A principios de este mes, Epic, junto con un puñado de proveedores de atención médica, presentó una demanda federal contra la red de datos de atención médica Health Gorilla, buscando detener un supuesto plan para explotar y monetizar los registros de pacientes sin consentimiento.
En última instancia, la disputa refleja ambigüedades no resueltas sobre cómo se debe regular la interoperabilidad de los datos en toda la industria de la salud. Los expertos dicen que la demanda tiene menos que ver con detener a un solo malhechor y más con la necesidad de establecer reglas estandarizadas y límites al intercambio de datos de salud.
Presunta conspiración para monetizar datos de pacientes
la denunciaLa demanda, presentada el 13 de enero, alegaba que Health Gorilla permitió a otras empresas acceder y monetizar indebidamente casi 300.000 registros médicos de pacientes. Health Gorilla ha negado las acusaciones.
Los demandantes son Epic, Trinity Health, Salud conmemorativa de la Universidad de MassachusettsSalud Reid y Ochin. Alegan que Health Gorilla y una red de otras empresas crearon proveedores de atención médica ficticios, sitios web fantasma e identificaciones de proveedores falsas para que pareciera que las solicitudes de registros tenían como objetivo un tratamiento genuino. En cambio, los datos supuestamente se desviaron para fines no relacionados con el tratamiento, como marketing dirigido a abogados que buscaban posibles demandantes para demandas.
Las otras empresas involucradas en la red son un grupo de pequeñas empresas fantasma, de telemedicina y de datos, muchas de las cuales supuestamente están vinculadas a los mismos fundadores y operadores, y que, según los demandantes, se hicieron pasar por proveedores legítimos.
La demanda también afirma que los acusados insertaron información “basura” en los registros para ocultar sus actividades y crear la apariencia de atención genuina, lo que a su vez puso en peligro la seguridad del paciente y hizo perder tiempo a los médicos.
Cuando se descubrió una empresa fraudulenta, los mismos actores supuestamente crearon nuevas empresas para continuar con el mismo comportamiento, actuando “como una hidra”, dice la demanda.
La demanda alega violaciones de HIPAA y otras regulaciones de privacidad federales y estatales. También señaló que el plan amenazaba tanto la privacidad de los pacientes como la integridad de los sistemas interoperables de intercambio de datos sanitarios.
Los demandantes solicitan una orden judicial para detener de inmediato la supuesta mala conducta.
Según Sanidad, el gorila está “totalmente preparado” para defender su comportamiento opinión Publicado esta semana por el director ejecutivo Bob Watson.
“La demanda de Epic no solo no proporciona todos los hechos, sino que también refleja el uso irresponsable del litigio como arma en lugar de hacer afirmaciones serias. Como sabe Epic, cuando Health Gorilla se enteró de las acusaciones que Epic hace en su demanda, inmediatamente puso fin a las afiliaciones en cuestión y comenzó a investigar su uso de la información de salud”, explicó Watson.
Aunque la investigación de Health Gorilla está en curso, los compuestos en cuestión siguen suspendidos, añadió.
Watson también dijo que “Epic ha hecho el equivalente a gritar ‘fuego’ en medio de un teatro lleno de gente cuando se trata de interoperabilidad”, sugiriendo que las afirmaciones del gigante de EHR podrían alarmar innecesariamente a la industria e interrumpir el progreso hacia el intercambio legítimo de datos.
Interoperabilidad versus gobernanza
La cuestión central de este litigio no es la interoperabilidad sino la gobernanza, enfatizó Jackie Mattingly, directora senior de servicios de consultoría de la firma de cumplimiento y seguridad sanitaria Clearwater.
“No es que la interoperabilidad esté fallando, es la gobernanza la que se está quedando atrás. Obviamente necesitamos interoperabilidad, porque viajamos y vamos a diferentes lugares y nuestros datos deben ser accesibles. Pero la gobernanza no se ha puesto al día”, explicó.
Mattingly señaló que una vez que los datos salen del EHR, la gobernanza se debilita. Si bien los hospitales suelen tener controles estrictos dentro de sus EHR, el control puede fallar cuando los datos fluyen hacia plataformas externas, herramientas de análisis y terceros. La responsabilidad no termina cuando los datos salen de Epic, afirmó.
Ella cree que los controles de acceso deben ser más estrictos y dice que otorgar acceso a los datos no debería ser un proceso de “configúrelo y olvídese”. Las organizaciones de atención médica necesitan controles de acceso dedicados y una reevaluación continua para determinar si aún está justificado compartir datos, explicó Mattingly.
Esta brecha entre la interoperabilidad técnica y la rendición de cuentas se considera cada vez más como una falla sistémica en la infraestructura actual de intercambio de datos. Otro líder de la atención médica, Tyler Giesting, director de fusiones y adquisiciones de atención médica en West Monroe, dijo que la demanda expone deficiencias y ambigüedades en las reglas actuales de TEFCA para el intercambio de datos clínicos. El Marco de Intercambio Confiable y Acuerdo Común (TEFCA) es una iniciativa federal para estandarizar reglas y estándares técnicos para el intercambio nacional de información de salud.
El marco es nuevo y aún está en evolución, por lo que carece de definiciones claras y aplicables sobre quién puede acceder a los datos y con qué fines, señaló Giesting.
Para él, este caso resalta la necesidad de estándares más estrictos, posiblemente federales, para el intercambio de datos a nivel nacional.
Y no es el único litigio reciente que ha arrojado luz sobre este tema: en los últimos dos años también se han visto casos judiciales contra corredores de datos como BetterHelp y Meta por el presunto uso indebido de datos de salud sensibles, así como disputas entre proveedores de EHR y redes de interoperabilidad sobre cómo compartir información de pacientes.
Los proveedores también están preocupados por el problema. La semana pasada, más de 60 sistemas de salud, incluidos Stanford Health Care y NYU Langone Health, envió una carta a Mariann Yeager, directora ejecutiva de The Sequoia Project, una organización sin fines de lucro que influye en la gobernanza de las redes de intercambio de datos de salud y pide una mejor supervisión y transparencia.
Cerrar brechas
Giestling cree que la industria se beneficiaría si pasara a un sistema de “confiar pero verificar”.
“(TEFCA) es un modelo basado en la confianza. Creo que la demanda quizás resalte que puede ser necesario algún tipo de cambio hacia un modelo de ‘confiar pero verificar'”. ¿La persona que solicita la información de salud es quien dice ser? ¿Y tiene una razón legítima para obtener los registros médicos? Esto no se entiende del todo en el marco actual”, explicó.
Giestling añadió que TEFCA también tiene zonas grises en relación con el uso de datos de terceros. El marco no aborda claramente escenarios en los que se solicitan datos para fines ajenos a la atención directa al paciente. Por lo tanto, Health Gorilla podría argumentar que, como red de información sanitaria calificada designada, ha seguido las normas existentes y las directrices de TEFCA.
La demanda podría hacer que las organizaciones sanitarias sean más cautelosas a la hora de compartir datos, predijo Giestling. Él cree que algunas empresas pueden limitar la participación en TEFCA o el intercambio de datos para evitar riesgos legales o de privacidad.
Señaló que esto podría ralentizar el progreso en la interoperabilidad en toda la industria hasta que haya una orientación federal más clara, haciéndose eco de las preocupaciones del director ejecutivo de Health Gorilla, Watson.
A pesar de estas tensiones a corto plazo, la interoperabilidad es demasiado central para la atención médica (en términos de control de costos, mejoras en la atención basada en datos e innovación en la investigación clínica) como para desaparecer, dijo Giestline.
Señaló que el caso subraya un patrón más amplio: la innovación del sector privado avanza más rápido que la regulación, particularmente en la atención médica.
“Creo que el sector privado en general está fijando el listón para la siguiente fase. Incluso en la IA, habrá innovación, y luego las medidas regulatorias se pondrán al día. Creo que eso es lo que está sucediendo aquí, y simplemente muestra la importancia de una coordinación muy estrecha entre empresas en el ecosistema tecnológico como Epic y Health Gorilla”, señaló Giesling.
Fortalecer la supervisión para proteger la confianza
Para mejorar el intercambio de datos en todo el sector, los marcos de interoperabilidad deben hacer cumplir las reglas activamente, no solo mover datos, dijo Jason Prestinario, director ejecutivo de la plataforma de datos Particle Health.
Sostuvo que marcos como TEFCA y Carequality no pueden ser “canales pasivos” y que necesitan una mejor supervisión, seguimiento del cumplimiento y aplicación de la ley. Si no lo hacen, la confianza colapsa, afirmó.
Particle Health está lidiando con su propia demanda contra Epic, aunque Epic es el demandado en este caso, no el demandante. En septiembre de 2024, Particle Health demandó a Epic por afirmaciones de que el proveedor de EHR estaba utilizando su dominio del mercado para evitar la competencia en el espacio de las plataformas de pago. La denuncia alega que Epic implementó barreras técnicas y contractuales que limitaron el acceso a los datos de los pacientes, impidiendo efectivamente que los competidores construyeran plataformas competitivas para los pagadores. En septiembre pasado, un juez federal siguió adelante con la demanda antimonopolio.
Aunque Particle y Epic actualmente no tienen la relación más amigable, Prestinario todavía cree que Epic plantea preocupaciones legítimas sobre actividades sospechosas y la necesidad de salvaguardias más estrictas al compartir datos de salud.
Señaló que en su denuncia, Epic había expresado su preocupación a Health Gorilla y otros participantes de la red sobre el acceso a datos sospechosos y el posible uso indebido de los registros de los pacientes varios meses antes de que se presentara la demanda.
“Suponiendo que este cronograma sea correcto, esto es inaceptable. Pone a todos los implementadores, incluido Particle, en una posición difícil”, explicó Prestinario.
En otras palabras, si las afirmaciones de Epic son ciertas, entonces esta falta de transparencia y una gobernanza inadecuada de los datos plantean un riesgo sistémico para la interoperabilidad y la competencia en el ecosistema de datos de salud.
Según se informa, Epic no tenía idea de qué se estaba investigando y cómo. Advirtió que esta falta de transparencia podría socavar la confianza y limitar el acceso legítimo a los datos.
En su opinión, escándalos como este tienen dos efectos perjudiciales: a menudo conducen a una menor participación en el intercambio nacional de datos sanitarios y a restricciones más estrictas en el acceso a los datos necesarios bajo el pretexto de la seguridad.
“Cada escándalo se convierte en un motivo para restringir el acceso, y me preocupa que esto cree una dinámica en la que Epic termine diciendo: ‘Nos hemos desviado completamente de este marco’. La respuesta a todo esto no es menos interoperabilidad. No es nuestro trabajo desviarnos de la democratización del acceso legítimo a los datos. Significa una mejor aplicación de las reglas por parte de todas las partes”, señaló Prestinario.
Espera que la industria pueda reforzar las medidas de seguridad y al mismo tiempo garantizar el acceso a los datos.
Foto: Aitor Diago, Getty Images
