1 puntos por GN⁺ 2023-12-31 | 1 comentarios | Compartir por WhatsApp
  • Una investigación del Congreso reveló que las principales cadenas de farmacias de EE. UU. tienen la práctica de entregar registros médicos sensibles a pedido de las fuerzas del orden sin exigir una orden judicial
  • CVS Health, Walgreens Boots Alliance, Cigna, Optum Rx, Walmart, Kroger, Rite Aid y Amazon Pharmacy pueden proporcionar, solo con una citación, información que podría incluir el historial de uso de medicamentos recetados y condiciones médicas
  • CVS, Kroger y Rite Aid respondieron que ni siquiera realizan una revisión legal de las citaciones de agencias gubernamentales, por lo que el proceso para evaluar la legalidad de las solicitudes es especialmente débil
  • HIPAA impide la divulgación no autorizada a partes privadas, pero las solicitudes de las fuerzas del orden pueden tratarse como una excepción required by law, lo que dificulta impedir la entrega sin orden judicial
  • El senador Ron Wyden y las representantes Pramila Jayapal y Sara Jacobs instaron al HHS a reforzar las normas de HIPAA para que las farmacias deban exigir una orden judicial

La zona gris de los registros médicos creada por la doctrina de terceros

  • La protección de la Cuarta Enmienda de EE. UU. a menudo funciona de manera débil frente a la Third Party Doctrine
  • En algunos casos, el gobierno puede obtener sin orden judicial información que una persona compartió con empresas privadas, independientemente de si la compartió voluntariamente o no
  • Por eso han continuado tanto los proyectos de ley para agregar protección de la Cuarta Enmienda a los datos de ubicación de teléfonos móviles recopilados por apps, como los debates en tribunales y el Congreso para ajustar la doctrina de terceros
  • El gobierno busca obtener la mayor cantidad de información posible sin pasar por una revisión judicial, y las empresas privadas pueden concluir que, por costos, les conviene más entregarla que impugnar las solicitudes gubernamentales en tribunales

La práctica de las principales cadenas de farmacias de entregar datos sin orden judicial

  • En una investigación del Congreso cubierta por Ars Technica, se confirmó que los principales operadores de farmacias minoristas de EE. UU. han estado entregando datos médicos sensibles al gobierno sin exigir una orden judicial real
  • Las farmacias investigadas fueron estas 8
    • CVS Health
    • Walgreens Boots Alliance
    • Cigna
    • Optum Rx
    • Walmart Stores, Inc.
    • The Kroger Company
    • Rite Aid Corporation
    • Amazon Pharmacy
  • Todas respondieron que no requieren una orden judicial cuando las fuerzas del orden solicitan registros que pueden incluir el historial de uso de medicamentos recetados de una persona o sus condiciones médicas
  • En cambio, entregan información incluso con una citación, que puede emitir una agencia gubernamental y no requiere revisión ni aprobación de un juez

Diferencias en la revisión legal

  • CVS, Kroger y Rite Aid respondieron al Congreso que no realizan revisión legal de las citaciones de agencias gubernamentales
  • Estas cadenas parecen considerar válida cualquier solicitud que lleve el nombre del gobierno
  • Otras cadenas de farmacias al menos involucran a abogados en el proceso de manejo de solicitudes de datos

Por qué HIPAA no es una defensa suficiente

  • HIPAA es una ley que impide que la información médica se divulgue sin consentimiento a partes privadas no autorizadas
  • Las solicitudes provenientes de fuerzas del orden por lo general se tratan como parte de la excepción required by law
  • Esta excepción puede operar incluso si el abogado de la empresa farmacéutica no revisó la solicitud, o si no está claro que el pedido de información médica sensible esté realmente justificado
  • Como solución, se plantea que el HHS cambie las normas de HIPAA, incluso sin modificar la ley, para otorgar a esos datos una presunción de privacidad

Las demandas de los legisladores al HHS

  • El senador Ron Wyden y las representantes Pramila Jayapal y Sara Jacobs enviaron una carta al secretario del HHS, Xavier Becerra, para exigir el fortalecimiento de las normas de HIPAA
  • La carta señala que las farmacias deberían exigir una orden judicial y que, si las fuerzas del orden solicitan registros médicos de pacientes solo con una citación, deberían tener que pedir su ejecución ante un tribunal
  • También se presentó como comparación un caso de privacidad de correo electrónico de 2010
    • Después de que un tribunal federal de apelaciones reconociera una expectativa razonable de privacidad sobre el correo electrónico, los principales proveedores gratuitos de email como Google, Yahoo y Microsoft empezaron a exigir una orden judicial antes de divulgar correos
  • Los legisladores informaron por primera vez a Becerra en julio de 2022 que, tras la decisión Dobbs de junio de 2022, el HHS debía establecer protecciones más fuertes para evitar que se procesara penalmente a personas que obtuvieran productos anticonceptivos

Promesas de transparencia y temas pendientes

  • Algunas empresas prometieron ser más transparentes respecto de su cooperación con el gobierno
    • CVS, Walgreens y Kroger prometieron publicar informes periódicos sobre las solicitudes de datos del gobierno
    • Amazon fue un paso más allá al notificar a los clientes cuando el gobierno solicita sus datos
  • Los registros de recetas son información protegida por la ley federal frente a otras personas que el paciente no haya autorizado explícitamente
  • Sigue pendiente el problema de que el gobierno no debería tratar los registros de recetas de los clientes como si fueran un libro abierto invocando la doctrina de terceros
  • El cambio puede llegar mediante acciones voluntarias de farmacias y gobierno, o a través de un mandato legislativo

1 comentarios

 
GN⁺ 2023-12-31
Comentarios de Hacker News
  • Trabajé en investigaciones dedicadas a analgésicos opioides, y todo caso en el que un medicamento recetado se usara para algo distinto de su propósito médico real original era objetivo de investigación.
    Había médicos que vendían medicamentos recetados con fines no médicos, y personal médico que los robaba, pero la mayor parte era fraude con recetas.
    Eran casos de robo o falsificación de recetas médicas, y si una persona sana de unos 20 años llegaba a retirar 90 tabletas de Oxycodone 30 mg, por lo general era una receta cercana a “dolor extremo y probablemente en fase terminal”, así que la farmacia o el médico llamaban para verificar.
    El gobierno estatal ya tenía toda la información de recetas mediante el Prescription Monitoring Program, y un médico podía recibir en una hoja de cálculo la lista de recetas surtidas bajo su nombre en los últimos N días.
    Si el doctor Adams decía que nunca le había recetado nada a Bill, buscábamos a Bill para encontrar recetas sospechosas similares a nombre de Charles o Daniels, y luego esos médicos también confirmaban que no era paciente suyo; así se iban rastreando más recetas falsificadas.
    Hay posibilidad de abuso, pero legalmente tampoco se podía entrar a una farmacia y exigir documentos al azar, ni buscar cualquier nombre en el PMP. Normalmente, después de que un médico o farmacéutico reportaba algo sospechoso, se revisaban los registros estatales, se verificaba con el médico y se obtenía evidencia en papel de algo que ya sabíamos que era falso.
    Algunas veces se encendía una alerta roja, llamaba al médico y me decía “es una receta normal”, y ahí terminaba todo. No necesitábamos saber por qué el paciente usaba opioides; solo confirmar si era fraude o no.
    Según la ley estatal, teníamos autoridad para solicitar sin orden judicial registros de farmacias como recetas y registros de entrega, y la mayoría de los farmacéuticos los proporcionaban de inmediato; algunos intentaban confirmar si violaba HIPAA y si era legal.
    Aun así, algunas veces me preocupó que el personal empezara a entregarme documentos incluso antes de que yo me identificara.
    En resumen, revisar sin más los registros médicos de alguien sin una sospecha concreta y genuina de un delito es muy ilegal, y si había motivo para ver los registros era porque alguien del ámbito médico había reportado algo sospechoso.

    • La explicación de que “es ilegal ver registros médicos sin una sospecha concreta y genuina de un delito” no me tranquiliza.
      Está bien documentado que las fuerzas del orden violan la ley con frecuencia; más bien parece mostrar hasta qué punto se han normalizado los procedimientos que vulneran la Cuarta Enmienda y la privacidad de los pacientes.
    • Es útil saber que podían solicitar recetas y registros de entrega sin una orden judicial.
      Hay una propuesta para cambiar esta estructura y exigir una orden judicial; aunque una agencia específica haya actuado de buena fe, en EE. UU. hay alrededor de 18.000 agencias de aplicación de la ley, y no pocas tienen un largo historial de acceso excesivo e indebido a registros.
      Cuando se accede a información privada y confidencial, una orden judicial con supervisión del poder judicial es un valor predeterminado razonable.
    • Visto al revés, parece que una “sospecha concreta y genuina de un delito” no necesariamente significa una causa documentada aprobada por un juez.
      Si es así, me parece que hay demasiado margen para abuso.
    • Cuando trabajé como analista en un campo relacionado, me impresionó la diferencia en el trato entre las bases de datos comerciales y las bases de datos gubernamentales reguladas por ley.
      Con bases de datos comerciales como LexisNexis, la regla era más bien no desperdiciar búsquedas porque cuestan dinero; pero con sistemas gubernamentales como las consultas de antecedentes penales, nos capacitaban de forma muy estricta en que consultar sin una causa legal válida era ilegal, y nos pedían registrar el motivo de cada consulta.
      El material de capacitación incluso incluía un artículo sobre un expolicía encarcelado por usar indebidamente una base de datos de antecedentes penales, y una vez al año, en una auditoría, había que justificar algunas consultas.
      Todos los sistemas tienen errores y pueden ser usados indebidamente por actores maliciosos, y deben someterse a un análisis de costo-beneficio, pero creo que un sistema en el que las fuerzas del orden puedan acceder a información sensible y no pública bajo las circunstancias, leyes y controles y contrapesos adecuados sí es válido.
    • Me pregunto si con la obligatoriedad de la prescripción electrónica de sustancias controladas todo este proceso no se volvería innecesario.
  • Como exagente federal de las fuerzas del orden, hace mucho tiempo llegué a acceder a registros médicos sin una orden judicial.
    No puedo hablar por todas las agencias, pero es muy probable que la mayoría de la gente de HN hubiera considerado razonables algunas de las cosas que hice a principios de los 2000.
    Era oficial de la Coast Guard y tenía facultades de aplicación de la ley bajo dos marcos legales: seguridad pública y penal.
    Cuando ocurría un accidente grande en vías navegables federales, mi trabajo era primero investigar la amenaza a la seguridad pública, y eso venía acompañado de la facultad de emitir citaciones.
    Era más parecido a lo que hacen la NTSB o la FAA después de un accidente, y si una empresa de transporte hace algo que podría derramar una barcaza llena de xylene en un pantano junto a una escuela primaria, considero que el gobierno tiene un interés público suficiente en determinar la amenaza pública como para que la Cuarta Enmienda no sea una barrera.
    Pero si la investigación de seguridad pública pasaba de “determinar el riesgo público” a la posible responsabilidad penal de una persona, había que notificarle a esa persona que se había convertido en una investigación penal, y desde ese momento volvían a aplicarse la Cuarta Enmienda y el requisito de orden judicial.
    En la práctica, hubo varias ocasiones en que alguien relacionado con un accidente retrasaba la investigación en el lugar diciendo “fue porque se me olvidó tomar mis medicamentos, no porque estuviera borracho”, o casos en que un marinero lesionado estaba en el hospital.
    Tenía que ir al hospital para tomar declaraciones y verificar si había lesiones; una lesión grave elevaba el nivel de la investigación y los recursos obligatorios, y había que confirmar si el marinero realmente había visto lo que ocurrió.
    También hubo varias veces en que las empresas usaban la excusa de que alguien estaba en el hospital o con un médico para retrasar la investigación de sus propios errores, y en ese contexto me parecía completamente razonable llamar al hospital y preguntar: “¿Ingresó tal persona anoche?”.
    Aun así, es difícil sostener que estas facultades no se abusen con frecuencia, y aunque la mayor parte de la comunidad de fuerzas del orden solo intente hacer su trabajo, lo correcto es mantener el escepticismo.

    • Esos casos sí muestran razones legítimas para acceder a la información, pero no son una razón convincente de por qué no puede existir un requisito de orden judicial.
      La doctrina de terceros se ha vuelto demasiado amplia, y hay muchas situaciones en las que las personas comparten información con terceros y aun así esperan, y merecen, un derecho a la privacidad sobre esa información.
      Es absurdo decir que HIPAA no otorga una expectativa razonable de privacidad sobre la información compartida con médicos o farmacéuticos; aunque la ley haya establecido una excepción para las fuerzas del orden, la expectativa razonable de privacidad es un derecho constitucional, así que esa excepción debería considerarse inconstitucional.
      Si, bajo las leyes civiles de privacidad, una empresa está obligada a proteger cierta información, deberíamos ampliar en general las leyes de privacidad para excluirla de la doctrina de terceros y exigir una orden judicial.
    • Esta es la forma típica en que los agentes de la ley minimizan o defienden los abusos de poder.
      Que algo facilite el trabajo no lo vuelve legítimo, y los derechos constitucionales, las leyes de privacidad y la jurisprudencia existen para limitar el poder policial.
      Es cierto que sería más fácil si la policía no necesitara nunca una orden judicial, pero eso no es un argumento válido para eludirla.
      Del mismo modo, que sea común que un agente lleve a un testigo a una interacción en la que no se requiere una advertencia Miranda, o ignore solicitudes, para obtener declaraciones autoincriminatorias, no lo vuelve legal ni éticamente justificable.
      La premisa de que “la mayoría de los agentes de la ley solo intentan hacer su trabajo” también es cuestionable, dada la gran cantidad de datos sobre abusos estructurales del poder policial; e incluso si fuera cierta, no serviría como defensa para eludir restricciones que el gobierno estableció explícitamente.
    • Los contrapesos y controles son el núcleo del funcionamiento del gobierno estadounidense.
      Las agencias de aplicación de la ley deben cumplir la Constitución, y eso significa aceptar el control que implica obtener una orden judicial.
      Si el motivo es realmente convincente, no debería haber problema en convencer a un juez o magistrado.
    • La preocupación tiene más que ver con cómo se usará en el futuro que con cómo se usó en el pasado.
      Con el cambio del entorno legal sobre el aborto y los derechos transgénero, es razonable preocuparse de que algún fiscal entusiasta de un estado pueda citar registros de píldoras abortivas o bloqueadores hormonales para acosar o procesar a personas.
      También parece posible que un fiscal exija una lista de todos los pacientes que actualmente reciben bloqueadores hormonales y abra casos de bienestar infantil contra todas las familias de todo el estado.
    • ¿Por qué siento que este accidente con xylene debió ocurrir en el sur de Luisiana?
  • La semana pasada también hubo un hilo grande.
    https://news.ycombinator.com/item?id=38719918
    También lo hubo la semana antepasada.
    https://news.ycombinator.com/item?id=38615841

  • El artículo de TechDirt proviene de este documento del Comité de Finanzas del Senado: https://www.finance.senate.gov/imo/media/doc/hhs_pharmacy_su...

  • Me gustaría que alguien explicara para quién es malo esto, aparte de los revendedores de medicamentos recetados.

  • Probablemente esa información también se pueda obtener por otros tres métodos más o menos.

  • El gobierno puede vulnerar derechos siempre que pase por un tercero.

  • La consolidación de la industria de la salud ha sido uno de los cambios más horribles que he visto en mi vida.
    Me pregunto cuál será el estado final de todo esto.

    • Tal vez terminemos en un sistema de pagador único.
      Solo que ese pagador único será una entidad con ánimo de lucro.
    • ¿No será que una sola empresa terminará siendo dueña de todo?
      Para ser justos, parte de la consolidación también se debe a que los costos de operar el negocio subieron tanto que médicos y farmacéuticos ya no pueden funcionar de forma independiente.
      Se juntaron deudas estudiantiles enormes, servicios de TI y requisitos de cumplimiento normativo, además de costos inmobiliarios absurdos en todas partes.
      Este país parece encaminarse hacia un desenlace cyberpunk en el que las corporaciones son dueñas de las personas.
    • La atención médica se está moviendo hacia la fijación de precios basada en el valor, en una dirección donde el precio corresponderá al valor de nuestras vidas.