I mercati della salute sono stati sorpresi a condividere i dati dei pazienti

In uno sviluppo significativo relativo alla privacy dei dati sanitari, Virginia e Washington D.C. hanno annunciato che stanno sospendendo le pratiche di raccolta e condivisione dei dati a seguito di un'indagine approfondita condotta da Bloomberg. L'indagine ha rivelato che i mercati delle assicurazioni sanitarie in queste giurisdizioni trasmettevano informazioni personali sensibili sui propri utenti direttamente alle società di tecnologia pubblicitaria, sollevando serie preoccupazioni circa le violazioni della privacy e la conformità normativa.

Secondo l'indagine dettagliata di Bloomberg, i dati condivisi includevano informazioni altamente sensibili come lo stato di cittadinanza e i dati demografici razziali degli utenti. Queste informazioni, combinate con altri dettagli di identificazione personale, venivano trasferite a giganti della tecnologia pubblicitaria senza il consenso esplicito dei pazienti o una conoscenza completa degli accordi di condivisione dei dati. La scoperta ha indotto un'azione immediata da parte dei funzionari sanitari statali che hanno riconosciuto la gravità della violazione della privacy e le potenziali conseguenze legali del proseguimento di tali pratiche.

Lo scandalo della condivisione dei dati evidenzia una crescente preoccupazione nel settore sanitario riguardo al modo in cui le informazioni sui pazienti vengono monetizzate e sfruttate da reti pubblicitarie di terze parti. Queste società di tecnologia pubblicitaria possono utilizzare dati demografici e relativi alla salute per creare profili pubblicitari mirati che aiutano le aziende farmaceutiche e i fornitori di servizi sanitari a raggiungere popolazioni specifiche. Tuttavia, la pratica solleva questioni fondamentali sul consenso informato e sulla capacità dei pazienti di comprendere come i dati di registrazione medica vengono utilizzati dagli operatori di marketing.

Il mercato sanitario della Virginia e la borsa delle assicurazioni sanitarie di Washington funzionavano partendo dal presupposto che la condivisione di questi dati demografici e di iscrizione con gli inserzionisti fosse consentita dai loro quadri di governance dei dati esistenti. Tuttavia, l’indagine di Bloomberg ha messo in luce le lacune nella tutela della privacy e ha rivelato pratiche che molti difensori della privacy sostengono non avrebbero mai dovuto essere consentite. I mercati raccoglievano informazioni sulla cittadinanza come parte dei processi di verifica dell'iscrizione, intesi a garantire che solo le persone idonee acquistassero un'assicurazione sanitaria attraverso le loro piattaforme.

Le implicazioni di questa divulgazione dei dati sanitari personali vanno oltre le semplici violazioni della privacy. I pazienti che si sono iscritti ai mercati delle assicurazioni sanitarie della Virginia e D.C. credevano che le loro informazioni sensibili sarebbero state protette dall'Health Insurance Portability and Accountability Act (HIPAA) e da altre normative sulla privacy a livello statale. Tuttavia, le pratiche di condivisione dei dati apparentemente operavano in un'area grigia in cui gli operatori del mercato credevano di poter condividere i dati di registrazione con terze parti per scopi di marketing, nonostante la natura sensibile delle informazioni coinvolte.

Le aziende di tecnologia pubblicitaria cercano da tempo l'accesso ai dati demografici sanitari perché rappresentano preziose informazioni di marketing. Quando gli inserzionisti conoscono dettagli specifici sullo stato di assicurazione sanitaria degli individui, sulla documentazione di cittadinanza e sul background razziale, possono creare sofisticate campagne di targeting. Queste informazioni sono particolarmente preziose per le aziende farmaceutiche che cercano di commercializzare farmaci a specifici gruppi demografici, per le compagnie assicurative che cercano di reclutare nuovi clienti e per i fornitori di servizi sanitari che mirano a raggiungere popolazioni particolari con le loro offerte.

La decisione di Virginia e Washington D.C. di sospendere le loro pratiche di raccolta dati rappresenta un importante riconoscimento delle preoccupazioni sulla privacy evidenziate dall'indagine di Bloomberg. I funzionari statali hanno riconosciuto che continuare a condividere queste informazioni mentre le pratiche erano sotto esame potrebbe esporli a significative responsabilità legali e reazioni pubbliche. La pausa offre inoltre a queste giurisdizioni l'opportunità di rivedere le proprie politiche di governance dei dati e implementare protezioni della privacy più solide per gli utenti del mercato.

I difensori della privacy si sono espressi sempre più apertamente sulla necessità di una maggiore protezione dei dati sanitari, in particolare per quanto riguarda le informazioni di iscrizione raccolte attraverso mercati assicurativi gestiti o partner dello stato. Queste piattaforme sono spesso considerate attendibili da popolazioni vulnerabili che potrebbero non comprendere appieno come le loro informazioni potrebbero essere condivise con terze parti. L'incidente in Virginia e D.C. sottolinea la facilità con cui le informazioni demografiche sanitarie sensibili possono passare dalle piattaforme sanitarie governative alle reti pubblicitarie commerciali.

L'indagine di Bloomberg rappresenta un esempio di giornalismo investigativo al servizio di un'importante funzione di interesse pubblico denunciando pratiche che molti considererebbero non etiche o illegali. Esaminando i flussi di dati tra i mercati sanitari e le società di tecnologia pubblicitaria, l’indagine ha fatto luce su una pratica che non era ampiamente nota al grande pubblico e probabilmente è stata una sorpresa per molte delle persone le cui informazioni venivano condivise. L'indagine ha suscitato un'immediata attenzione normativa e cambiamenti politici.

Mentre Virginia e D.C. procedono con la sospensione dei loro accordi di condivisione dei dati, dovranno determinare come gestire le informazioni già trasmesse alle reti pubblicitarie e stabilire nuovi protocolli per le politiche di gestione dei dati che proteggano meglio la privacy dei pazienti. I funzionari sanitari statali dovranno probabilmente condurre controlli approfonditi su tutti gli accordi di condivisione dei dati di terze parti attualmente in vigore e determinare quali rapporti violano i principi sulla privacy o le normative statali e federali.

Le implicazioni più ampie di questo incidente suggeriscono che i mercati delle assicurazioni sanitarie negli Stati Uniti potrebbero dover riesaminare le proprie pratiche di condivisione dei dati. Se i mercati della Virginia e D.C. condividessero questo tipo di informazioni sensibili con le società di tecnologia pubblicitaria, è ragionevole chiedersi se pratiche simili potrebbero verificarsi in altri stati. I regolatori federali e i procuratori generali statali potrebbero essere motivati a indagare se altri mercati sanitari siano impegnati in accordi di condivisione dei dati dei pazienti comparabili che garantiscano un intervento immediato.

Guardando al futuro, questo incidente probabilmente stimolerà discussioni su quali nuove normative o indicazioni potrebbero essere necessarie per evitare che simili violazioni della privacy si verifichino in futuro. Potrebbero esserci richieste per una legislazione federale esplicita che chiarisca quali tipi di dati di registrazione sanitaria possono e non possono essere condivisi con terze parti e in quali circostanze tale condivisione sarebbe consentita. L'incidente solleva anche dubbi sul fatto che le attuali normative HIPAA forniscano una protezione sufficiente per le persone che si iscrivono ai mercati dell'assicurazione sanitaria statale.

La pausa nella raccolta e condivisione dei dati da parte di Virginia e D.C. rappresenta un primo passo importante per affrontare le preoccupazioni sulla privacy sollevate dall'indagine di Bloomberg. Tuttavia, i funzionari statali e i difensori della privacy riconoscono che c’è ancora molto lavoro da fare per garantire che le informazioni sanitarie sensibili siano adeguatamente protette. L'incidente ci ricorda chiaramente che la privacy dei dati sanitari richiede una vigilanza costante e che anche i programmi sanitari governativi possono inavvertitamente esporre i propri utenti a rischi quando non sono in atto adeguate garanzie sulla privacy.