Cinco tarefas a realizar pelas empresas de telemedicina antes do fim da emergência de saúde pública

Este artigo foi publicado originalmente na Bloomberg Law em 26 de maio de 2021.

A privacidade do paciente continuará a ser uma prioridade máxima para os reguladores, uma vez que os pacientes continuam a depender fortemente da telemedicina. Os advogados da Foley & Lardner LLP afirmam que tomar medidas agora para garantir a conformidade com a HIPAA colocará os fornecedores e prestadores de cuidados de saúde à frente do que certamente será um período agitado e confuso, à medida que as isenções de emergência de saúde pública e a discricionariedade federal de aplicação da lei chegam ao fim.

A privacidade de dados já é um tema popularentre os legisladores e, dado o crescimento explosivo da telemedicina nos últimos anos e a relativa falta de fiscalização da privacidade durante a emergência de saúde pública (PHE) da COVID-19, a privacidade dos dados dos pacientes em breve será uma prioridade para os reguladores que analisam as práticas das empresas de serviços de saúde baseados em tecnologia, particularmente telemedicina e saúde digital.

Durante a PHE, o Departamento de Saúde e Serviços Humanos do Gabinete para os Direitos Civis anunciou que os prestadores de cuidados de saúde não serão penalizados por violações da HIPAA ocorridas na prestação de serviços de telemedicina de boa-fé. Esta flexibilidade levou os prestadores de telemedicina a recorrerem a tecnologias de comunicação que não eram anteriormente utilizadas nos cuidados de saúde nem tinham sido avaliadas quanto à conformidade com a HIPAA.

Paralelamente à utilização destas plataformas (muitas vezes menos seguras), as empresas de tecnologia da saúde têm cada vez mais considerado os dados dos pacientes como um ativo, criando data lakes e programas de mineração de dados numa escala nunca antes vista na área da saúde.

Simultaneamente, o surgimento do «paciente como consumidor» levou as empresas de telemedicina a recorrer aos princípios do comércio eletrónico para criar uma melhor experiência do utilizador, com o objetivo de converter utilizadores em pacientes (ou vice-versa). As ferramentas de análise de dados e publicidade de sites criadas para o comércio eletrónico direto ao consumidor (DTC) não relacionado com cuidados de saúde são agora utilizadas por empresas de cuidados de saúde.

Isso tornou particularmente difícil traçar a linha divisória entre os dados não relacionados à saúde do «utilizador» e as informações de saúde protegidas (PHI) do «paciente» quando a mesma pessoa é simultaneamente utilizadora de uma empresa de tecnologia e paciente do grupo médico afiliado à empresa.

Para melhorar a experiência do utilizador, esta nova onda de empresas de tecnologia da saúde depende de dados recolhidos dos utilizadores e posteriormente partilhados com serviços de análise de dados e publicidade para obter insights sobre o comportamento do utilizador. Algumas empresas chegam ao ponto de redirecionar o utilizador com publicidade se ele sair do site sem marcar uma consulta de telemedicina. Esses tipos de divulgação de dados implicam a Regra de Privacidade HIPAA para prestadores de cuidados de saúde regulamentados pela HIPAA e seus fornecedores.

Um cenário com um paciente demonstra questões de privacidade

Por exemplo, considere um paciente que visita o site de telemedicina do seu prestador de serviços, procurando informações relacionadas com diabetes. O objetivo do prestador pode ser converter a curiosidade do paciente sobre diabetes numa consulta de telemedicina. Então, suponha que o paciente navega pelas informações online, mas não marca uma consulta. O prestador tem um contrato com um fornecedor de análise de dados, onde os dados de navegação, endereço IP e outros identificadores exclusivos desse paciente são partilhados e analisados pelo fornecedor para gerar insights sobre as possíveis razões pelas quais esse paciente não marcou uma consulta. Além disso, o «abandono do carrinho» do paciente pode desencadear uma chamada à ação automatizada (por exemplo, um e-mail ou mensagem de texto solicitando ao paciente que conclua o checkout e marque uma consulta).

Estas são táticas básicas de comércio eletrónico DTC que se tornam significativamente complicadas quando utilizadas no setor da saúde. De acordo com a HIPAA, o endereço IP e quaisquer identificadores exclusivos estão incluídos nos 18 elementos de dados identificados pela HIPAAcomo PHI. Para divulgar PHI a terceiros, como um fornecedor de análise de dados, deve haver um acordo de parceria comercial adequado entre o fornecedor e o provedor da plataforma de telemedicina ou o provedor de cuidados de saúde, e o consentimento do paciente deve ser obtido, dependendo da situação.

Muitos dos fornecedores de análise de dados mais utilizados no comércio eletrónico não assinam um acordo de parceria comercial e alguns chegam ao ponto de exigir que quaisquer organizações regulamentadas pela HIPAA não partilhem informações de saúde protegidas (PHI).

Portanto, a questão para a empresa neste exemplo é: essa divulgação de PHI pode ser estruturada em conformidade com a Regra de Privacidade da HIPAA e, em caso afirmativo, como fazê-lo mantendo uma experiência agradável para o utilizador? Esses tipos de divulgação de dados e práticas de marketing certamente chamarão a atenção tanto do HHS OCR quanto da Comissão Federal de Comércio nos próximos anos.

Prepare-se para o fim das isenções

A PHE e as isenções associadas, incluindo as relativas a violações de privacidade e segurança, chegarão ao fim. As empresas de telemedicina devem desenvolver agora uma estratégia para definir como irão operar após o fim das isenções.

Abaixo estão cinco medidas concretas que as empresas de telemedicina e saúde digital podem tomar agora para se posicionarem da melhor forma para operações robustas e em conformidade:

• Realizar, sob o privilégio advogado-cliente, uma avaliação de risco dos dados de saúde mantidos e transmitidos pela organização.
• Realizar diligência de terceiros em todos os fornecedores que mantêm PHI, incluindo plataforma de telemedicina, análise de dados e fornecedores de registos de saúde eletrónicos.
• Analise as práticas de recolha de dados do site e da aplicação da empresa e, em seguida, determine se as práticas estão em conformidade com a HIPAA e a legislação estadual.
• Analise os documentos de privacidade da empresa (por exemplo, políticas e procedimentos HIPAA, aviso sobre práticas de privacidade, política de privacidade online, termos de uso online, autorizações de pacientes-utilizadores e políticas de retenção de registos) para garantir que a empresa não está a omitir nenhum documento importante e que os documentos existentes foram atualizados para refletir as práticas atuais da empresa em matéria de dados.
• Se a empresa tiver fornecedores de dados que se recusam a assinar um acordo de parceria comercial, considere fornecedores alternativos dispostos a fazê-lo.

Este artigo não reflete necessariamente a opinião da The Bureau of National Affairs, Inc. ou do seu proprietário.