O Project Nightingale, do Google, que tem acesso às informações pessoais de saúde de milhões de americanos, é improvável que provoque violações da HIPAA. Mas ainda pode ter repercussões a longo prazo para a maneira como a lei pensa sobre as divulgações dos pacientes.

No início desta semana, o Wall Street Journal informou que o Google havia fechado um acordo com o sistema de saúde americano Ascension, que dá ao gigante das buscas acesso às informações pessoais de saúde de milhões de americanos.

Embora o acordo possa vir equipado com um nome de código - Project Nightingale - e dar a mais de 150 funcionários do Google acesso a dados como nomes de pacientes, resultados de laboratório, registros de hospitalizações e diagnósticos médicos, na verdade, pode acabar sendo bastante comum. no que diz respeito à Lei de Portabilidade e Responsabilidade do Seguro de Saúde (HIPAA).

De maior preocupação podem ser as implicações mais amplas para as leis que envolvem o consentimento do paciente e as notificações de divulgação, que podem ter que ser reexaminadas, pois uma lista crescente de empresas de tecnologia que inclui Microsoft e Amazon continua se aventurando no setor médico.

"O que você pode ver é que existem obrigações mais específicas para registrar divulgações e fornecer aos pacientes informações mais específicas sobre quem está obtendo suas informações", disse Tatiana Melnik, advogada e fundadora da Melnik Legal.

De acordo com o Wall Street Journal, os pacientes não foram alertados de que o Google tem acesso a suas informações pessoais de saúde, mas nem a notificação nem a desidentificação dos dados são realmente necessárias no contexto do que o HIPAA define como um "contrato de parceiro de negócios".

Elek Miller, advogado da Drummond Woodsum, disse que os parâmetros que governam como os dados incluídos em tal acordo são usados ​​se resumem aos termos individuais estabelecidos entre o profissional de saúde e o parceiro de negócios envolvido.

"De um modo geral, de acordo com esse contrato, um associado de negócios pode fazer uso e divulgação de informações de saúde protegidas que a própria entidade coberta poderia fazer sob a regra de privacidade", disse Miller.

O Wall Street Journal observou que o Google está usando as informações pessoais de saúde para desenvolver software de inteligência artificial e de aprendizado de máquina que pode "sugerir alterações" aos cuidados de um paciente individual.

Por Matthew Fisher, parceiro de Mirick, O'Connell, DeMallie & Lougee, relacionamentos semelhantes entre outros sistemas de saúde e empresas de consultoria de tecnologia não são incomuns, pois são necessários dados para estimular o desenvolvimento de ferramentas analíticas.

"Em termos de acordos como esse, eles acontecem todos os dias", disse Fisher.

Mas a comunalidade nem sempre equivale ao conforto. Por exemplo, o The Guardian publicou uma reportagem sobre um denunciante anônimo do Project Nightingale que postou um vídeo no Daily Motion contendo imagens de documentos confidenciais da iniciativa. As anotações foram exibidas nos documentos, sugerindo que o Google poderia compartilhar os dados com terceiros ou usá-los para criar perfis de pacientes usados ​​para anunciar produtos de saúde.

No entanto, a HIPAA fornece alguma margem para compartilhamento de dados, caso o Google compartilhe as informações pessoais de saúde em questão com um subcontratado, enquanto segue os termos de seu contrato comercial original com a Ascension.

Usar esses dados para fins publicitários é uma proposta mais sombria. Fisher acha que uma tentativa do Google de alavancar essas informações para seu próprio benefício provavelmente tropeçaria nas regulamentações de marketing sem a autorização individual ou do paciente. No entanto, anúncios baseados nos serviços oferecidos pela Ascension podem receber um passe.

"Embora a maioria das atividades de marketing exija autorização, há certas atividades limitadas, como aconselhar indivíduos de serviços já oferecidos por uma entidade coberta pelo [HIPAA] que são permitidos sem autorização", disse Fisher.

Mas o nome "Google" sempre atrairá os olhos e, provavelmente, algumas preocupações, dada a conversa nacional em andamento sobre privacidade. O Wall Street Journal informou  terça-feira que o Departamento de Direitos Civis do Departamento de Saúde e Serviços Humanos abriu uma investigação sobre o Projeto Nightingale "para garantir que as proteções HIPAA fossem totalmente implementadas".

Com outros grandes nomes como Amazon e Microsoft entrando ainda mais no campo da medicina, poderia haver uma repressão às restrições de compartilhamento de dados?

O Melnik, do Melnik Legal, na verdade pensa que a tendência poderia se mover na direção oposta, citando um impulso que surgiu nos últimos anos para afrouxar as restrições existentes no compartilhamento de dados para fornecer serviços de saúde mais diretos e sob demanda.

No entanto, ela acredita que há uma chance de que haja mais recurso para os pacientes responsabilizarem as empresas ou os sistemas de saúde quando seus dados forem tratados de maneira inadequada, pois o HIPAA não inclui um direito de ação privado.

"Se você tem pacientes que têm um recurso real, isso dá às empresas mais incentivos para cumprir [com os regulamentos]", disse Melnik.