O que o hack da Sony pode ensinar a você sobre privacidade de saúde

Deixando de lado as fofocas da Juicy Hollywood e o cancelamento do lançamento do filme, há outra consequência do hack da Sony que foi menos divulgada, mas potencialmente mais séria: a liberação de materiais confidenciais sobre contas médicas e condições de saúde dos funcionários, alguns incluindo nomes e informações identificáveis.

Entre os e-mails e documentos roubados da Sony Pictures Entertainment - divulgados nas últimas semanas por um grupo de hackers conhecido como Guardiões da Paz - estava uma planilha tirada de um servidor de recursos humanos detalhando as altas contas médicas de 34 funcionários e suas famílias.

Esses funcionários não foram mencionados na planilha. Mas informações potencialmente identificáveis ​​(como datas de nascimento e sexo) acompanhavam as contas de custos médicos e condições para as quais as pessoas estavam sendo tratadas, como câncer, insuficiência renal, cirrose hepática alcoólica e nascimentos prematuros.

Outros documentos vazados incluíam nomes, além de menções de pedidos de seguro rejeitados para filhos ou cônjuges de funcionários. O Bloomberg.com relata que, em um memorando, o departamento de RH da Sony 'deu muitos detalhes sobre o tipo de tratamento que a criança estava recebendo, como a criança estava se saindo, a localização das instalações e as conversas que a seguradora teve com os prestadores de cuidados da criança'.

Esse tipo de violação pode ser assustador - até mesmo uma mudança de vida - para as pessoas diretamente afetadas. Mas também deve ser preocupante para qualquer pessoa que esteja se perguntando sobre seus próprios direitos de privacidade, o quanto as empresas devem saber sobre os registros de saúde de seus funcionários e quão seguros esses registros realmente são.

Os americanos são protegidos pelo Health Health Ato de Portabilidade e Responsabilidade de Seguros de 1996, também conhecido como HIPAA, que estabelece regras sobre quem pode acessar seus registros médicos e de seguro - e isso se aplica a informações eletrônicas, escritas ou orais. De acordo com a HIPAA, sua seguradora não pode compartilhar informações médicas identificáveis ​​com seu empregador sem o seu consentimento.

Mas os funcionários muitas vezes consentem (às vezes sem perceber) assinando papéis quando são contratados, diz Lara Cartwright-Smith , JD, MPH, professor associado de pesquisa na Escola de Saúde Pública do Instituto Milken da Universidade George Washington e codiretor da HealthInfoLaw.org. Eles também podem revelar informações confidenciais voluntariamente, por exemplo, ao buscar ajuda de seu departamento de benefícios para obter a aprovação de sinistros.

O HIPAA não se aplica à maioria dos empregadores, apenas a planos de saúde e prestadores de cuidados de saúde. uma vez que seu empregador tem informações de saúde confidenciais, não é necessário protegê-las da mesma maneira. E, geralmente, os direitos de privacidade não são protegidos no caso de um crime, diz Cartwright-Smith, assumindo que a vítima desse crime (a Sony, neste caso) fez tudo ao seu alcance para evitá-lo.

'Pense nisso como se alguém invadisse o consultório do seu médico e roubasse seu prontuário', diz ela. - Seu médico não fez nada de errado, então provavelmente ele não será responsabilizado. E os arquivos digitais hoje em dia podem ser tão seguros ou desprotegidos quanto os arquivos de papel. '

Enviar e-mails sobre reclamações de funcionários ou manter arquivos de contas médicas caras não parece problemático em si, acrescenta Cartwright-Smith, assumindo os materiais estavam sendo usados ​​para fins comerciais legítimos e não para fins invasivos ou discriminatórios.

Pam Dixon, diretora executiva da organização sem fins lucrativos World Privacy Forum, concorda que uma planilha de altos custos médicos 'provavelmente não é uma lista incomum para ver no departamento de RH. ' Mas ela diz que a Sony tem a obrigação de manter essas informações protegidas e de limitar riscos desnecessários. 'Eu certamente consideraria uma prática recomendada não discutir questões de saúde dos funcionários em e-mails e de formas não seguras.'

E a Sony pode ser responsabilizada se for descoberto que a empresa não tomou as medidas necessárias para protegê-los materiais, ela diz. Dixon cita o caso recente de uma clínica de saúde mental no Alasca que foi hackeada e posteriormente multada pelo governo por não atualizar seu software de proteção contra vírus.

'Acho que este é um divisor de águas para informações confidenciais, “Dixon diz. 'Se você não se manteve atualizado com sua segurança, se não está fornecendo proteção realmente de última geração para esse tipo de informação sensível, você tem a responsabilidade.'

Sob Segundo a Regra de Notificação de Violação de Saúde da Federal Trade Commission, as empresas que coletam informações pessoais de saúde devem notificar os funcionários se essas informações forem comprometidas ou vazadas, diz Dixon. A Califórnia também tem suas próprias leis que exigem que os empregadores mantenham os registros médicos protegidos e notifiquem os funcionários em caso de violação.

Na verdade, ex-funcionários da Sony esta semana entraram com dois processos diferentes de ação coletiva contra a Sony por não proteger seus dados e por não notificá-los sobre o hack em tempo hábil. Eles afirmam que a Sony conhecia os pontos fracos da segurança digital há anos e não tomou precauções como o uso de firewalls, criptografia de arquivos e armazenamento de dados em redes protegidas. A Sony Pictures não retornou imediatamente os pedidos de saúde para comentários sobre o processo.

Você pode não ser capaz de manter todas as suas informações de saúde privadas de seus empregadores - eles têm o direito de pedir atestados médicos, justificativa para licença familiar ou informações médicas que podem afetar diretamente a forma como você faz seu trabalho, mas você pode limitar o que eles têm acesso.

'Leia tudo antes de assinar quando estiver preenchendo a papelada do seguro ou qualquer coisa relacionada a um programa de bem-estar no local de trabalho, 'diz Cartwright-Smith,' e certifique-se de entender onde suas informações de saúde serão compartilhadas. '

Dixon diz que o hack da Sony provavelmente forçará outras empresas a aceitar olhar para sua própria segurança e, com sorte, implementar novas proteções em todos os setores. Para ter certeza de que seu empregador está prestando atenção, basta perguntar.

'Para qualquer pessoa que tenha uma condição crônica de saúde ou que tenha uma família com uma condição crônica, não é uma coisa terrível ir ao RH e dizer:' Estou realmente preocupado com o que aconteceu; quais procedimentos você possui para garantir que isso não aconteça aqui? ' 'Acredito que a maioria dos empregadores, neste momento, está colocando em alta prioridade a revisão desses procedimentos.'

Os funcionários também podem se proteger solicitando e mantendo sua própria cópia de seu registro médico atual de seu seguro empresa e seu médico, diz Dixon. Dessa forma, se alguém roubar suas informações de saúde e usá-las para buscar tratamento médico - um crime conhecido como roubo de identidade médica - você terá uma cópia "antes" para ajudar a separar as entradas legítimas das ilegais.

Manter informações privadas de saúde fora das mídias sociais também pode protegê-lo no caso de seus registros médicos serem hackeados ou compartilhados ilegalmente, diz Dixon. 'Se você postou informações em outro lugar que não estava protegido, pode perder muitos de seus direitos de confidencialidade.'

Finalmente, ela diz, não inclua informações pessoais em correspondências de trabalho e evite discutir problemas de saúde graves com colegas de trabalho. 'Se houver uma conversa casual em torno do bebedouro, não há problema, mas mantenha a calma e evite o e-mail.'