — Freshpaint, Heap con complemento HIPAA, la configuración sanitaria de FullStory — firman BAA. Estos son los proveedores que un editor cubierto por HIPAA puede utilizar en superficies autenticadas o portadoras de PHI.

Proveedores que No Firman BAA

Meta no firma BAA para Meta Pixel ni Conversions API en ninguna configuración estándar. TikTok no firma BAA para TikTok Pixel. La mayoría de los SSP y DSP programáticos no firman BAA. Google Analytics estándar, las plantillas estándar de Google Tag Manager y las etiquetas de conversión predeterminadas de Google Ads no están cubiertas por el BAA de Google. Ejecutar cualquiera de estos en una superficie portadora de PHI es una violación de HIPAA independientemente de la configuración del banner de consentimiento — el consentimiento no sustituye a un BAA cuando está involucrada PHI.

La Pila de Consentimiento más BAA

El patrón conforme para las páginas de marketing de un editor de salud es la pila de consentimiento más BAA. Las páginas de marketing no autenticadas ejecutan un CMP con puertas de consentimiento para cualquier seguimiento no esencial, la capa de análisis se configura bajo un BAA con un proveedor consciente de HIPAA, y la capa de píxeles de marketing o bien se ejecuta únicamente en páginas que superen la prueba de expectativa razonable o bien se enruta a través de una API de conversión del lado del servidor que elimina la información identificativa antes de reenviar a proveedores sin BAA.

La Arquitectura CMP para Editores de Salud

El CMP para un editor cubierto por HIPAA hace más que recopilar consentimiento. Aplica la distinción de clase de página, controla el acceso de proveedores por estado de BAA y produce un registro de auditoría que satisface tanto los requisitos de documentación de la Regla de Seguridad de HIPAA como cualquier ley de privacidad estatal aplicable además.

Detección de Clase de Página

El CMP debe saber en qué clase de página se está renderizando. El patrón más limpio es una variable JavaScript inyectada por CSP — establecida por el servidor en función del patrón de URL, el estado de autenticación y los metadatos del tipo de contenido — que el CMP lee en la inicialización. La variable produce un tri-estado: pública-bajo-riesgo (sin contexto sanitario), pública-portadora-de-PHI (contexto sanitario, sin autenticación) o autenticada. La lista de proveedores del CMP y los valores predeterminados de consentimiento cambian a lo largo de los tres estados.

Control de Proveedores por Estado de BAA

Cada proveedor en la lista de proveedores del CMP debe estar etiquetado con su estado de BAA y las condiciones bajo las cuales aplica el BAA. Un proveedor sin BAA está bloqueado de forma rígida en superficies portadoras de PHI y autenticadas independientemente del estado de consentimiento. Un proveedor con un BAA condicional — uno que requiere opciones de configuración específicas — solo se permite cuando esas condiciones están confirmadas. El registro de auditoría registra cada decisión de proveedor con la clase de página, el estado de consentimiento y la decisión de BAA, produciendo un registro defendible para una consulta regulatoria.

La Capa de Legislación Estatal

HIPAA es un piso federal; las leyes estatales — la CMIA de California, la ley My Health My Data de Washington y las disposiciones de privacidad de salud del consumidor en Connecticut y Nevada — se sitúan por encima con requisitos más estrictos en sus ámbitos específicos. La arquitectura CMP debe tratar HIPAA como la línea base y superponer la regla estatal aplicable más estricta siempre que la señal geográfica de un usuario indique un estado con un régimen de salud del consumidor más sólido.

Errores Comunes de Seguimiento HIPAA que Desencadenan Acuerdos

Las acciones de ejecución de seguimiento de HIPAA durante 2024 y 2025 han producido una lista clara de los patrones que conducen a investigaciones de la OCR. Meta Pixel activándose en portales de pacientes porque alguien lo agregó para análisis de marketing sin consultar al departamento de cumplimiento. Google Analytics funcionando en una herramienta de verificación de síntomas con el síntoma pasado como dimensión personalizada. Una página de búsqueda de médicos que pasaba la especialidad como parámetro de URL que la etiqueta de análisis captura y reenvía. Un flujo de incorporación de telesalud con TikTok Pixel instalado para adquisición de pago y no eliminado cuando el usuario cruzó al portal autenticado. Un test A/B del equipo de marketing que activó un grabador de mapa de calor en todas las páginas, incluidos los formularios orientados al paciente. Cada uno de estos ha producido un acuerdo público o un plan de acción correctiva en la ventana de ejecución posterior a 2022.

Conclusión

HIPAA en 2026 ya no es un régimen de cumplimiento de back-office que el equipo de marketing puede ignorar. El boletín de la OCR, los acuerdos públicos y la línea de ejecución en maduración contra el uso de píxeles en páginas autenticadas han convertido el seguimiento en línea en una cuestión de nivel directivo para cualquier entidad cubierta con huella digital. La postura de cumplimiento no es imposible — es un CMP que conoce la clase de página, una pila de proveedores que respeta el límite del BAA, una capa de consentimiento que gestiona la superposición de la legislación estatal y una arquitectura documentada que un investigador de la OCR puede leer en una hora y marcharse convencido. Los editores que invierten en esa arquitectura en 2026 mantienen sus canales digitales abiertos y sus audiencias monetizables; los editores que siguen tratando las páginas de salud como páginas de comercio electrónico pasan los dos años siguientes redactando acuerdos de liquidación con el gobierno federal.