O que é HIPAA e como isso afeta nossa compreensão do coronavírus?

O ato amplamente incompreendido está sendo invocado para limitar o acesso aos dados do COVID-19

Hospital Lenox Hill em Manhattan, Nova York, em 7 de abril de 2020. (John Nacion/STAR MAX/IPx)

Este explicador foi publicado originalmente em Cobertura COVID-19 , nosso briefing diário do Poynter sobre jornalismo e coronavírus, escrito pelo professor sênior Al Tompkins. Inscreva-se aqui para recebê-lo em sua caixa de entrada todas as manhãs da semana.

Nada nos ajudaria a entender mais a gravidade da situação do COVID-19 do que se pudéssemos ver os efeitos se desenrolando em nossos hospitais.

Os hospitais estão impedindo os jornalistas de documentarem como é dentro de suas paredes e a escassez de ventiladores e outros suprimentos, por isso confiamos nas mídias sociais e entrevistas com médicos . Mas ver para crer, diz o velho ditado. É verdade na guerra, é verdade nos desastres, e isso é tanto uma guerra quanto um desastre.

“Há um valor inequívoco de notícias em trazer imagens de pessoas de dentro dos hospitais, das linhas de frente desse vírus”, disse o presidente da NBC News, Noah Oppenheim. disse ao Washington Post . Ele acrescentou: “É fundamental que tenhamos o maior número possível dessas fotos no mundo”.

Vamos pisar no freio o tempo suficiente para dizer que nenhuma pessoa razoável sugeriria que os jornalistas deveriam se infiltrar nos hospitais para tirar fotos. E nenhuma pessoa razoável sugeriria que os jornalistas trabalhassem com pacientes afetados sem o máximo de precauções e proteção. Já perdemos colegas para esta doença e outros já adoeceram.

Mas há muito o que saber sobre quem e o que a HIPAA cobre e não cobre.

Desde que a Lei de Portabilidade e Responsabilidade de Seguros de Saúde de 1996 e a Regra de Privacidade que a acompanha foram aprovadas em 2003, tornou-se um obstáculo para os jornalistas que buscam até mesmo informações básicas de hospitais, asilos, departamentos de saúde, médicos legistas e polícia.

Agora, em um momento em que o público exige dados confiáveis ​​sobre a disseminação e os efeitos do COVID-19, os jornalistas não conseguem obter os dados e imagens que ajudariam o público a entender a urgência dessa pandemia. Não haveria como negar a escassez de equipamentos de proteção se pudéssemos ver.

Na Flórida, Gov. Ron DeSantis se recusou a nomear asilos onde os pacientes testaram positivo. O Tampa Bay Times (de propriedade do Poynter) relatou:

A administração DeSantis baseou sua recusa, até agora, em nomear casas com resultados positivos em seu desejo de proteger a confidencialidade dos moradores. Embora ele não tenha nomeado a lei, DeSantis parece estar invocando a Lei federal de Portabilidade e Responsabilidade do Seguro de Saúde, ou HIPAA, que protege os registros médicos e a privacidade dos pacientes.

Pamela Marsh, ex-promotora federal de alto escalão que agora dirige o Fundação da Primeira Emenda com sede em Tallahassee , sugeriu que a lei HIPAA é uma folha de figueira usada para ocultar informações vitais.

“Essa informação deve ser disponibilizada”, disse Marsh, ex-procurador dos Estados Unidos para o norte da Flórida, ao (Miami) Herald. “Não pode ser um negócio como de costume para as famílias de entes queridos sob cuidados.”

Quando o governo do estado não quis nomear as casas de repouso, as próprias empresas disseram ao público que alguns de seus moradores haviam testado positivo para o vírus.

O grupo sem fins lucrativos Families for Better Care lançou uma campanha de mídia social atacando o governador por não relatar o que até os próprios asilos divulgaram.

Uma postagem no Twitter de Families for Better Care (@FFBC)

Mesmo que alguns lares de idosos e hospitais apresentem o HIPAA como uma razão para não divulgar informações gerais sobre os pacientes que trataram, há muitos exemplos de quando eles relatam rotineiramente essas coisas. Brian Lee, diretor executivo da Families for Better Care, disse à WJXT-TV (Jacksonville):

“Olha, eles publicam informações sobre as instalações em todo o site. Eles têm resultados de inspeção sempre que há surtos de sarna, há surtos de norovírus, as informações são divulgadas. Eles não podem mais usar essa desculpa. É risível. Eles não estão divulgando as informações individuais de saúde de ninguém. É disso que trata a HIPAA – informações de saúde individuais.”

Em Iowa, as autoridades de saúde de vários condados não divulgaram quantas pessoas fizeram os testes COVID-19 e citaram a HIPAA como uma das razões pelas quais não divulgaram as informações. Diretor Executivo do Conselho de Liberdade de Informação de Iowa Randy Evans destacou os mesmos hospitais não têm problemas em relatar quantos bebês nascem em suas instalações a cada ano.

A primeira coisa a entender é que HIPAA pertence APENAS a “entidades cobertas”, que incluem prestadores de cuidados de saúde (como paramédicos, médicos, enfermeiros e assistentes sociais) e companhias de seguros. HIPAA não cobre jornalistas, polícia e bombeiros (exceto paramédicos). HIPAA não cobre organizações religiosas que não são prestadores de cuidados de saúde.

O Departamento de Saúde e Serviços Humanos dos EUA emitiu um página de briefing específica para saber como a HIPAA se relaciona com o surto de COVID-19. O comunicado lembra aos profissionais de saúde, incluindo médicos, que eles não podem liberar informação específica sobre um paciente - o nome de uma pessoa que testou positivo (ou negativo) para COVID-19 - sem autorização por escrito do paciente.

Mas sejamos claros: a HIPAA pretendia proteger informações médicas e de saúde individuais . Essas proteções individuais ainda se aplicam mesmo em uma pandemia. A HIPAA não permite que um profissional de saúde divulgue informações demográficas individuais, mas a palavra-chave é “indivíduo”. É por isso que os hospitais podem, por exemplo, no caso de um tiroteio em massa, dizer quantas pessoas foram internadas, passaram por cirurgias, foram tratadas e liberadas.

A HIPAA abrange “Informações de Saúde Protegidas”, que são informações que tornariam uma pessoa identificável. Portanto, embora não seja uma violação da HIPAA para um profissional de saúde dizer que 70% de seus leitos de UTI estão cheios ou que testou 300 pessoas ou que todas as pessoas na UTI têm mais de 65 anos, seria uma violação dizer “Al Tompkins está na UTI”. Novamente, isso é apenas para uma “entidade coberta”. Não é uma violação da HIPAA para um jornalista relatar um nome, é apenas um problema para o profissional de saúde.

E a HIPAA permite que um profissional de saúde divulgue até mesmo informações de identificação pessoal para uma autoridade de saúde pública – por exemplo, os Centros de Controle e Prevenção de Doenças – com o objetivo de controlar uma doença, como o COVID-19. (Consulte 45 CFR § 164.501 e 164.512(b)(1)(i).)

Meu amigo, consultor jurídico da National Press Photographers Association, Mickey Osterreicher, ofereceu algumas conselho para jornalistas se policiais ou hospitais tentarem impedir suas reportagens sobre o COVID-19 . Ele disse que está ouvindo de alguns fotojornalistas que os hospitais tentaram usar a HIPAA como uma razão para proibir os fotógrafos de fotografar prédios ou trabalhadores hospitalares.

A ProPublica também publicou ajuda para jornalistas que tentam navegar pelas regras da HIPAA :

Mesmo com HIPAA, você ainda pode obter dados 'desidentificados'

Se um conjunto de dados foi “desidentificado”, as regras de privacidade da HIPAA não se aplica . Existem dois métodos para desidentificação: “ Porto Seguro ”, que suprime campos que revelam informações de identificação pessoal e “determinação de especialistas”, que depende de especialistas para verificar se há um risco limitado de identificar pacientes.

• Verifique se os dados não identificados estão disponíveis para download online. As agências de saúde locais e estaduais às vezes colocam conjuntos de dados sem identificação online. Esses conjuntos de dados têm restrições mínimas, se houver, quanto ao seu uso.
• Peça a um oficial de registros para remover campos de identificação pessoal. Se os dados de saúde que você deseja incluir quaisquer identificadores pessoais, considere solicitar os dados com essas variáveis ​​removidas ou editadas. Se houver números de conta ou CPF para identificar cada paciente, peça IDs fictícios (mas certifique-se de descobrir quais variáveis ​​foram substituídas por números fictícios).
• Solicite dados agregados. Alguns oficiais de registros podem negar sua solicitação alegando que agregar dados é o mesmo que “criar” dados, o que eles podem não ser legalmente obrigados a fazer. Então peça com jeitinho e negocie! Se você conseguir obter dados agregados (ou dados que só pode publicar de forma agregada), poderá ser proibido de publicar dados sobre pequenos grupos de pessoas para proteger a privacidade dos pacientes.

Al Tompkins é professor sênior da Poynter. Ele pode ser contatado por e-mail ou no Twitter, @atompkins.