Preocupações levantadas sobre privacidade médica
Descobriu-se que as maiores redes de farmácias do país, incluindo CVS Health, Kroger e Rite Aid, fornecem voluntariamente registros de prescrição de americanos para autoridades policiais e investigadores do governo sem mandado, de acordo com uma investigação do Congresso. Esta revelação levantou preocupações significativas sobre a proteção da privacidade médica.
Embora algumas redes de farmácias exijam que seus advogados analisem as solicitações de aplicação da lei, a CVS Health, a Kroger e a Rite Aid, que juntas operam em 60 mil locais em todo o país, permitem que os funcionários da farmácia entreguem os registros médicos dos clientes diretamente na loja. Esta política foi descoberta através de uma carta enviada pelo senador Ron Wyden, pela deputada Pramila Jayapal e pela deputada Sara Jacobs a Xavier Becerra, secretário do Departamento de Saúde e Serviços Humanos.
As farmácias guardam informações pessoais íntimas
As farmácias possuem uma grande quantidade de informações pessoais sobre seus clientes, incluindo detalhes confidenciais, como condições médicas antigas e prescrições de saúde mental e controle de natalidade. Como as cadeias de farmácias muitas vezes partilham registos entre locais, uma farmácia num estado pode aceder ao histórico médico completo de um indivíduo, mesmo que resida em estados com leis de privacidade mais rigorosas. Isso cria uma potencial “trilha digital” ligando os cuidados médicos de uma pessoa fora do estado ao seu estado de origem.
A Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA), que regulamenta o uso e a troca de informações de saúde, aplica-se a “entidades cobertas”, como hospitais e consultórios médicos. No entanto, a sua aplicação às cadeias de farmácias e a sua partilha de registos sem mandados não é clara.
Políticas dos maiores gigantes farmacêuticos
Em reuniões com investigadores do Congresso, representantes da Walgreens Boots Alliance, CVS, Walmart, Rite Aid, Kroger, Cigna, Optum Rx e Amazon Pharmacy declararam que exigiam apenas uma intimação, e não um mandado, para compartilhar registros de prescrição. Ao contrário de uma ordem ou mandado judicial, uma intimação não requer a aprovação de um juiz e pode ser emitida por uma agência governamental.
CVS, Kroger e Rite Aid revelaram que os funcionários de suas farmácias foram instruídos a processar solicitações de aplicação da lei imediatamente devido à “extrema pressão para responder”. Contudo, a carta dos legisladores não especificou o número de pedidos atendidos ou a proporção de exigências de aplicação da lei. Apenas a Amazon declarou que notificaria os clientes quando as autoridades policiais exigissem seus registros de farmácia, a menos que fosse impedida por uma proibição legal, como uma “ordem de silêncio”. Outras empresas, incluindo a Amazon, não comentaram o assunto.
Esforços para fortalecer as proteções à privacidade dos pacientes
Os legisladores instaram o Departamento de Saúde e Serviços Humanos (HHS) a melhorar as regras da HIPAA e garantir que as farmácias exijam um mandado das autoridades. Isso obrigaria as autoridades a buscar aprovação judicial para fazer cumprir tais solicitações.
A CVS expressou seu apoio à consideração de um mandado ou intimação emitida por um juiz e sua disposição de colaborar com o Congresso no fortalecimento da proteção à privacidade dos pacientes. A empresa recebeu um número limitado de solicitações de consumidores de acordo com a regra “Contabilidade de Divulgação” da HIPAA, mas o número exato permanece não divulgado.
Para melhorar a transparência, a CVS planeja publicar um relatório no primeiro trimestre do próximo ano que inclui informações sobre solicitações de registros de terceiros.
Carmel Shachar, professor clínico assistente da Faculdade de Direito de Harvard, enfatizou a importância do tratamento de dados confidenciais pelas farmácias. Ela observou que os farmacêuticos podem não possuir os conhecimentos necessários para avaliar o mérito ou a validade de um pedido policial ou para rejeitar a exigência de um agente. Shachar enfatizou a necessidade de especialistas em leis de privacidade analisarem tais solicitações.
Alguns estados, como Louisiana, Montana e Pensilvânia, oferecem proteções adicionais para divulgação de dados médicos. No entanto, as agências federais de aplicação da lei não estão sujeitas a essas leis estaduais.
O apelo dos legisladores por regras HIPAA mais rígidas, semelhantes à adoção pela indústria de tecnologia de requisitos de garantia para acesso a dados de e-mail de clientes por empresas como Google, Microsoft e Yahoo durante o início de 2010, serve como exemplo de possíveis melhorias.