Todas as grandes redes de farmácias fornecem registros médicos ao governo sem exigir mandado
(techdirt.com)- Uma investigação do Congresso revelou que as principais redes de farmácias dos EUA entregam registros médicos sensíveis a pedidos das autoridades sem exigir mandado
- CVS Health, Walgreens Boots Alliance, Cigna, Optum Rx, Walmart, Kroger, Rite Aid e Amazon Pharmacy podem fornecer informações que incluem histórico de uso de medicamentos prescritos e condições médicas apenas com uma intimação
- CVS, Kroger e Rite Aid responderam que nem sequer fazem análise jurídica de intimações de órgãos do governo, mostrando um procedimento especialmente fraco para verificar a legalidade dos pedidos
- A HIPAA impede divulgações não autorizadas a partes privadas, mas pedidos de autoridades podem ser tratados sob a exceção required by law, o que dificulta barrar o fornecimento sem mandado
- O senador Ron Wyden e as deputadas Pramila Jayapal e Sara Jacobs pediram que o HHS reforce as regras da HIPAA para obrigar farmácias a exigir mandado
A zona cega dos registros médicos criada pelo princípio do terceiro
- As proteções da Quarta Emenda dos EUA muitas vezes funcionam de forma fraca diante da Third Party Doctrine
- Informações compartilhadas com empresas privadas podem, em alguns casos, ser obtidas pelo governo sem mandado, independentemente de o compartilhamento ter sido voluntário ou não
- Por isso, continuam surgindo projetos de lei para acrescentar proteção da Quarta Emenda a dados de localização de celulares coletados por apps, além de debates nos tribunais e no Congresso para ajustar o princípio do terceiro
- O governo tenta obter o máximo possível de informação sem passar por revisão judicial, e empresas privadas podem concluir que, em termos de custo, é mais vantajoso fornecer os dados do que contestar os pedidos do governo na Justiça
A prática das grandes redes de farmácias de fornecer dados sem mandado
- Na investigação do Congresso abordada pela Ars Technica, ficou confirmado que os principais operadores de farmácias de varejo dos EUA vêm fornecendo dados médicos sensíveis ao governo sem de fato exigir mandado
- As 8 farmácias investigadas foram:
- CVS Health
- Walgreens Boots Alliance
- Cigna
- Optum Rx
- Walmart Stores, Inc.
- The Kroger Company
- Rite Aid Corporation
- Amazon Pharmacy
- Todas responderam que não exigem mandado quando autoridades pedem registros que podem incluir o histórico de uso de medicamentos prescritos de uma pessoa ou sua condição médica
- Em vez disso, fornecem as informações apenas com intimações que podem ser emitidas por órgãos governamentais e não exigem revisão nem aprovação de um juiz
Diferenças na análise jurídica
- CVS, Kroger e Rite Aid responderam ao Congresso que não fazem análise jurídica de intimações de órgãos do governo
- Essas redes parecem considerar um pedido válido simplesmente por estar em nome do governo
- Outras redes de farmácias ao menos envolvem advogados no processo de tratamento dos pedidos de dados
Por que a HIPAA não é uma barreira suficiente
- A HIPAA é a lei que impede que informações médicas sejam divulgadas sem consentimento a partes privadas não autorizadas
- Pedidos vindos de autoridades geralmente são tratados como enquadrados na exceção required by law
- Essa exceção pode ser aplicada mesmo que o advogado da empresa farmacêutica não tenha analisado o pedido ou que não esteja claro se a exigência de informações médicas sensíveis é de fato legítima
- Sem mudar a lei, uma solução mencionada é o HHS alterar os regulamentos da HIPAA para dar a esses dados uma presunção de privacidade
O que os parlamentares pedem ao HHS
- O senador Ron Wyden e as deputadas Pramila Jayapal e Sara Jacobs enviaram uma carta ao secretário do HHS, Xavier Becerra, pedindo o fortalecimento das regras da HIPAA
- A carta diz que as farmácias devem exigir mandado e, quando autoridades quiserem registros médicos de pacientes apenas com uma intimação, devem ser obrigadas a pedir execução judicial
- Um caso de privacidade de e-mail de 2010 também é citado como comparação
- Depois que um tribunal federal de apelação reconheceu uma expectativa razoável de privacidade em e-mails, grandes provedores gratuitos como Google, Yahoo e Microsoft passaram a exigir mandado antes de divulgar e-mails
- Os parlamentares disseram que já haviam alertado Becerra pela primeira vez em julho, para que o HHS adotasse proteções mais fortes após a decisão Dobbs de junho de 2022, a fim de impedir que pessoas que obtiveram produtos contraceptivos fossem processadas
Promessas de transparência e questões em aberto
- Algumas empresas prometeram ser mais transparentes sobre sua cooperação com o governo
- CVS, Walgreens e Kroger prometeram publicar relatórios periódicos sobre pedidos de dados do governo
- A Amazon foi um passo além ao notificar clientes quando o governo solicita dados de clientes
- Registros de prescrição são informações protegidas pela lei federal contra divulgação a outras pessoas que o paciente não tenha autorizado explicitamente
- Permanece a questão de que o governo não deveria tratar os registros de prescrição dos clientes como se fossem um livro aberto com base no princípio do terceiro
- Mudanças podem vir por medidas voluntárias das farmácias e do governo ou por determinação legislativa
1 comentários
Comentários do Hacker News
Trabalhei em uma investigação focada em opioides, e qualquer caso em que medicamentos prescritos fossem usados para algo que não fosse seu objetivo médico real original entrava no escopo
Médicos também vendiam remédios prescritos para fins não médicos, e profissionais de saúde os roubavam, mas a maior parcela era de fraude de receita
Eram casos de roubo ou falsificação de receitas médicas; quando uma pessoa saudável na casa dos 20 anos aparecia para pegar 90 comprimidos de Oxycodone 30mg, normalmente era uma receita mais próxima de “dor extrema e provavelmente à beira da morte”, então a farmácia ou o médico ligavam para confirmar
O governo estadual já tinha todas as informações de prescrições por meio do Prescription Monitoring Program, e o médico podia receber em uma planilha a lista de receitas aviadas nos últimos N dias em seu nome
Se o dr. Adams dissesse que nunca havia prescrito nada para Bill, consultávamos Bill para encontrar receitas suspeitas semelhantes em nome de Charles e Daniels, e, quando esses médicos também confirmavam que ele não era paciente deles, íamos rastreando mais receitas falsificadas
Havia possibilidade de abuso, mas, mesmo legalmente, não se podia simplesmente entrar em uma farmácia e exigir documentos aleatórios, nem pesquisar qualquer nome no PMP; em geral, depois que um médico ou farmacêutico relatava uma suspeita, verificávamos os registros estaduais, confirmávamos com o médico e obtínhamos a prova em papel de algo que já sabíamos ser falso
Algumas vezes, surgiu um alerta vermelho e, ao ligar para o médico, ele disse “receita normal”, então o caso acabou ali; não precisávamos saber por que o paciente usava opioides, apenas confirmar se era fraude ou não
Pela lei estadual, tínhamos autoridade para solicitar, sem mandado, registros de farmácia como receitas e comprovantes de retirada; a maioria dos farmacêuticos fornecia imediatamente, e alguns tentavam verificar se aquilo violava a HIPAA e se era legal
Porém, algumas vezes fiquei preocupado porque funcionários começavam a entregar documentos antes mesmo de eu me identificar
Em resumo, fuçar aleatoriamente nos registros médicos de alguém sem uma suspeita específica e genuína de crime é muito ilegal, e, se havia motivo para ver os registros, era porque alguém no ambiente médico havia relatado algo suspeito
Está bem documentado que órgãos de aplicação da lei frequentemente descumprem a lei, e isso parece mostrar, na verdade, o quanto os procedimentos de violação da Quarta Emenda e da privacidade dos pacientes foram normalizados
Há uma proposta para mudar essa estrutura e exigir um mandado; mesmo que uma determinada agência tenha agido de boa-fé, os EUA têm cerca de 18 mil órgãos de aplicação da lei, e uma quantidade considerável deles tem um longo histórico de acesso excessivo e inadequado a registros
Ao acessar informações privadas e confidenciais, um mandado com supervisão judicial é um padrão razoável
Se for esse o caso, acho que a margem para abuso é grande demais
Para bancos de dados comerciais como LexisNexis, a orientação era basicamente não desperdiçar buscas porque elas custavam dinheiro, mas, para sistemas governamentais como consultas de antecedentes criminais, recebíamos treinamento enfático de que fazer consultas sem uma justificativa legal legítima era ilegal, e éramos instruídos a registrar o motivo de todas as consultas
O material de treinamento incluía até uma matéria sobre um ex-policial preso por usar indevidamente o banco de dados de antecedentes criminais, e, uma vez por ano, em auditorias, era preciso explicar a justificativa para algumas consultas
Todos os sistemas têm falhas e podem ser usados indevidamente por agentes mal-intencionados, e estão sujeitos a uma análise de custo-benefício, mas considero válido, em si, um sistema em que a aplicação da lei possa acessar informações sensíveis e privadas sob as circunstâncias e leis adequadas, com freios e contrapesos
Como ex-agente federal de aplicação da lei, há muito tempo já acessei prontuários médicos sem mandado.
Não posso falar por todos os órgãos, mas o que fiz algumas vezes no começo dos anos 2000 provavelmente seria considerado razoável pela maioria do pessoal do HN.
Eu era oficial da Coast Guard e tinha autoridade de aplicação da lei sob dois regimes jurídicos, o de segurança pública e o criminal.
Quando havia um grande acidente em vias navegáveis federais, nossa primeira tarefa era investigar a ameaça à segurança pública, e isso vinha acompanhado da autoridade para emitir intimações.
Era parecido com o que o NTSB ou a FAA fazem depois de um acidente e, se uma empresa de transporte está em posição de derramar uma barcaça cheia de Xylene em um pântano ao lado de uma escola primária, entendo que há interesse público suficiente para o governo apurar a ameaça pública, sem que a Quarta Emenda seja uma barreira.
Porém, quando a investigação de segurança pública passava de “apurar o risco público” para a possibilidade de responsabilidade criminal de um indivíduo, era preciso informar a pessoa de que aquilo havia se tornado uma investigação criminal e, a partir daí, a Quarta Emenda e o requisito de mandado voltavam a se aplicar.
Na prática, houve algumas ocasiões em que alguém envolvido no acidente dizia “foi porque esqueci de tomar meu remédio, não porque eu estava bêbado”, atrasando a investigação no local, ou em que um marinheiro ferido estava no hospital.
Eu precisava ir ao hospital, colher depoimento e verificar se havia ferimentos; lesões graves elevavam o nível da investigação e os recursos obrigatórios envolvidos, e era necessário confirmar se o marinheiro realmente tinha visto o que havia acontecido.
Também houve várias vezes em que empresas usaram a desculpa de que alguém estava no hospital ou com um médico para atrasar a investigação do próprio erro e, nesse contexto, ligar para o hospital e perguntar “fulano foi internado ontem à noite?” me parecia totalmente razoável.
Ainda assim, é difícil dizer que esses poderes não sejam frequentemente abusados, e mesmo que a maior parte da comunidade de aplicação da lei esteja apenas tentando fazer seu trabalho, o certo é manter a desconfiança.
A doutrina do terceiro ficou ampla demais, e há muitas situações em que as pessoas compartilham informações com terceiros e ainda assim esperam, e merecem, direito à privacidade sobre essas informações.
A ideia de que a HIPAA não oferece uma expectativa razoável de privacidade sobre informações compartilhadas com médicos ou farmacêuticos é absurda; mesmo que a lei tenha explicitado uma exceção para aplicação da lei, a expectativa razoável de privacidade é um direito constitucional, portanto essa exceção deveria ser considerada inconstitucional.
Se uma informação é algo que uma empresa deve proteger pela legislação civil de privacidade, deveríamos ampliar as leis de privacidade de modo geral para excluí-la da doutrina do terceiro e exigir mandado.
O fato de facilitar o trabalho não o torna legítimo; direitos constitucionais, leis de privacidade e jurisprudência foram criados para limitar os poderes da polícia.
É verdade que seria mais fácil se a polícia não precisasse de mandado algum, mas isso não é um argumento válido para contornar mandados.
Da mesma forma, o fato de ser comum agentes de aplicação da lei conduzirem testemunhas para interações que não exigem aviso de Miranda, ou ignorarem pedidos e extraírem declarações autoincriminatórias, não torna isso jurídica ou eticamente justificável.
A premissa de que “a maioria dos agentes de aplicação da lei está apenas tentando fazer seu trabalho” também é questionável diante da grande quantidade de dados sobre abusos estruturais do poder policial e, mesmo que fosse verdade, não serviria como defesa para contornar restrições que o governo estabeleceu explicitamente.
As agências de aplicação da lei devem seguir a Constituição, o que significa aceitar o controle de obter um mandado.
Se o motivo for realmente convincente, não deve haver problema em convencer um juiz ou magistrado.
Com a mudança do ambiente jurídico em torno do aborto e dos direitos de pessoas transgênero, é válida a preocupação de que um promotor zeloso em algum estado possa intimar registros de pílulas abortivas ou bloqueadores hormonais para assediar ou processar pessoas.
Também parece possível que um promotor exija a lista de todos os pacientes que atualmente recebem prescrição de bloqueadores hormonais e abra casos de bem-estar infantil contra todas as famílias do estado.
Também houve uma grande thread na semana passada.
https://news.ycombinator.com/item?id=38719918
E houve outra na semana retrasada.
https://news.ycombinator.com/item?id=38615841
Pharmacies share medical data with police without a warrant, inquiry finds - https://news.ycombinator.com/item?id=38615841 - dezembro de 2023, 46 comentários
O texto da TechDirt veio deste documento do Comitê de Finanças do Senado: https://www.finance.senate.gov/imo/media/doc/hhs_pharmacy_su...
Gostaria que explicassem para quem isso é ruim além de revendedores de medicamentos prescritos.
Provavelmente essa informação também pode ser obtida de umas três outras formas.
O governo pode violar direitos desde que passe por um terceiro.
A consolidação do setor de saúde foi uma das mudanças mais horríveis que vi na vida.
Fico imaginando qual será o estado final disso tudo.
Só que esse pagador único será uma entidade com motivação de lucro.
Para ser justo, parte da consolidação também se deve ao fato de os custos de operar um negócio terem subido a ponto de médicos e farmacêuticos não conseguirem mais atuar de forma independente.
Dívidas estudantis enormes, serviços de TI e exigências de conformidade, além de custos imobiliários absurdos em todo lugar.
Este país parece estar caminhando para um desfecho cyberpunk em que corporações possuem pessoas.