Gli ospedali vendono tesori di dati medici: cosa potrebbe andare storto?
Non hanno bisogno del consenso del paziente per utilizzare i dati anonimi
Le organizzazioni sanitarie e gli ospedali negli Stati Uniti siedono tutti su tesori: una scorta di dati sulla salute dei pazienti archiviati come cartelle cliniche elettroniche. Quei file mostrano di cosa sono malate le persone, come sono state trattate e cosa è successo dopo. Presi insieme, sono risorse estremamente preziose per la scoperta medica.
A causa di alcune disposizioni dell’Health Insurance Portability and Accountability Act (HIPAA), le organizzazioni sanitarie sono in grado di mettere a frutto questo tesoro. Fintanto che de-identificano i record, rimuovendo informazioni come nomi dei pazienti, posizioni e numeri di telefono, possono fornire o vendere i dati ai partner per la ricerca. Non hanno bisogno di ottenere il consenso dei pazienti per farlo o addirittura di parlarne.
Sempre più gruppi sanitari stanno approfittando di queste partnership. La Mayo Clinic di Rochester, Minnesota, sta lavorando con le startup per sviluppare algoritmi per diagnosticare e gestire le condizioni sulla base dei dati sanitari. Quattordici sistemi sanitari statunitensi hanno formato una società per aggregare e vendere dati anonimi all’inizio di quest’anno. L’azienda sanitaria HCA ha annunciato un nuovo accordo sui dati con Google a maggio.
Potrebbero esserci dei vantaggi nel condividere questi dati: i ricercatori possono imparare quali tipi di trattamenti sono i migliori per le persone con determinate condizioni mediche e sviluppare strumenti per migliorare le cure. Ma ci sono rischi per i dati a flusso libero, afferma Eric Perakslis, chief science e digital officer presso il Duke Clinical Research Institute. Egli ha delineato i modi in cui il sistema potrebbe potenzialmente danneggiare i pazienti in un recente New England Journal of Medicine articolo con Kenneth Mandl, direttore del programma di salute di calcolo informatico all’ospedale dei bambini Boston.
“NON SEMPRE CAPISCI I RISCHI CHE DERIVANO DAI BENEFICI FINO A DOPO”
“Sono un grande sostenitore degli open data”, afferma Perakslis. “Penso che sia molto facile essere entusiasti dei benefici. Quello che sappiamo con le scienze mediche, tuttavia, è che non sempre comprendi i rischi che derivano dai benefici fino a dopo”.
Perakslis ha parlato con The Verge di cosa potrebbe andare storto e di come proteggere le persone da tali rischi.
Questa intervista è stata leggermente modificata per chiarezza.
Quando le organizzazioni sanitarie hanno iniziato a sfruttare in questo modo i dati delle loro cartelle cliniche elettroniche?
Voglio dire che probabilmente è stato nel 2017 o nel 2018. La cosa che ha davvero spinto tutto questo in overdrive è stata l’ascesa del record linkage che preserva la privacy, che combina i record della stessa persona senza identificarli. Le tecnologie sono perfettamente a posto. Ma fa quasi pensare a molte persone: “Beh, se ho anonimizzato i dati, posso quasi fare tutto ciò che voglio”.
Prima di queste tecnologie, l’unico buon modo per eseguire la de-identificazione era farlo fare a uno statistico. Queste tecnologie lo hanno reso in modo che quasi chiunque potesse farlo. Non sono costosi. Quindi la tecnologia è onnipresente ed è molto facile fare affari e iniziare a commercializzare i dati.
Chi utilizza questi dati e per cosa vengono utilizzati?
Se guardi alla ricerca etica, ci sono molti centri medici accademici con grandi set di dati non identificati e grandi reti di ricerca che sono state ben monitorate e ben progettate. Quello che è successo è che un posto come un centro di risonanza magnetica o una farmacia ha un accordo con un ospedale, ma quell’accordo non proibisce loro di fare nulla con quei dati. Se non hai detto loro esplicitamente che non possono de-identificare e vendere dati, possono farlo. Questo è il tipo di cosa che chiameremmo una fuga di dati.
Quindi ci sono queste grandi reti di dati che si stanno formando, dove le persone mettono i loro dati con quelli di altre persone, e poi quelle grandi reti stanno cercando di vendere a laboratori di ricerca farmaceutici o governativi o luoghi del genere. Alla fine della giornata, tutti cercano di vendere al settore farmaceutico perché è molto redditizio. In tutta onestà, le aziende farmaceutiche non stanno necessariamente cercando di fare qualcosa di meno di qualcosa di completamente etico, per quanto riguarda l’acquisizione dei dati.
Penso che la maggior parte delle istituzioni sanitarie sia interessata a utilizzare i dati a scopo di lucro e per la ricerca. Non credo che ci sia niente di sbagliato in questo se puoi effettivamente dire come stai restituendo il beneficio alla missione principale del luogo.
Quindi diciamo che ho la mia cartella clinica in un ospedale che poi decide di venderla a un’azienda privata che sta costruendo un database sanitario. Non è identificato, quindi il mio nome non c’è. In che modo questo mi mette a rischio?
Ho sempre definito la de-identificazione un placebo per la privacy. Funziona come il termostato di una stanza d’albergo. Ci sono molti modi per aggirarlo.
“HO SEMPRE DEFINITO LA DE-IDENTIFICAZIONE UN PLACEBO PER LA PRIVACY.”
Se viene identificato nuovamente e i dati vengono violati o esposti, ci sono alcune cose che potrebbero succedere. Molte persone utilizzeranno esclusivamente dati medici per fare affermazioni mediche fraudolente, e poi ciò che accade è che la vittima del furto di identità ottiene tutte queste fatture. La tua cartella clinica contiene informazioni finanziarie, quindi c’è il rischio finanziario di ciò. L’altra cosa che può succedere è che se avessi una condizione di cui non volevi che la tua famiglia venisse a conoscenza, o il tuo datore di lavoro o qualcosa del genere, potrebbe essere esposta.
Siamo diventati davvero bravi a non aggiustare nulla quando questo accade. Una volta che i dati sono fuori, è fuori.
Questi sono i rischi. Ma quali sono i vantaggi? In che modo i dati delle cartelle cliniche possono essere effettivamente utilizzati per risolvere i problemi di salute?
L’utilità di esso è assolutamente esagerata. Penso che, alla fine della giornata, le cartelle cliniche elettroniche abbiano dimostrato di essere sistemi di fatturazione piuttosto buoni. Sebbene siano state fatte grandi ricerche su di loro, ciò non significa che la ricerca sia facile. Significa solo che più persone l’hanno preso. Una buona ricerca richiede persone veramente qualificate per farlo. È davvero facile sottovalutare la complessità del problema. La gente mi chiama continuamente con grandi studi, chiedendosi perché non potremmo farlo semplicemente usando i dati delle cartelle cliniche elettroniche. Possiamo fare molte ricerche in questo modo, ma non è sempre una ricerca di alta qualità.
Penso che ci siano vantaggi, conta solo dove stai guardando. Esistono grandi iniziative di dati open source che hanno davvero democratizzato la possibilità per le persone intelligenti di tutto il mondo di accedere a dati di buona qualità per le loro idee.
Sono sicuro che le persone faranno grandi cose. Ma ho avuto lunghe conversazioni con persone in questo mercato e molti di loro credono sinceramente che ciò che stanno facendo aiuterà i pazienti. Ma sono ingenui e ci saranno lacune nei loro metodi che invalideranno la ricerca. È la mentalità “muoviti veloce, rompi le cose”, che è meravigliosa, ma per favore non muoverti velocemente e non rompere le cose nelle cartelle cliniche di mia figlia.
Ci sono altri modi per fare una ricerca migliore che dia anche ai pazienti una maggiore protezione nel processo?
C’è anche l’istituto di ricerca medica tradizionale che ottiene il consenso dei pazienti e utilizza la stessa tecnologia in quel modo consentito. E ottengono l’approvazione dell’IRB. [ Nota: i comitati di revisione istituzionali, o IRB, eseguono revisioni etiche della ricerca che include soggetti umani. ]
Questo viene fatto dal governo, dalle organizzazioni non profit e anche dal settore farmaceutico. Ci sono cose fantastiche là fuori. Quindi immagino che la domanda sia: perché abbiamo bisogno di tutta quest’altra cosa? Se il settore farmaceutico anonimizza e condivide dati in cui i pazienti hanno acconsentito alla ricerca ed è supervisionato da un IRB, se tutto ciò funziona, perché abbiamo bisogno di quest’altra cosa rischiosa? L’IRB esamina anche la validità della ricerca. Nessuno sta esaminando la validità della ricerca di questa roba off-the-grid che sta succedendo.
Pensi che le istituzioni sanitarie o le agenzie di regolamentazione adegueranno qualcosa per bloccare alcune di queste fughe di dati o prevenire alcuni dei rischi per i pazienti?
Qualcosa del genere è come qualsiasi altro tipo di danno medico. Un evento avverso potrebbe essere un punteggio di credito distrutto. Penso che ci siano parti dell’assistenza sanitaria che prendono questo molto sul serio, ma non credo che sia ancora una seconda natura.
Ciò è in parte dovuto al fatto che il gioco è sempre in aumento. Penso che sia molto difficile rimanere sulla curva, soprattutto in medicina. Da un lato, ci sono questi processi tecnologici alla velocità della luce e del crimine informatico in corso, e dall’altro ci sono persone intelligenti che cercano di prendersi cura dei pazienti meglio. E sono solo non corrispondenti.
Ma penso che l’industria potrebbe aiutarsi un po’, essere più aperta e dire che farà di più con il consenso. Oppure [i regolatori] potrebbero rendere illegale la reidentificazione dei dati. Qualcosa che in realtà protegge le persone che ne soffriranno. In realtà non credo che ci sia qualcosa di sbagliato nelle tecnologie. In realtà è più una questione di dire: “Se faremo questo tipo di ricerca, come ci assicuriamo di proteggere le persone che potrebbero esserne danneggiate?”