Quanto sono private le cartelle cliniche online?
Chi può sbirciare le informazioni mediche online?
Sono le 10 del mattino. Sapete dove sono le vostre cartelle cliniche? È una domanda che preoccupa molte persone. Cosa succederebbe se il capo scoprisse il problema di salute mentale per cui siete stati curati? Oppure se la compagnia di assicurazione sulla vita venisse a curiosare per vedere se sarete in grado di mantenere i premi mensili tra qualche anno. Forse il vostro colesterolo è più alto di quanto vorreste, ma non volete che la vostra famiglia vi costringa a rinunciare ai cheeseburger.
O forse la vostra azienda scopre che avete una bomba genetica a orologeria dentro di voi, una malattia rara che potrebbe causarvi gravi problemi di salute e far salire alle stelle i costi dell'assicurazione sanitaria aziendale. Sembra un incubo paranoico? Non per Terri Sergeant. Nel 1999, Sergeant, responsabile dell'ufficio di un broker assicurativo della Carolina del Sud, è stata licenziata quando un test genetico ha rivelato che era affetta da una malattia respiratoria ereditaria nota come deficit di alfa-1-antitripsina. La malattia, che può essere fatale se non viene individuata o trattata, è causata dalla carenza di una proteina che protegge le cellule polmonari dalle infezioni causate dall'infiammazione. La condizione può essere gestita efficacemente con infusioni endovenose settimanali della proteina mancante, ma il trattamento è costoso e di lunga durata.
Sono proprio le parti "costose" e "di lunga durata" che sembrano essere costate il posto di lavoro alla Sergeant. Ma la legge, almeno, era dalla sua parte: Sergeant ha recentemente ottenuto un risarcimento dalla Commissione per le Pari Opportunità nell'Impiego (EEOC), che ha stabilito che era stata discriminata sulla base del costo delle cure.
E Sergeant non era nemmeno sola: Quando nel 1999 la defunta scienziata sociale Dorothy C. Wertz, PhD, dell'University of Massachusetts Medical Center di Worcester, Massachusetts, ha condotto un'indagine tra i professionisti della genetica degli Stati Uniti, ha trovato 693 casi in cui pazienti o familiari si erano visti rifiutare l'assicurazione sulla vita o il lavoro sulla base del loro status genetico, anche quando non mostravano sintomi di malattia.
Audit benvenuti?
Rapporti come questi, sebbene ancora poco frequenti, sollevano importanti interrogativi su cosa accade quando informazioni mediche sensibili finiscono nelle mani sbagliate. Molti ospedali dispongono oggi di sistemi computerizzati che consentono l'accesso alle cartelle cliniche a chiunque abbia un terminale informatico e la giusta password o codice di autorizzazione. Alcuni consentono anche l'accesso online alle cartelle cliniche complete da parte dei pazienti stessi.
"La condivisione di informazioni mediche e sanitarie personali attraverso Internet richiede un certo slancio di fede, o almeno un forte senso di privacy e fiducia", riconoscono gli autori di un rapporto del Pew Internet and American Life Project sulle informazioni sanitarie online. Alla domanda se condividerebbe mai informazioni sulla salute con qualcuno che ha "conosciuto" online, un intervistato di un sondaggio Pew ha risposto: "ASSOLUTAMENTE NO. Non oserei mai. Non sai con chi stai parlando".
Cosa impedisce a un hacker di introdursi in uno di questi sistemi per rubare informazioni personali (come numeri di previdenza sociale o altri dati personali)? E anche se avete un sistema che è più difficile da violare elettronicamente di quanto non lo sia entrare a Fort Knox con un piccone e una pala, come fate a sapere chi ha guardato le vostre informazioni private?
"Credo sia importante capire che con una cartella clinica cartacea non si ha idea di chi stia guardando la propria cartella", afferma Daniel Z. Sands, MD, MPH, professore di medicina alla Harvard Medical School e architetto per l'integrazione dei sistemi clinici al Beth Israel Deaconess Medical Center di Boston.
Con una cartella clinica elettronica, si può avere una traccia di controllo di chi sta guardando la cartella, e credo che questo sia molto importante". C'è sicuramente un rischio nell'avere una cartella clinica elettronica e forse, essendo più accessibile, c'è un rischio maggiore rispetto alla cartella clinica cartacea", spiega Sands al medico.
Accesso appropriato
"Detto questo, nessuno è mai morto a causa di un rilascio inappropriato di una cartella clinica, ma molte persone sono morte perché non potevano accedere a quelle informazioni. Credo che si debba trovare un equilibrio tra la sicurezza e la protezione delle informazioni e l'accesso alle stesse".
Molte persone condividono volentieri alcune delle loro informazioni personali più sensibili con i commercianti del web, come i numeri e le date di scadenza delle carte di credito, i conti bancari, le preferenze di acquisto, gli indirizzi, i numeri di telefono e persino i dati di sicurezza sociale. Perché le informazioni mediche non dovrebbero essere disponibili allo stesso modo, a patto che il paziente possa controllarne l'accesso?
"Incontro persone terribilmente spaventate da tutto questo potenziale", afferma Steven Schwaitzberg, direttore del Centro di chirurgia mini-invasiva di Tufts-New England e professore associato di chirurgia alla Tufts University School of Medicine di Boston. "Temono molto l'intrusione nella loro privacy e chiedono il controllo delle informazioni".
Egli indica sviluppi come la cosiddetta identificazione a radiofrequenza, o tecnologia RFID, attualmente in fase di sviluppo presso il MIT e altri centri tecnologici, in cui minuscoli chip radiotrasmittenti possono essere interrati in qualsiasi cosa, dalle merci sullo scaffale del supermercato ai vestiti sulla schiena. Un tipo di tecnologia simile, che utilizza la scansione della retina, è stata presentata nel thriller fantascientifico Minority Report di Stephen Spielberg.
"La tecnologia RFID potrebbe davvero migliorare la comunicazione, ma le persone hanno paura di essere etichettate e osservate e di essere contate", dice Schwaitzberg al dottore.
Eppure, dice, "milioni di americani stanno comprando qualcosa online proprio ora. Gli americani sembrano essere felici di dare informazioni su se stessi, eppure c'è un gruppo molto forte di persone che sono molto preoccupate".
Schwaitzberg e altri sostenitori delle cartelle cliniche online affermano che molti di questi timori potrebbero essere fugati da un sistema ben progettato con controlli e contrappesi. Per esempio, i pazienti potrebbero utilizzare un numero di identificazione personale, o codice PIN, per accedere a una cartella clinica elettronica, condividendolo con i medici o altri operatori sanitari che necessitano delle informazioni e cambiando poi il codice per garantire la privacy quando necessario.
In questo modo, chi si infortuna o si ammala mentre è in viaggio potrebbe ottenere l'accesso immediato alle cartelle cliniche dei medici locali.
Un ostacolo maggiore al flusso di informazioni, sostiene Schwaitzberg, è l'attuale accozzaglia di sistemi informativi incompatibili, molti dei quali sono progettati per essere utilizzati solo in uno specifico ospedale o gruppo di centri sanitari.
Dati in vendita?
Se siete tra coloro che temono che i fornitori di servizi sanitari siano tentati di vendere le vostre informazioni mediche private al miglior offerente, sappiate che gli ospedali hanno un incentivo ancora più forte a tenere tali informazioni sotto chiave elettronica. Questo incentivo si chiama HIPAA, ovvero Health Insurance Portability and Accountability Act (legge bipartisan sulla portabilità delle assicurazioni sanitarie e sulla responsabilità), noto anche come Kennedy-Kassebaum Act del 1996.
La legge è stata concepita per incoraggiare l'uso di transazioni elettroniche nell'assistenza sanitaria, salvaguardando al contempo la sicurezza e la riservatezza delle informazioni sanitarie. Secondo il Dipartimento della Salute e dei Servizi Umani degli Stati Uniti, la maggior parte delle assicurazioni sanitarie, delle farmacie, dei medici e degli altri fornitori di assistenza sanitaria sono tenuti a rispettare le norme.
Tra le altre cose, le norme HIPAA dovrebbero garantire:
-
L'accesso del paziente alle copie delle proprie cartelle cliniche entro 30 giorni dalla richiesta per l'identificazione degli errori e delle mancanze.
-
Notifica delle modalità di utilizzo delle informazioni sanitarie personali e diritto di limitare l'utilizzo di tali informazioni, nonché i limiti imposti ai fornitori. In base alle norme, i pazienti devono concedere un'autorizzazione specifica per il rilascio dei dati a soggetti esterni, come assicurazioni sulla vita, banche, società di marketing o altre aziende.
-
Divieto di condivisione delle informazioni sui pazienti da parte di farmacie, piani sanitari e altri soggetti con società di marketing senza il consenso esplicito del paziente.
Per rendere più incisivo il provvedimento, il Congresso ha previsto sanzioni civili e penali per gli individui o i gruppi che abusano delle informazioni sanitarie personali. Le violazioni dei diritti civili dei pazienti sono soggette a sanzioni fino a 100 dollari per violazione, per un massimo di 25.000 dollari all'anno.
"Le sanzioni penali si applicano a determinate azioni, come l'ottenimento consapevole di informazioni sanitarie protette in violazione della legge. Le sanzioni penali possono arrivare fino a 50.000 dollari e un anno di carcere per alcuni reati; fino a 100.000 dollari e fino a cinque anni di carcere se i reati sono commessi con 'falsi pretesti'; e fino a 250.000 dollari e fino a 10 anni di carcere se i reati sono commessi con l'intento di vendere, trasferire o utilizzare informazioni sanitarie protette a fini commerciali, di guadagno personale o di danneggiamento doloso", secondo una scheda informativa pubblicata dall'HHS Office of Civil Rights.
Tutte queste misure proteggeranno la privacy dei pazienti? Forse. Ma in ogni caso, la privacy è stata a lungo un bene incerto nella vita americana. Come disse il drammaturgo e scrittore irlandese George Bernard Shaw a un pubblico di New York nel 1933, molto prima che Internet fosse anche solo sognato, "un americano non ha il senso della privacy. Non sa cosa significhi. Non esiste una cosa del genere nel Paese".
Pubblicato originariamente: Settembre 2003
