Contratos de IA nos cuidados de saúde: Evitar o incêndio do contentor de dados

Para as empresas de IA no setor da saúde, os dados são tudo. Eles alimentam o desempenho dos modelos, impulsionam a diferenciação dos produtos e podem determinar o sucesso ou o fracasso da escalabilidade. No entanto, muitas vezes, os direitos sobre os dados são vagamente definidos ou completamente ignorados nos acordos comerciais. Esse é um erro crítico.

Quer esteja a celebrar um contrato com um sistema de saúde, a integrar-se numa plataforma de saúde digital ou a estabelecer uma parceria com um fornecedor empresarial, a sua estratégia de dados precisa de estar refletida de forma clara e precisa nos seus contratos. Caso contrário, poderá ficar sem acesso aos recursos de que precisa para crescer — ou, pior ainda, ser responsabilizado por violações regulamentares que nunca imaginou.

Este artigo descreve três áreas em que vemos as empresas de IA na área da saúde expostas ao maior risco: direitos de formação, termos de revogação e retenção e responsabilidade partilhada. Não se trata apenas de pontos técnicos do contrato. São fundamentais para a sua avaliação, a sua postura de conformidade e a sua defensabilidade a longo prazo.

1. Direitos de formação: defina-os com precisão

A maioria dos fornecedores de IA na área da saúde deseja algum direito de usar os dados dos clientes para melhorar ou treinar os seus modelos. Isso é esperado. O problema é que muitos contratos usam linguagem imprecisa, como «melhoria dos serviços» ou «fins analíticos», para descrever o que o fornecedor pode realmente fazer com os dados. No contexto dos cuidados de saúde, isso pode ser legalmente problemático.

De acordo com a HIPAA, o uso de informações de saúde protegidas (PHI) para fins que vão além do tratamento do paciente por uma entidade coberta, pagamento ou operações de cuidados de saúde geralmente requer a autorização do paciente. Como resultado, casos de uso como treinamento de modelos ou melhoria de produtos exigem um argumento forte de que a atividade se qualifica como operações de cuidados de saúde da entidade coberta — caso contrário, será necessária a autorização do paciente. Mesmo os dados chamados de “anonimizados” ou “desidentificados” nem sempre são seguros se não tiverem sido devidamente e totalmente desidentificados de acordo com o padrão HIPAA para desidentificação.

Se o seu modelo de negócio depende do uso de dados de clientes para o treinamento de modelos generalizados, você precisa deixar isso claro no seu contrato. Isso inclui esclarecer se os dados são identificáveis ou anonimizados, qual método de anonimização está sendo usado e se os resultados desse treinamento são limitados ao modelo específico do cliente ou podem ser usados em toda a sua plataforma.

Por outro lado, se estiver a oferecer um modelo como serviço personalizado para cada cliente e que não depende de dados de treino agrupados, deve deixar isso claro e garantir que o contrato apoia essa estrutura. Caso contrário, corre o risco de uma disputa futura sobre como os dados podem ser usados ou se os resultados foram partilhados indevidamente entre os clientes.

Também é fundamental alinhar esta disposição com o seu acordo de parceria comercial (BAA) se estiver a processar PHI. Uma incompatibilidade entre os termos comerciais e o BAA pode levantar questões de conformidade e levantar bandeiras vermelhas, especialmente durante a diligência. Lembre-se de que, na maioria dos casos, se o seu acordo comercial estabelecer que pode desidentificar dados, mas o seu BAA disser que a desidentificação é proibida, o BAA provavelmente prevalecerá, devido à linguagem de conflito típica no BAA que favorece o BAA quando se trata de PHI. 

2. Revogação e retenção: abordar o que acontece quando o contrato termina

Muitos contratos de IA não mencionam o que acontece com os dados, modelos e resultados após o término do contrato. Essa omissão cria riscos para ambas as partes.

Do ponto de vista do cliente, permitir que um fornecedor continue a usar os dados do cliente após o término do contrato para treinar modelos futuros pode ser problemático sob a HIPAA e até mesmo parecer uma quebra de confiança. Do ponto de vista do fornecedor, perder os direitos sobre dados acessados anteriormente ou resultados treinados pode atrapalhar a continuidade do produto ou vendas futuras.

O segredo é definir se os direitos de uso dos dados ou resultados dos modelos sobrevivem à rescisão e em que condições. Se você deseja manter a capacidade de usar dados ou modelos treinados após a rescisão, isso deve ser um direito expresso e negociado. Caso contrário, você deve estar preparado para cancelar esse acesso, destruir quaisquer dados retidos e, potencialmente, retreinar os modelos do zero.

Isso é particularmente importante quando se trata de modelos derivados. Uma armadilha comum é permitir que o fornecedor afirme que, uma vez que os dados são usados para treinar um modelo, o modelo não está mais vinculado aos dados subjacentes. Os tribunais e os reguladores podem não concordar se esse modelo continuar a refletir informações confidenciais dos pacientes.

No mínimo, o seu contrato deve responder a três perguntas:

1. O fornecedor pode reter e continuar a utilizar os dados acedidos durante o contrato?
2. Os direitos sobre modelos treinados ou resultados sobrevivem à rescisão?
3. Existe a obrigação de destruir, desidentificar ou devolver os dados após o término do relacionamento?

Para relações de maior valor, considere negociar uma licença que sobreviva à rescisão, juntamente com uma compensação adequada e obrigações de confidencialidade. No contexto dos cuidados de saúde, esta licença pós-rescisão envolverá geralmente apenas dados não identificados. Caso contrário, inclua uma cláusula de devolução ou destruição de dados que descreva como e quando os dados devem ser devolvidos ou destruídos.

3. Responsabilidade partilhada: esclarecer a responsabilidade por danos a jusante

Uma das questões mais negligenciadas nos contratos de IA na área da saúde é a atribuição de responsabilidades. As recomendações geradas pela IA podem influenciar decisões médicas, práticas de faturamento e comunicações com os pacientes. Quando algo dá errado, surge a pergunta: quem é o responsável?

Os fornecedores de IA normalmente posicionam-se apenas como uma ferramenta para prestadores de cuidados de saúde e tentam isentar-se de responsabilidade por qualquer utilização posterior. Os prestadores de cuidados de saúde, por outro lado, esperam cada vez mais que os fornecedores assumam a responsabilidade pelos seus produtos. Isto é especialmente verdadeiro se esses produtos gerarem notas clínicas, sugestões de diagnóstico ou outros resultados regulamentados.

A realidade é que ambos os lados apresentam riscos, e o seu contrato precisa refletir isso. As isenções de responsabilidade são importantes, mas não substituem uma estratégia cuidadosa de alocação de riscos.

Em primeiro lugar, os fornecedores devem exigir que os seus clientes incluam declarações de que possuem as autorizações ou consentimentos adequados ao abrigo das leis aplicáveis, incluindo a HIPAA, a Lei da FTC e as leis estaduais de privacidade, para todo o processamento de dados pelo fornecedor contemplado no contrato. A utilização dos dados do cliente para formação e processamento, ou para outros fins, deve ser claramente articulada no contrato. Isso ajuda a protegê-lo caso um cliente alegue posteriormente que não tinha conhecimento de como os seus dados foram utilizados ou que foram utilizados indevidamente.

Em segundo lugar, considere as disposições de indenização relacionadas ao uso indevido de propriedade intelectual de terceiros, violação da privacidade do paciente ou ações regulatórias de fiscalização. Por exemplo, se o seu modelo se baseia em PHI que não foi devidamente autorizado ou anonimizado de acordo com a HIPAA, e isso desencadeia uma investigação pelo Gabinete de Direitos Civis, você pode estar em apuros.

Em terceiro lugar, seja cuidadoso com as limitações de responsabilidade. Muitos contratos de Software como Serviço (SaaS) utilizam um limite padrão vinculado às taxas pagas nos últimos 12 meses. Isso pode ser insuficiente no contexto da IA na área da saúde, especialmente se o modelo estiver a ser utilizado num ambiente clínico. Um limite escalonado com base no caso de uso (por exemplo, documentação versus apoio à decisão clínica) pode ser mais adequado.

O que levar

Os termos relativos aos dados não são clichés nos contratos de IA na área da saúde. Eles são uma parte essencial do seu modelo de negócios, da sua postura de conformidade e da sua defensabilidade no mercado. Se não definir os seus direitos em relação ao treinamento, revogação e responsabilidade, outra pessoa o fará, normalmente em um processo judicial ou ação regulatória.

Para os fornecedores de IA, o objetivo deve ser construir confiança por meio da transparência. Isso significa linguagem clara, limitações razoáveis e casos de uso defensáveis. As empresas que tiverem sucesso nessa área não apenas construirão bons modelos, mas também bons contratos em torno deles.

Se pretende colocar essa estratégia em prática, faça uma auditoria dos seus cinco principais contratos neste trimestre. Sinalize quaisquer direitos de dados vagos, BAAs incompatíveis ou lacunas de rescisão. E, se necessário, renegocie antes que o desempenho do seu modelo, a confiança do cliente ou a exposição legal sejam postos à prova.

Para obter mais informações sobre IA, telemedicina, telessaúde, saúde digital e outras inovações na área da saúde, incluindo a equipa, publicações e experiência representativa, entre em contacto com Aaron Maguregui ouJennifer Hennessy ou qualquer um dos sócios ou consultores seniores doGrupo de Cibersegurança e Privacidade de Dadosoudo Grupo de Prática de Saúde da Foley.