O que HIPAA realmente di sobre o rastrexamento

O propio HIPAA non menciona cookies, píxeles nin rastrexamento web — a lei escribiuse en 1996 e emendouse mediante a Lei HITECH en 2009. As regras relevantes para o rastrexamento en liña proveñen de dous lugares: a definición de PHI da Regra de privacidade e os requisitos da Regra de seguridade para a salvagarda de PHI electrónico (ePHI). Xuntas din que calquera información de saúde individualmente identificable en poder dunha entidade cuberta ou asociado comercial debe estar protexida, e que a divulgación a terceiros sen autorización nin Acordo de Socio Comercial é un uso non permitido.

O Boletín sobre Tecnoloxía de Rastrexamento da OCR

O documento regulatorio fundamental para os editores é o boletín da OCR titulado Uso de Tecnoloxías de Rastrexamento en Liña por Entidades Cubertas por HIPAA e Socios Comerciais. A versión orixinal de decembro de 2022 adoptou unha posición agresiva — que calquera enderezo IP recollido nunha páxina web era potencialmente PHI se a páxina concernía a un problema de saúde específico. Após un fallo dun tribunal federal en 2024 que anulou partes do boletín por exceder a autoridade da OCR, a OCR revisou o documento para trazar unha liña máis nítida entre as páxinas de mercadotecnia non autenticadas e as páxinas de portal de paciente autenticadas. A revisión de 2024 é o texto vixente en 2026, e é o documento que os equipos xurídicos dos editores deben manter aberto nun segundo monitor ao configurar o CMP.

Que se considera PHI nun contexto de rastrexamento

A OCR trata a combinación dun identificador (enderezo IP, ID de dispositivo, pegada dixital do navegador, correo electrónico en hash) con información sobre a saúde dun individuo específico (unha busca dunha patoloxía, un clic nunha páxina de tratamento, o envío dun formulario con síntomas) como PHI cando a combinación se relaciona cun paciente coñecido ou cunha persoa que pode ser identificada. O identificador só non é PHI; a información de saúde soa non é PHI; a combinación si o é. Este é o movemento analítico que sorprende aos editores, xa que o píxel publicitario estándar está deseñado para pasar exactamente esa combinación a un terceiro para fins de medición e personalización.

A distinción entre páxinas autenticadas e non autenticadas

O concepto máis importante do boletín da OCR é a liña entre unha páxina autenticada — á que un usuario chega iniciando sesión nun portal de paciente, un sistema de citas conectado a EHR, unha consola de facturación — e unha páxina non autenticada — as páxinas de mercadotecnia públicas, os artigos de información sobre patoloxías, a busca de médico. A postura de cumprimento difire notablemente entre as dúas.

Páxinas autenticadas

As páxinas autenticadas son a superficie de alto risco. Unha vez que un usuario iniciou sesión, a entidade cuberta sabe quen é, e calquera tecnoloxía de rastrexamento que se active nesas páxinas divulga potencialmente PHI a calquera provedor que reciba a solicitude. Os píxeles de terceiros, os píxeles de mercadotecnia e calquera etiqueta de análise que funcione fóra dun Acordo de Socio Comercial non deben executarse en absoluto en páxinas autenticadas. A posición da OCR aquí é inequívoca e os acordos dos casos foron substanciais.

Páxinas non autenticadas

As páxinas non autenticadas son máis matizadas. A revisión de 2024 da OCR concedeu que non todas as visitas a unha páxina de mercadotecnia pública producen PHI — un usuario que le un artigo xeral sobre diabetes non necesariamente está revelando que ten diabetes. Pero a liña desprázase cando a páxina combina un identificador cun contexto de saúde claro: un verificador de síntomas que acepta entrada de texto libre e activa un píxel co input incorporado, unha páxina de destino específica dunha patoloxía que usa o URL como parámetro de rastrexamento, unha ferramenta de busca de especialista que pasa a especialidade e o código postal a un provedor de análise. Eses fluxos converten unha páxina non autenticada nunha superficie PHI.

A proba práctica

A proba práctica que os editores aplican en 2026 é a proba da expectativa razoable. ¿Esperaría unha persoa razoable que visita esta páxina que a súa visita indica unha preocupación de saúde específica? Se é así, a páxina trátase como portadora de PHI para fins de rastrexamento independentemente do estado de autenticación. A proba é conservadora por deseño — equivocarse polo lado permisivo produce risco de cumprimento, mentres que equivocarse polo lado restritivo produce só perda de ingresos publicitarios.

Os acordos de socio comercial e a pila de provedores

HIPAA permite que unha entidade cuberta comparta PHI cun provedor só cando o provedor asinou un Acordo de Socio Comercial (BAA) que os compromete con proteccións equivalentes a HIPAA. Entre os principais provedores de tecnoloxía publicitaria e análise, a historia do BAA é irregular e relevante.

Provedores que asinan BAA

Google ofrece un HIPAA BAA para Google Workspace, Google Cloud Platform e un subconxunto limitado de implantacións de Google Analytics 4 baixo configuracións específicas. Microsoft asina BAA para Azure e unha configuración restrinxida de Microsoft Clarity. Uns poucos provedores de análise especializados en sanidade — Freshpaint, Heap con complemento HIPAA, a configuración sanitaria de FullStory — asinan BAA. Estes son os provedores que un editor cuberto por HIPAA pode usar en superficies autenticadas ou portadoras de PHI.

Provedores que non asinan BAA

Meta non asina BAA para Meta Pixel nin para a API de conversións en ningunha configuración estándar. TikTok non asina BAA para TikTok Pixel. A maioría dos SSP e DSP programáticos non asinan BAA. O Google Analytics estándar, os modelos estándar de Google Tag Manager e as etiquetas de conversión predeterminadas de Google Ads non están cubertos polo BAA de Google. Executar calquera destes nunha superficie portadora de PHI é unha violación de HIPAA independentemente da configuración do banner de consentimento — o consentimento non substitúe un BAA cando hai PHI implicado.

A pila consentimento-máis-BAA

O patrón compatible para as páxinas de mercadotecnia dun editor de saúde é a pila de consentimento-máis-BAA. As páxinas de mercadotecnia non autenticadas executan un CMP con portas de consentimento para calquera rastrexamento non esencial, a capa de análise está configurada baixo un BAA cun provedor consciente de HIPAA, e a capa de píxeles de mercadotecnia ou ben funciona só nas páxinas que superan a proba de expectativa razoable ou enruta a través dunha API de conversión do lado do servidor que elimina a información de identificación antes de reencamiñar aos provedores non-BAA.

A arquitectura CMP para editores de saúde

O CMP dun editor cuberto por HIPAA fai máis que recoller o consentimento. Aplica a distinción de clase de páxina, filtra os provedores polo estado do BAA e produce un rexistro de auditoría que satisfai tanto os requisitos de documentación da regra de seguridade de HIPAA como calquera lei de privacidade estatal que se aplique por riba.

Detección de clase de páxina

O CMP debe saber en que clase de páxina está renderizando. O patrón máis limpo é unha variable JavaScript inxectada por CSP — establecida polo servidor en función do patrón de URL, o estado de autenticación e os metadatos do tipo de contido — que o CMP le na inicialización. A variable produce un tri-estado: público-baixo-risco (sen contexto de saúde), público-portador-de-PHI (contexto de saúde, sen autenticación) ou autenticado. A lista de provedores do CMP e os valores predeterminados do consentimento cambian nos tres estados.

Filtrado de provedores por estado do BAA

Cada provedor na lista de provedores do CMP debe estar etiquetado co seu estado de BAA e as condicións nas que o BAA se aplica. Un provedor sen BAA está bloqueado de forma inflexible en superficies portadoras de PHI e autenticadas independentemente do estado do consentimento. Un provedor cun BAA condicional — que require opcións de configuración específicas — só está permitido cando se confirman esas condicións. O rexistro de auditoría rexistra cada decisión de provedor coa clase de páxina, o estado de consentimento e a decisión de BAA, producindo un rexistro defendible para unha consulta regulatoria.

Capa de lei estatal

HIPAA é un chan federal; as leis estatais — o CMIA de California, a Lei My Health My Data de Washington e as disposicións de privacidade de saúde do consumidor en Connecticut e Nevada — sitúanse por riba con requisitos máis estritos nos seus ámbitos específicos. A arquitectura CMP debería tratar HIPAA como a liña de base e situar a regra estatal aplicable máis estrita por riba sempre que o sinal xeográfico dun usuario indique un estado cun réxime de saúde do consumidor máis forte.

Erros comúns de rastrexamento HIPAA que desencadean acordos

As accións de cumprimento do rastrexamento HIPAA ao longo de 2024 e 2025 producíron unha lista clara dos patróns que levan a investigacións da OCR. Meta Pixel activándose en portais de pacientes porque alguén o engadiu para análise de mercadotecnia sen consultar ao departamento de cumprimento. Google Analytics executándose nunha ferramenta de verificación de síntomas co síntoma pasado como dimensión personalizada. Unha páxina de busca de médico que pasa a especialidade como parámetro de URL que a etiqueta de análise captura e reencamiña. Un fluxo de incorporación de telesaúde con TikTok Pixel instalado para adquisición de pago e non eliminado cando o usuario cruzou ao portal autenticado. Un test A/B do equipo de mercadotecnia que activou un gravador de mapa de calor en cada páxina incluídos os formularios destinados a pacientes. Cada un destes produciu un acordo público ou un plan de acción correctiva na fiestra de cumprimento posterior a 2022.

Conclusión

HIPAA en 2026 xa non é un réxime de cumprimento de back-office que o equipo de mercadotecnia pode ignorar. O boletín da OCR, os acordos públicos e a liña de cumprimento madura contra o uso de píxeles en páxinas autenticadas fixeron do rastrexamento en liña unha cuestión a nivel de consello para calquera entidade cuberta cunha pegada dixital. A postura de cumprimento non é imposible — é un CMP que coñece a clase de páxina, unha pila de provedores que respecta o límite do BAA, unha capa de consentimento que xestiona a superposición da lei estatal, e unha arquitectura documentada que un investigador da OCR pode ler nunha hora e marchar convencido. Os editores que invisten nesa arquitectura en 2026 manteñen os seus canles dixitais abertos e as súas audiencias monetizables; os editores que seguen tratando as páxinas de saúde como páxinas de comercio electrónico pasan os próximos dous anos redactando acordos de liquidación co goberno federal.