Com milhões de americanos ainda confinados devido ao surto do coronavírus, os médicos voltaram-se para a telemedicina – videoconferência com pacientes para prescrever medicamentos, fazer exames e até diagnosticar COVID-19 e outras doenças. A tecnologia de visita remota tornou-se tão necessária que alguns estados, como o Massachusetts, tomaram medidas de emergência para expandir o acesso.

Para facilitar esses esforços, o governo federal aligeirou as suas regras em torno da privacidade dos pacientes. Essas mudanças facilitaram aos médicos ver os pacientes remotamente e para as agências governamentais obterem dados dos pacientes durante a crise.

A partilha e a privacidade dos dados médicos nos Estados Unidos são regulamentadas pelo Health Insurance Portability and Accountability Act (HIPAA), que inclui regras rígidas sobre como os prestadores de serviços de saúde podem recolher e partilhar informações pessoais de saúde dos pacientes, limitando a forma electrónica de como os registos são armazenados e partilhados, exigindo notificações em caso de violações de dados e estabelecendo penalidades por essas violações. Mas alguns requisitos do HIPAA não serão cumpridos pelo Department of Health and Human Services (HHS) durante a crise.

Videoconsultas
De acordo com o HIPAA, antes das regras temporárias serem alteradas, os médicos podiam fazer consultas de vídeo com os pacientes apenas usando fornecedores compatíveis com o HIPAA, que eram obrigados a usar criptografia ou outras medidas na privacidade de dados. Esses fornecedores tiveram que assinar contratos com os prestadores de serviços de saúde que regem o uso e as protecções de dados e a notificar os prestadores de serviços de saúde sobre violações. Agora, essas regras foram aligeiradas, o que significa que os médicos podem usar essencialmente qualquer serviço que desejarem. Entre elas estão opções populares como o FaceTime, Facebook Messenger, Skype e Google Hangouts.

Isto significa que os médicos podem atender rapidamente pacientes através de serviços que eles provavelmente já usam. Com tantos pacientes a tentarem consultar os seus médicos remotamente, a mudança oferece aos profissionais de saúde uma solução rápida.

Mas a adopção de software com menos protecções pode suscitar preocupações com a privacidade. As reuniões dos Alcoólicos Anónimos já foram alvo de “atentados com o Zoom” [ou, como são conhecidos, “Zoom bombings”], com visitantes mal-intencionados a incomodarem os alcoólicos em recuperação. Em Abril, o Washington Post revelou que milhares de vídeos do Zoom, incluindo sessões individuais de terapia, estavam disponíveis ao público devido ao sistema de nomes de ficheiros do software.

Mark Rothstein, director do Institute for Bioethics, Health Policy and Law da University of Louisville School of Medicine, criticou os padrões de protecção do HIPAA para dados de saúde como frouxos, mas disse que as mudanças nas regras de videoconferência eram razoáveis ​​como “uma maneira temporária de tentar facilitar o uso da telessaúde”.

“Estou com muitos problemas com muitas das disposições da privacidade do HIPAA”, disse, “mas isto não me incomoda muito”.

Partilhar registos de pacientes com o governo
Os prestadores de cuidados de saúde são directamente responsáveis ​​por partilhar registos com as autoridades de saúde sob o HIPAA. Um hospital, por exemplo, pode fornecer dados aos Centers for Disease Control and Prevention, na tentativa de combater o surto de uma doença.

Mas o poder de partilhar essas informações agora também foi alargado aos “parceiros de negócios” dos prestadores de serviços de saúde – fora das empresas contratadas para lidarem com os dados de saúde.

Pam Dixon, directora executiva do World Privacy Forum, questionou a decisão de dar aos parceiros de negócios o poder de aceder aos dados dos pacientes. Os associados podem ter acesso a milhões de registos de pacientes para dar às autoridades, disse ela. Os prestadores de serviços de saúde, reconhecendo a sensibilidade dos registos dos pacientes, podem tomar medidas para protegê-los enquanto os seus parceiros de negócios não podem.

Embora os dados devam ser usados ​​para fins de “supervisão da saúde”, Dixon considera este termo amplo o suficiente para que os dados, uma vez obtidos pelas autoridades de saúde, possam ser usados ​​para rastrear os pais que não pagaram a pensão de alimentos, por exemplo.

“Isto é inédito, é novo e é uma política realmente má”, disse Dixon. Ela recomenda que os prestadores de serviços de saúde tenham poder de veto sobre as partihas aos seus parceiros de negócio.

Peter Swire, professor de direito e ética no Georgia Institute of Technology que trabalhou na criação do HIPAA durante o governo Clinton, disse que permitir às empresas fornecer dados directamente às autoridades de saúde faz sentido, pelo menos temporariamente. A crise, disse ele, é extraordinária, e a acção foi razoável sob estas circunstâncias mais adversas.

“Existe uma emergência de saúde pública”, disse, “e queremos levar os dados às agências de saúde pública o mais rápido possível”.

Imposição
Apesar das mudanças, os direitos dos pacientes sob o HIPAA permanecem em grande parte intactos – os pacientes têm direito a cópias dos seus registos electrónicos de saúde e a inquirir sobre o uso das suas informações. Durante a pandemia, os hospitais não foram obrigados a impor alguns desses requisitos, mas apenas por uma janela limitada de 72 horas após a declaração de emergência de um desastre de saúde.

Mesmo fora de um desastre, porém, as penalidades por violações do HIPAA são raras. Nos últimos anos, apenas uma fracção das principais violações de dados de saúde levou a multas. Mas, quando chegam, as penalidades podem ser rígidas: um profissional de saúde pode ter de pagar milhões de dólares em multas por não proteger os dados do paciente, dependendo da gravidade de um incidente. As recentes mudanças nas políticas significam que os prestadores de serviços de saúde podem experimentar a telessaúde, e os parceiros de negócios trabalham mais de perto com as autoridades de saúde, com muito menos riscos.

O HHS afirmou que os prestadores de cuidados de saúde ainda devem agir de “boa fé” – não podem, por exemplo, usar a mudança como pretexto para recolher e vender dados dos pacientes. Mas, em sentido contrário, a agência disse que em geral não tomará nenhuma acção por qualquer acidente. Assim, os prestadores de cuidados não serão penalizados, mesmo que um deles seja atacado informaticamente (“hack”) e “exponha informações de saúde protegidas de uma sessão de telessaúde”.

* Texto original publicado em The Markup (CC BY-NC-ND 4.0). Foto: Navy Medicine.