Google e a Universidade de Chicago são processados pelo compartilhamento de dados
28 de junho de 2019Segundo o The New York Times, o Centro Médico da Universidade de Chicago anunciou uma parceria para compartilhar dados de pacientes com o Google em 2017, a aliança foi promovida como uma forma de desbloquear informações presas em registros eletrônicos de saúde e melhorar a análise preditiva em medicina.
Na quarta-feira, a Universidade de Chicago, o centro médico e o Google foram processados em uma potencial ação coletiva acusando o hospital de compartilhar centenas de milhares de registros de pacientes com o gigante da tecnologia sem descascar selos de data ou anotações médicas.
O processo, apresentado no Tribunal Distrital dos Estados Unidos para o Distrito Norte de Illinois, demonstra as dificuldades que as empresas de tecnologia enfrentam ao manipular dados de saúde enquanto avançam em uma das mais promissoras – e potencialmente lucrativas – áreas de inteligência artificial: diagnosticando problemas médicos .
O Google está na vanguarda de um esforço para desenvolver uma tecnologia que possa ler registros eletrônicos de saúde e ajudar médicos a identificar condições médicas.
Mas o esforço exige que as máquinas aprendam essa habilidade, analisando uma vasta gama de antigos registros de saúde coletados por hospitais e outras instituições médicas.
Isso gera preocupações com a privacidade, especialmente quando é usado por uma empresa como o Google, que já sabe o que você procura, onde você está e que interesses você tem.
Em 2016, a DeepMind, um laboratório de inteligência artificial sediado em Londres e pertencente à empresa controladora do Google, a Alphabet, foi acusada de violar a privacidade dos pacientes depois de firmar um acordo com o Serviço Nacional de Saúde da Grã-Bretanha para processar dados médicos para pesquisa.
O grupo dentro da DeepMind que adquiriu os dados do Serviço Nacional de Saúde já foi transferido para o Google, que levantou mais reclamações de defensores da privacidade na Grã-Bretanha.
A DeepMind disse anteriormente que os dados nunca seriam compartilhados com o Google. Ao absorver a unidade de saúde da DeepMind, o Google disse que estava construindo “um assistente de AI para enfermeiros e médicos”.
Um porta-voz do Google disse em comunicado que seguiu as diretrizes do Health Insurance Portability e Accountability Act, ou Hipaa, que permitem divulgar informações pessoais de saúde sem autorização em certas instâncias para fins de pesquisa.
“Acreditamos que nossa pesquisa sobre saúde pode ajudar a salvar vidas no futuro, e é por isso que levamos a privacidade a sério e seguimos todas as regras e regulamentações relevantes em nosso tratamento de dados de saúde”, disse o porta-voz, José Castaneda.
A Universidade de Chicago negou as acusações.
“As alegações neste processo são sem mérito”, disse Lorna Wong, porta-voz do Centro Médico da Universidade de Chicago, em um comunicado. “O Centro Médico da Universidade de Chicago cumpriu as leis e regulamentos aplicáveis à privacidade do paciente”.
A aliança do Google com a Universidade de Chicago espelhou outras parcerias que a empresa conseguiu para obter registros eletrônicos de saúde de outros hospitais, incluindo a Universidade de Stanford e a Universidade da Califórnia, em San Francisco.
Mas o acordo com o centro médico da Universidade de Chicago violou a privacidade do paciente, afirma o processo, porque esses registros também incluíam carimbos de data de quando os pacientes faziam check-in e check-out do hospital.
Em um trabalho de pesquisa publicado no ano passado pelo Google sobre “Aprendizado Profundo Escalável e Aprimorado para Registros Eletrônicos de Saúde”, a empresa afirmou ter usado dados de prontuários eletrônicos de pacientes da Universidade de Chicago Medicine de 2009 a 2016.
Os registros incluíram dados demográficos, diagnósticos, procedimentos, medicação e outros dados do paciente. O documento declara que os registros foram “desidentificados”, exceto que “as datas de serviço foram mantidas”.
O documento também observou que a Universidade de Chicago havia fornecido “anotações médicas de texto livre” que foram desidentificadas.
O Hipaa, o regulamento federal que protege os dados de saúde confidenciais dos pacientes, permite que os provedores médicos tenham permissão para compartilhar registros médicos, desde que os dados sejam “desidentificados”.
Para atender ao padrão Hipaa, os hospitais devem retirar informações individualmente identificáveis, como o nome do paciente e o número da Previdência Social, bem como as datas diretamente relacionadas ao indivíduo, incluindo as datas de admissão e de alta.
A ação afirma que a inclusão de datas foi uma violação das regras do Hipaa, em parte porque o Google poderia combiná-las com outras informações que já conhecia, como dados de localização de smartphones rodando seu software Android ou Google Maps e Waze, para estabelecer a identidade dos pacientes. os registros médicos.
“Acreditamos que este não é apenas o caso mais significativo de violação de dados de cuidados de saúde na história do nosso país, mas é o mais notório, dadas as alegações de que os dados foram entregues voluntariamente”, disse Jay Edelson, fundador da Edelson PC. empresa especializada em ações de classe contra empresas de tecnologia por violações de privacidade.
O processo, aberto em nome de Matt Dinerstein, que se hospedou no University of Chicago Medical Center em duas ocasiões em junho de 2015, não ofereceu evidências de que o Google usou indevidamente as informações fornecidas pelo centro médico ou fez tentativas para identificar os pacientes.
A denúncia acusa a universidade de fraude do consumidor e práticas comerciais fraudulentas porque nunca recebeu o consentimento expresso dos pacientes para divulgar os registros médicos ao Google.
Em um acordo de privacidade, a universidade disse que manteria as informações médicas confidenciais e cumpriria os regulamentos da Hipaa. O processo também acusa o Google de enriquecimento sem causa.
Stacey A. Tovino, professora de direito da saúde na Universidade de Nevada, em Las Vegas, disse que o Hipaa foi promulgado em 1996 antes de a indústria de tecnologia começar a coletar grandes quantidades de informações pessoais.
Isso tornou os regulamentos desatualizados porque a ideia de quais informações são consideradas individualmente identificáveis mudou com os avanços da tecnologia.