Preoccupazioni sollevate sulla privacy medica
Secondo un’indagine del Congresso, è stato scoperto che le più grandi catene di farmacie della nazione, tra cui CVS Health, Kroger e Rite Aid, forniscono volontariamente i registri delle prescrizioni degli americani alle forze dell’ordine e agli investigatori governativi senza un mandato. Questa rivelazione ha sollevato notevoli preoccupazioni sulla tutela della privacy medica.
Sebbene alcune catene di farmacie richiedano ai propri avvocati di esaminare le richieste delle forze dell’ordine, CVS Health, Kroger e Rite Aid, che insieme gestiscono 60.000 sedi in tutto il paese, consentono al personale delle farmacie di consegnare le cartelle cliniche dei clienti direttamente in negozio. Questa politica è stata scoperta attraverso una lettera inviata dal senatore Ron Wyden, dalla deputata Pramila Jayapal e dalla deputata Sara Jacobs a Xavier Becerra, segretario del Dipartimento della salute e dei servizi umani.
Le farmacie conservano informazioni personali intime
Le farmacie detengono moltissime informazioni personali sui propri clienti, inclusi dettagli sensibili come condizioni mediche risalenti a molti anni fa e prescrizioni per la salute mentale e il controllo delle nascite. Poiché le catene di farmacie spesso condividono i dati tra luoghi diversi, una farmacia in uno stato può accedere alla storia medica completa di un individuo, anche se risiede in stati con leggi sulla privacy più severe. Ciò crea un potenziale “percorso digitale” che collega l’assistenza medica di una persona all’estero allo stato di origine.
L’HIPAA (Health Insurance Portability and Accountability Act), che regola l’uso e lo scambio di informazioni sanitarie, si applica alle “entità coperte” come ospedali e studi medici. Tuttavia, la sua applicazione alle catene di farmacie e alla loro condivisione dei dati senza mandato non è chiara.
Politiche dei più grandi giganti della farmacia
Nei briefing con gli investigatori del Congresso, i funzionari che rappresentano Walgreens Boots Alliance, CVS, Walmart, Rite Aid, Kroger, Cigna, Optum Rx e Amazon Pharmacy hanno dichiarato di aver bisogno solo di un mandato di comparizione, non di un mandato, per condividere i registri delle prescrizioni. A differenza di un’ordinanza o di un mandato del tribunale, un mandato di comparizione non richiede l’approvazione di un giudice e può essere emesso da un ente governativo.
CVS, Kroger e Rite Aid hanno rivelato che i membri del personale della loro farmacia avevano ricevuto istruzioni di elaborare immediatamente le richieste delle forze dell’ordine a causa della “estrema pressione a rispondere”. Tuttavia, la lettera dei legislatori non specifica il numero di richieste soddisfatte o la proporzione delle richieste delle forze dell’ordine. Solo Amazon ha dichiarato che avviserà i clienti quando le forze dell’ordine richiederanno i loro registri farmaceutici, a meno che non venga impedito da un divieto legale come un “ordine di silenzio”. Altre società, inclusa Amazon, non hanno commentato la questione.
Sforzi volti a rafforzare la tutela della privacy dei pazienti
I legislatori hanno esortato il Dipartimento della salute e dei servizi umani (HHS) a migliorare le regole dell’HIPAA e a garantire che le farmacie richiedano un mandato da parte delle forze dell’ordine. Ciò obbligherebbe i funzionari a chiedere l’approvazione del tribunale per far rispettare tali richieste.
CVS ha espresso il suo sostegno alla considerazione di un mandato o di un mandato di comparizione emesso da un giudice e la sua disponibilità a collaborare con il Congresso per rafforzare la tutela della privacy dei pazienti. L’azienda ha ricevuto un numero limitato di richieste da parte dei consumatori in base alla regola “Contabilità della divulgazione” dell’HIPAA, ma il numero esatto rimane sconosciuto.
Per migliorare la trasparenza, CVS prevede di pubblicare un rapporto nel primo trimestre del prossimo anno che includa informazioni sulle richieste di record di terze parti.
Carmel Shachar, assistente professore di clinica presso la Harvard Law School, ha sottolineato l’importanza della gestione dei dati sensibili da parte delle farmacie. Ha osservato che i farmacisti potrebbero non possedere l’esperienza necessaria per valutare il merito o la validità di una richiesta della polizia o per respingere la richiesta di un agente. Shachar ha sottolineato la necessità che esperti di diritto sulla privacy esaminino tali richieste.
Alcuni stati, come Louisiana, Montana e Pennsylvania, offrono protezioni aggiuntive per la divulgazione di dati medici. Tuttavia, le forze dell’ordine federali non sono vincolate da queste leggi statali.
La richiesta dei legislatori di norme HIPAA più severe, simili all’adozione da parte del settore tecnologico di requisiti di garanzia per l’accesso ai dati email dei clienti da parte di aziende come Google, Microsoft e Yahoo all’inizio degli anni 2010, serve da esempio di potenziali miglioramenti.