Partilha e mineração de dados de pacientes em saúde digital e telemedicina: leis que precisa conhecer

O uso de novas tecnologias, como aplicações digitais de saúde, telemedicina e troca de informações, pode proporcionar benefícios revolucionários tanto para prestadores de serviços quanto para pacientes. No entanto, com o aumento do compartilhamento, aumentam também os riscos à segurança e à privacidade das informações dos pacientes. A maioria das empresas de saúde digital e telemedicina está ciente da segurança e das violações de dados. No entanto, uma área de conformidade possivelmente mais importante é a partilha intencional de informações de saúde protegidas (PHI) com terceiros, seja para fins de mineração de dados, pesquisa ou marketing. Como a partilha e a mineração de dados continuarão a crescer em todo o setor de saúde, os prestadores e fornecedores devem entender quando e como podem partilhar PHI, incluindo oportunidades de monetização, e quando devem obter a autorização expressa do paciente.

Este artigo destaca algumas leis e regras fundamentais de privacidade que as empresas de saúde digital e telemedicina devem considerar antes de partilhar, explorar ou monetizar informações de saúde dos pacientes. Para discussões mais aprofundadas sobre questões jurídicas relacionadas à telemedicina e saúde digital, junte-se a nós no“Direct to Consumer: Legal and Regulatory Issues for Entrepreneurs” (Direto aoconsumidor: questões jurídicas e regulatórias para empreendedores), um programa educativo oferecido na Conferência e Exposição Anual de 2018 da American Telemedicine Association, em Chicago, em 30 de abril de 2018.

Partilha de dados e mineração de dados: uma pedra angular da IA e do aprendizado de máquina na área da saúde

A incerteza das oportunidades oferecidas pelos grandes volumes de dados pode fazer com que as empresas tenham um receio desnecessário de partilhar as informações de saúde protegidas (PHI) dos seus pacientes ou, inversamente, que sejam excessivamente negligentes e ansiosas por partilhar essas informações. A mineração de dados, que permite aos prestadores de serviços de saúde descobrir padrões e extrair conexões através da análise de grandes conjuntos de dados, pode beneficiar os pacientes como um todo, pois torna certos serviços mais precisos e eficazes. Considere, por exemplo, como o aconselhamento genético se torna mais eficaz quando mais dados são extraídos de pacientes com doenças e enfermidades crónicas. Um relatório recente da HFMA e da Humana mostrou que 70% dos prestadores acreditam que o compartilhamento contínuo de dados de saúde é essencial para o sucesso em modelos de cuidados baseados em valor. Da mesma forma, uma pesquisa da Pew Research indicou que, embora os americanos sejam sensíveis à manutenção de suas informações pessoais, 52% considerariam aceitável o compartilhamento de dados de saúde. A interoperabilidade dos dados compartilhados é um dos aspectos mais importantes dessa tendência do setor.

Até mesmo Bruce Greenstein, diretor de tecnologia do Departamento Federal de Saúde e Serviços Humanos, comprometeu-se na HIMSS18 a partilhar mais dados de saúde entre os departamentos federais e com o público. «O povo americano é dono dos dados que estão no HHS, não um burocrata que está lá há 20 anos e pensa que tem o controlo porque outras pessoas podem usá-los indevidamente», afirmou. “Pessoas fora do nosso prédio farão coisas muito melhores com esses dados do que estamos fazendo sozinhos agora.” O compartilhamento de dados deve ser feito de maneira significativa e coesa. Os dados compartilhados devem ser legíveis, utilizáveis e disponíveis para outros provedores. À medida que o compartilhamento de dados se torna mais aceito em todo o setor de saúde, as empresas devem tomar medidas para garantir que o compartilhamento de dados esteja em conformidade com as regulamentações estaduais e federais que protegem a privacidade do paciente e a opção de não compartilhar informações de saúde protegidas (PHI).

Mineração e partilha de dados de saúde ao abrigo da HIPAA

A Lei de Portabilidade e Responsabilidade dos Seguros de Saúde (HIPAA) é uma lei federal que rege a utilização e divulgação de PHI por entidades abrangidas, definidas como planos de saúde, centros de processamento de informações de saúde e prestadores de cuidados de saúde que transmitem PHI eletronicamente. A regra geral é que as PHI não podem ser divulgadas sem a autorização do paciente. No entanto, certas utilizações e divulgações de PHI para tratamento, pagamento e operações de cuidados de saúde (TPO) não requerem a autorização do paciente se as condições de TPO sob a HIPAA forem cumpridas. Felizmente, muitos acordos de partilha de dados podem ser estruturados para atender à exceção de TPO e, portanto, não exigiriam a autorização do paciente. Mesmo que um prestador partilhe PHI sob a exceção de TPO, ele ainda deve cumprir os requisitos mínimos necessários de divulgação, as restrições acordadas com o paciente para o uso e divulgação de PHI e outras leis estaduais que podem ser mais rigorosas em relação à forma como os prestadores podem partilhar os dados dos pacientes.

Monetização de dados de saúde e utilização de informações de pacientes para marketing

Como em muitas coisas, as regras tornam-se mais complexas – e restritivas – quando há dinheiro envolvido. Se as PHI forem partilhadas (ou mesmo utilizadas) em troca de remuneração ou para fins de marketing, requisitos adicionais devem ser cumpridos. Isso às vezes inclui a exigência de que o prestador obtenha a autorização expressa do paciente para usar ou partilhar os dados, mesmo que a divulgação atendesse à exceção da TPO. Por exemplo, se a entidade abrangida receber pagamento pela partilha ou utilização dos dados, essa divulgação deixa de cumprir a exceção TPO (por exemplo, um fornecedor terceiro quer pagar ao prestador para enviar um e-mail em massa a um grupo selecionado de pacientes do prestador). Nesse caso, a entidade abrangida deve obter uma autorização válida do paciente que indique especificamente que a divulgação resultará em remuneração para a entidade abrangida.

Uma dica prática sobre autorizações: Uma autorização não é o mesmo que o consentimento do paciente. Uma autorização é um documento detalhado que concede às entidades abrangidas permissão para usar PHI para fins específicos, que geralmente são diferentes do TPO, ou para divulgar PHI a terceiros especificados pelo indivíduo. Uma autorização válida deve especificar uma série de elementos, incluindo uma descrição das PHI a serem utilizadas e divulgadas, a pessoa autorizada a fazer a utilização ou divulgação, a pessoa a quem a entidade abrangida pode fazer a divulgação, uma data ou evento de expiração e, em alguns casos, a finalidade para a qual as informações podem ser utilizadas ou divulgadas. Com exceções limitadas, as entidades abrangidas não podem condicionar o tratamento ou a cobertura à autorização do indivíduo.

Outra dica: a HIPAA proíbe o uso de autorizações compostas neste contexto. Isso significa que o prestador não pode combinar, em outro contrato ou documento, a autorização do paciente para usar ou divulgar as suas informações de saúde protegidas (PHI) para remuneração ou marketing. Assim, os prestadores não devem incluir essa autorização num consentimento informado, contrato de pagamento ou termos de uso online. Em vez disso, devem usar uma autorização independente para o paciente assinar.

Partilha de dados em investigação ou ensaios clínicos

A HIPAA contém regras específicas relacionadas ao uso e divulgação de dados de pacientes para pesquisa ou ensaios clínicos. Por exemplo, se as PHI forem usadas para pesquisa ou ensaios clínicos, os prestadores devem obter aprovação de um Conselho de Revisão Institucional ou isenção de autorização do conselho de privacidade, receber autorização de um indivíduo para criar um repositório de pesquisa, usar as PHI por meio da coleta e uso de um conjunto limitado de dados ou usar as PHI por meio da coleta e uso de informações não identificadas. Os dados são anonimizados através da remoção de informações de saúde individualmente identificáveis das informações do paciente, não deixando nenhuma base razoável para acreditar que as informações anonimizadas possam ser utilizadas para identificar um indivíduo. De acordo com a HIPAA, as informações anonimizadas não são consideradas PHI e, portanto, não estão sujeitas aos regulamentos de privacidade da HIPAA. No entanto, a anonimização de dados não é uma solução pronta para o cumprimento das normas de privacidade e segurança, e há casos de uso e aplicações em que é benéfico usar o conjunto completo de dados PHI.

E se eu não for uma entidade abrangida?

Nem todas as empresas de saúde digital ou telemedicina são entidades abrangidas pela HIPAA. Mas mesmo que a HIPAA não se aplique, a lei estadual ainda se aplica e pode abranger informações mais amplas do que apenas PHI. Além das proteções de privacidade do paciente sob a lei federal, também é importante estar ciente das restrições da lei estadual, que muitas vezes são mais amplas, sutis e rigorosas do que os requisitos da HIPAA. As leis federais e estaduais de privacidade devem ser lidas em conjunto, aplicando-se as disposições mais rigorosas de cada uma em caso de conflito. Além disso, pode haver requisitos exclusivos relacionados às autorizações dos pacientes ou a este mapa de notificações de violação em todos os 50 estados, incluindo prazos de notificação reduzidos. Pode haver outras nuances, como o requisito de fonte de 14 pontos da Califórnia. Além disso, a natureza dos registos clínicos afeta as leis de privacidade e segurança aplicáveis. Os registos de tratamento de saúde mental, registos de abuso de substâncias e diagnósticos de HIV são normalmente considerados registos ultra-sensíveis, que exigem que os prestadores tomem medidas adicionais para manter a sua privacidade. Por estas razões, muitas empresas de saúde digital e telessaúde optam voluntariamente por seguir as diretrizes da HIPAA, mesmo que não sejam formalmente uma entidade abrangida.

Ataques cibernéticos vs. violações deliberadas de privacidade

A maioria dos especialistas em cibersegurança concorda que a segurança dos dados de nenhuma empresa é absolutamente impenetrável. Lidar com violações baseadas em ransomware e hacking, incluindo o desenvolvimento de um plano de resposta a incidentes de cibersegurança, tornou-se parte dos negócios no setor de saúde. Essas são considerações essenciais de conformidade. Embora grandes violações de dados cheguem às manchetes e, às vezes, resultem em acordos governamentais, o público pode ser indulgente com os fornecedores, especialmente se a violação de dados foi um ataque cibernético não atribuível a descuido.

Em contrapartida, ainda não houve nenhum acordo notável do Gabinete de Direitos Civis do HHS com base numa entidade abrangida que partilhou/vendeu PHI a terceiros sem primeiro obter a devida autorização do paciente. Quando tal evento ocorre, o público pode estar menos propenso a perdoar e esquecer, uma vez que a empresa tomou uma decisão deliberada de vender dados de pacientes sem autorização e não foi vítima de um ataque cibernético. O orçamento proposto pela Casa Branca para o ano fiscal de 2019 reduziu o financiamento do OCR em aproximadamente 20% em comparação com o ano passado, o que deixou alguma incerteza quanto ao nível das ações de fiscalização. (O Congresso acabou por não seguir essas reduções orçamentais propostas para o OCR.) A proteção da privacidade dos pacientes não é importante apenas para o governo federal, mas também para muitos pacientes que consideram que devem possuir e controlar os seus dados de saúde.

Fora da OCR, a FTC aplicou multas e acordos contra empresas de saúde online por práticas inadequadas de privacidade online, com base na noção de que são «atos ou práticas injustas e enganosas». As duas principais preocupações neste nicho são: 1) publicidade verdadeira sobre as capacidades da aplicação de saúde e 2) práticas de privacidade transparentes em relação aos dados dos utilizadores. Felizmente, a FTC publicou vários recursos úteis para empresas de tecnologia de saúde, incluindo Melhores Práticas para Desenvolvedores de Aplicações Móveis de Saúde, Marketing da Sua Aplicação Móvel e a Ferramenta Interativa de Aplicações Móveis de Saúde.

A oportunidade para o big data impulsionar soluções transformadoras na área da saúde é evidente, mas os desafios para alcançar essa oportunidade — sejam eles técnicos, institucionais, operacionais ou legais — são complexos. O panorama regulatório, que busca limitar o uso indevido de informações confidenciais de saúde e proteger questões legítimas de privacidade e segurança, deve ser navegado pelas empresas de saúde digital ou telemedicina que buscam explorar ou monetizar dados de cuidados de saúde.

Para mais informações sobre telemedicina, telessaúde, cuidados virtuais e outras inovações na área da saúde, incluindo a equipa, publicações e outros materiais, visite Foley's Equipa de Telemedicina e Saúde Digital da Foley e leia o nosso Pesquisa executiva sobre telemedicina e saúde digital de 2017.

Este artigo foi originalmente publicado em Telemedicina Magazine e é reproduzido aqui com permissão.

Este artigo também foi publicado no Massachusetts Law Weekly.

Este artigo também foi republicado no The Journal Record.

Declaração de exoneração de responsabilidade

Este blogue é disponibilizado por Foley & Lardner LLP ("Foley" ou "a Firma") apenas para fins informativos. Não se destina a transmitir a posição jurídica da Sociedade em nome de qualquer cliente, nem a prestar aconselhamento jurídico específico. As opiniões expressas neste artigo não reflectem necessariamente a posição da Foley & Lardner LLP, dos seus sócios ou dos seus clientes. Por conseguinte, não actue de acordo com esta informação sem procurar aconselhamento junto de um advogado licenciado. Este blogue não se destina a criar, e a sua receção não constitui, uma relação advogado-cliente. A comunicação com a Foley através deste sítio Web, por correio eletrónico, publicação no blogue ou outro, não cria uma relação advogado-cliente para qualquer assunto jurídico. Por conseguinte, qualquer comunicação ou material que transmita a Foley através deste blogue, seja por correio eletrónico, publicação no blogue ou qualquer outra forma, não será tratado como confidencial ou proprietário. A informação neste blogue é publicada "COMO ESTÁ" e não se garante que seja completa, exacta ou actualizada. A Foley não faz representações ou garantias de qualquer tipo, expressas ou implícitas, quanto ao funcionamento ou conteúdo do sítio. A Foley renuncia expressamente a todas as outras garantias, garantias, condições e representações de qualquer tipo, expressas ou implícitas, quer surjam ao abrigo de qualquer estatuto, lei, utilização comercial ou de outra forma, incluindo garantias implícitas de comercialização, adequação a um determinado fim, título e não infração. Em nenhuma circunstância a Foley ou qualquer um dos seus parceiros, oficiais, funcionários, agentes ou afiliados serão responsáveis, direta ou indiretamente, sob qualquer teoria da lei (contrato, delito, negligência ou outra), perante si ou qualquer outra pessoa, por quaisquer reclamações, perdas ou danos, diretos, indirectos, especiais, incidentais, punitivos ou consequenciais, resultantes ou ocasionados pela criação, utilização ou confiança neste site (incluindo informações e outros conteúdos) ou quaisquer sites de terceiros ou as informações, recursos ou materiais acedidos através de tais sites. Em algumas jurisdições, o conteúdo deste blogue pode ser considerado publicidade de advogados. Se aplicável, tenha em atenção que resultados anteriores não garantem um resultado semelhante. As fotografias destinam-se apenas a fins de dramatização e podem incluir modelos. As imagens não implicam necessariamente o estatuto atual de cliente, parceiro ou empregado.

[email protected]

Tampa 813.225.4127

Informações relacionadas

Ver todas as publicações

December 19, 2025 Health Care Law Today

Gender Affirming Care for Minors: CMS and HHS Propose Limits on “Sex Rejection Procedures” and Expanded Enforcement Pathways

On December 18, 2025, the U.S. Department of Health and Human Services (HHS) held a press conference focused on what is defined as “sex…

December 19, 2025 Foley Viewpoints

Prohibition to Prescription: What Trump’s Marijuana Executive Order Really Means

On December 18, 2025, President Donald Trump issued an Executive Order, Increasing Medical Marijuana and Cannabidiol Research, that…

18 de dezembro de 2025 Consultor da Indústria Transformadora

Atualização da Foley Automotive

Análise de Julie Dautermann, Analista de Inteligência Competitiva A Foley está aqui para ajudá-lo em todos os aspetos da reformulação da sua estratégia de longo prazo...