O Google Analytics é uma solução de métricas que pode ser usada para coletar insights de negócios sobre o tráfego nos seus sites e apps. É importante garantir que a implementação do Google Analytics e os dados coletados sobre os visitantes das suas propriedades atendam a todos os requisitos legais aplicáveis.
Para proteger a privacidade do usuário, as políticas e os termos do Google Analytics proíbem a transmissão ao Google de dados que podem ser reconhecidos como informações de identificação pessoal (PII), e nenhum dado coletado pelo Google Analytics pode revelar informações sensíveis sobre um usuário ou identificar essa pessoa. Se você precisar excluir informações dos servidores do Google Analytics por qualquer motivo, programe uma solicitação de exclusão de dados ou use a API User Deletion.
O que é a HIPAA e a quem ela se aplica?
A Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA) de 1996 (em inglês) é uma lei federal dos EUA aplicável a entidades regulamentadas pela HIPAA. A lei e as regulamentações associadas normalmente não são relevantes para clientes do Google Analytics que operam exclusivamente fora dos EUA, nem para todos os clientes que atuam nos EUA. Os clientes do Analytics são responsáveis por determinar se são entidades regulamentadas pela HIPAA e quais são as obrigações deles com base nela.
O Google Analytics pode ser usado em compliance com a HIPAA?
Os clientes precisam evitar o uso do Google Analytics de formas que possam criar obrigações para o Google de acordo com a HIPAA. Entidades regulamentadas pela HIPAA que usam o Google Analytics não devem expor ao Google dados que possam ser considerados Informações protegidas de saúde (PHI), mesmo que não sejam expressamente descritos como PII nos contratos e políticas do Google. O Google não declara que o Google Analytics atende aos requisitos da HIPAA e não oferece Contratos de parceria comercial relacionados a esse serviço.
Para entidades regulamentadas pela HIPAA que querem saber como configurar o Google Analytics nas propriedades delas, o boletim do HHS (Departamento de Saúde e Serviços Humanos dos Estados Unidos, em inglês) apresenta orientações específicas sobre quando os dados podem ou não ser qualificados como PHI. Confira o que mais você pode fazer para garantir que o uso do Google Analytics seja permitido:
- Os clientes que estão sujeitos à HIPAA não podem usar o Google Analytics de nenhuma maneira que implique o acesso do Google ou a coleta de PHI e só podem usar o Google Analytics em páginas que não estão no escopo da HIPAA.
- As páginas autenticadas provavelmente estão sujeitas à HIPAA, e os clientes não devem incluir tags do Google Analytics nessas páginas.
- As páginas não autenticadas relacionadas à prestação de serviços de saúde, incluindo o que é descrito no boletim do HHS, têm maior probabilidade de estarem sujeitas à HIPAA. Além disso, os clientes não devem incluir tags do Google Analytics em páginas que estão no escopo da HIPAA.
- Trabalhe com sua equipe jurídica para identificar as páginas do site que não estão relacionadas à prestação de serviços de saúde, de modo que a configuração do Google Analytics não resulte na coleta de PHI.