Algumas das informações mais sensíveis do mundo – nossa história de prescrições médicas, registros médicos, história sexual, informações sobre o uso de drogas e mais – estão entrando no mundo digital. A digitalização de registros médicos está sendo vendida como uma oportunidade para revolucionar os cuidados de saúde. Mas embora os registros médicos digitais certamente venham com benefícios especiais, esta inovação tecnológica também tem enormes ramificações para a nossa privacidade.
O projeto de privacidade médica daEFF examina questões emergentes na privacidade médica, observando como as leis de privacidade médica atrasadas e a rápida evolução da inovação tecnológica deixam os pacientes vulneráveis a ter seus dados médicos expostos, abusados ou mal interpretados.
- >
>
Todos queremos que a nossa informação médica seja privada, porque acreditamos que deve ser algo entre nós e os nossos prestadores de cuidados de saúde. Infelizmente, muitas vezes não é esse o caso.
Muitos dados pessoais de saúde circulam apenas no processo de fornecimento e pagamento de tratamentos e receitas médicas. Relatórios mandatórios – por exemplo, para fins de saúde pública – aumentam um enorme volume de informações de saúde identificáveis. E todos nós, impensadamente, desistimos de muitas informações sobre nossa saúde voluntariamente ou para receber um benefício percebido on-line sobre uma doença ou condição, usando um mecanismo de busca para procurar informações sobre a gripe, candidatando-se a um emprego, ingressando em uma academia de ginástica e agindo de várias outras formas.
Direitos de privacidade de saúde
Os Estados Unidos não têm uma lei universal de privacidade de informação que seja comparável, por exemplo, à Directiva de Protecção de Dados da UE. As leis que existem são específicas do setor e variam consideravelmente. A lei de base para informação sobre saúde é a Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA). A HIPAA oferece alguns direitos aos pacientes, mas é severamente limitada porque só se aplica a uma entidade se for o que a lei considera ser ou uma “entidade coberta” -nomeadamente: um prestador de cuidados de saúde, plano de saúde ou centro de compensação de cuidados de saúde – ou um associado de negócios relevante (BA). Isto significa que a HIPAA não se aplica a muitas entidades que possam receber informações médicas, como um aplicativo no seu celular ou um serviço de testes genéticos como o 23andme.
Realisticamente, a HIPAA é uma lei de regulamentação de divulgação, não uma lei de privacidade: Ela regula como a sua informação de saúde pode ser revelada, com e sem o seu consentimento. Não é necessário o consentimento para tratamentos, pagamentos ou operações de saúde. Por exemplo, o seu médico pode consultar outro médico sobre a sua lesão mais recente sem obter o seu consentimento, porque isso faz parte do tratamento da sua lesão.
As informações médicas individuais também podem ser divulgadas sem o seu consentimento para relatórios de saúde pública, para ajudar na aplicação da lei e para fins judiciais e administrativos, ou para determinar a sua elegibilidade para benefícios e serviços. Também pode ser divulgada de maneiras que você não pode descobrir para fins de segurança nacional.
Os Estados também podem proteger a privacidade médica. Como lei federal, a HIPAA estabelece um “andar” nacional, mas permite que os estados tenham proteções mais fortes de privacidade dos pacientes. A lei da Califórnia em algumas áreas é mais forte do que a HIPAA.
A fim de compreender tópicos específicos relacionados à privacidade médica, é útil ter uma compreensão da manta de retalhos das leis estaduais e federais que se aplicam à informação médica. Leia o nosso guia de leis de privacidade médica.
Que informação está nos registos médicos?
Informações médicas e não médicas que são coletadas e compartilhadas nos prontuários médicos incluem:
- Dados demográficos básicos como endereço, número(s) de telefone(s), endereço de e-mail, idade, sexo e raça.
- Nome completo e número de conta e, às vezes, número de Segurança Social. O uso do Número de Previdência Social é desfavorecido devido ao risco de roubo de identidade. Por causa disso, alguns, embora longe de todos, provedores de saúde agora usam um número de identificação de paciente atribuído, em vez de um Número de Previdência Social.
- Histórico médico: diagnósticos, tratamentos, resultados de testes diagnósticos e prescrições, juntamente com condições médicas conhecidas, alergias e hábitos de consumo de drogas/álcool/fumo.
- Informações sobre faturamento e pagamento.
- Informações que você fornece nos formulários de ingestão sobre seus familiares imediatos, incluindo qualquer histórico de certas doenças, como câncer ou diabetes.
Quando a informação médica não é coberta pela HIPAA?
Em muitas situações, as entidades que não são cobertas pela HIPAA têm informações médicas. Por vezes, outras leis de privacidade aplicam-se a essas entidades, outras vezes não.
As informações de saúde, se não forem registos completos, encontram o seu caminho nos registos financeiros; por exemplo, quando paga receitas médicas ou tratamento psiquiátrico com um cartão de crédito. Os registos escolares podem conter registos de exames físicos, avaliações comportamentais ou tratamento de lesões desportivas; esta informação é normalmente coberta pela FERPA (Lei de Direitos Educativos e Privacidade da Família). Os registros de emprego também podem conter informações de saúde.
Há também o buraco digital de informações do qual desistimos voluntariamente. Estas podem ser informações identificáveis em mídias sociais, sites relacionados à saúde e grupos de bate-papo, ou aplicativos móveis de saúde e condicionamento físico. Também podem ser desidentificadas informações de rastreamento que cada site coleta e podem ser combinadas com outros dados para torná-las identificáveis.
Quem tem acesso aos seus registos médicos?
Lotes de agências e organizações têm acesso legal a informações médicas sob a HIPAA e muitas outras leis. Para começar, as seguradoras geralmente têm acesso – não apenas planos de saúde, mas seguro de vida, cuidados de longo prazo e seguro de carro com reembolso médico para ferimentos. Numerosas agências governamentais também têm acesso, incluindo Medicare, Medicaid, Social Security Disability, Workers Comp, departamentos de saúde pública estaduais e federais – a lista continua.
Além disso, o Medical Information Bureau (MIB) recolhe todos os registros médicos que você é obrigado a liberar quando você solicita um seguro. Após 2014, no entanto, a Affordable Care Act (ACA) irá eliminar o uso de condições pré-existentes como um fator para a obtenção de seguro de saúde, assim os pacientes não precisarão liberar os registros médicos como parte do processo de aplicação. Esses registros ajudam as seguradoras a verificar se você preencheu a sua solicitação de forma verdadeira.
Há também os Gerentes de Benefícios Farmacêuticos (PBMs), que administram programas de benefícios de medicamentos para planos de saúde. Os PBMs têm todo o seu histórico de prescrição – medicamentos, datas, dosagem e quem os prescreveu – porque parte do seu papel é verificar a sua elegibilidade e obter aprovação para a sua medicação. Eles também vendem informação não identificada (não coberta pela HIPAA porque a informação pessoalmente identificável foi removida) aos mineiros de dados, que a revendem embalada como diferentes tipos de relatórios.
Os empregadores têm acesso às informações de saúde em verificações de antecedentes quando você se candidata a um emprego, embora seja suposto que eles obtenham sua permissão por escrito primeiro. Se eles operam ou contratam programas de bem-estar dos funcionários, eles podem ter acesso a informações sobre se você está se exercitando ou perdendo peso, se realmente parou de fumar ou se está conseguindo controlar seu problema de controle de raiva.
Como mencionado acima, existem exceções padrão para consentir o acesso a registros médicos para aplicação da lei, assim como exceções para processos judiciais e administrativos. Informações obtidas para fins de segurança nacional são mais misteriosas, e é improvável que você saiba que seus registros foram divulgados, a menos que você tenha a infelicidade de se encontrar sujeito a processos do governo.
Outra área fora dos limites dos regulamentos onde as pessoas desistem de informações médicas é em rastreios de saúde informais, em feiras de saúde e através de programas de vacinas administrados comercialmente (como vacinas contra a gripe na Costco ou vacinas contra a herpes zóster na Walgreen’s).
Sumário: Quem pode ter acesso às suas informações médicas?
Seguro de vida
Seguro de carro
Seguro de invalidez de longo prazo
Empregadores
Bureau de Informação Médica
Gerentes de Benefícios Farmacêuticos
Agências governamentais, como Medicare, Medicaid, Deficiência da Previdência Social, Comp. Trabalhadores
Departamento de saúde pública estadual e federal
Proibição e tribunais
Entidades de segurança nacional
Que direitos ou controle você tem sobre suas informações médicas?
Você está no fim da linha quando se trata de ter uma palavra a dizer sobre o que acontece com suas informações pessoais de saúde, mas você tem alguns direitos.
Você deve receber um aviso de práticas de privacidade (NPP) que lhe diga como os provedores usam suas informações (o que significa que você não tem escolha) e quais são seus direitos. Um provedor precisa de sua autorização por escrito para divulgar informações sobre DSTs, tratamento de abuso de substâncias e notas psicoterapêuticas. A autorização por escrito também é necessária para qualquer tipo de comercialização, além de lembretes de prescrição. Você pode pedir e receber cópias de seus registros e solicitar correções. Se você pagar pelo seu próprio tratamento e pedir a um provedor para não revelar a informação a uma seguradora, ela não pode ser revelada.
Além disso, as informações médicas podem ser expostas em uma violação de dados, seja por negligência de um provedor de saúde, por atos de um hacker malicioso, ou por algum outro meio. De 2005 a 2013, o Privacy Rights Clearinghouse coletou relatórios de 1.118 violações de dados médicos que potencialmente expuseram mais de 29.000.000 de registros sensíveis. Em alguns casos, as violações de registros médicos também podem resultar em multas significativas. O governo federal agora também publica informações sobre violação de dados médicos, o que inclui uma estimativa do número de indivíduos afetados.
As políticas de compartilhamento eletrônico de informações de saúde ainda não estão definidas, mas o padrão parece ser que nenhum consentimento adicional é necessário além do suposto consentimento da HIPAA para tratamento, pagamento e operações de saúde para colocar seus registros médicos no fluxo de dados digitais.
Ler mais sobre a lei de privacidade médica.
Recursos e blogs:
CalOHII (California Office of Health Information Integrity) tem uma secção útil e bem organizada sobre leis e regulamentos federais e da Califórnia relativos à privacidade de informações de saúde.
Aliança Genética
GeneWatch UK
Relatório de Direito Genômico
HealthLawProf Blog
Centro Universitário Indiana de Bioética Newborn Blood Spot Banking: Approaches to Consent – PredictER Law and Policy Update (Abordagens ao Consentimento – Atualização da Lei e das Políticas do PredictER)
National Human Genome Research Institute Genome Statute and Legislation Database (Estatuto do Genoma Humano Nacional e Base de Dados sobre Legislação)
Patient Privacy Rights (Direitos de Privacidade dos Pacientes)
Privacy Rights Clearinghouse’s Medical Privacy Project (Projeto de Privacidade Médica da Câmara de Compensação de Direitos Privados)
O Gabinete do Chanceler da UC Berkeley tem um bom resumo da Lei de Práticas de Informação.
Guia do Paciente do Fórum Mundial de Privacidade do HIPAA