Quando as Ferramentas de IA Lidam com Dados Médicos: Por que as Entidades Cobertas pela HIPAA Não São a Única Preocupação

A funcionalidade de Saúde do ChatGPT, recentemente anunciada pela OpenAI, suscitou questões sérias sobre como as informações pessoais sensíveis são protegidas quando os utilizadores confiam os seus registos médicos a plataformas de inteligência artificial. Embora a empresa afirme ter implementado salvaguardas, os defensores da privacidade argumentam que as regulamentações existentes criam lacunas perigosas na proteção do consumidor.

A Lacuna na Proteção da Privacidade Além das Entidades Cobertas pela HIPAA

Aqui está a distinção crítica que a maioria dos utilizadores não percebe: os dados de saúde recebem um tratamento legal diferente dependendo de quem os detém. Quando entidades cobertas pela HIPAA—como hospitais, seguradoras ou consultórios médicos—guardam as suas informações médicas, aplicam-se regras estritas de privacidade. No entanto, empresas de tecnologia, plataformas de IA e desenvolvedores de aplicações de saúde operam num espaço amplamente não regulado.

Andrew Crawford, conselheiro sénior de políticas no Center for Democracy and Technology, destaca esta disparidade: “As regras de privacidade da HIPAA aplicam-se quando os seus dados de saúde são detidos pelo seu médico ou companhia de seguros. O mesmo não acontece com entidades não cobertas pela HIPAA, como desenvolvedores de aplicações de saúde, rastreadores vestíveis ou empresas de IA.” Isto significa que o ChatGPT Health, apesar da encriptação e do armazenamento separado, não está sujeito aos mesmos padrões de conformidade que os prestadores tradicionais de cuidados de saúde.

A Abordagem da OpenAI para a Nova Funcionalidade

O ChatGPT Health permite aos utilizadores fazer upload de registos médicos e informações de bem-estar diretamente na plataforma. A OpenAI afirma que a ferramenta foi concebida para ajudar os utilizadores a compreenderem a sua saúde, em vez de fornecer serviços de diagnóstico ou tratamento. A empresa enfatiza que partilhará apenas informações gerais e factuais de saúde e marcará cenários de alto risco para consulta com profissionais de saúde reais.

A implementação começa esta semana para utilizadores selecionados fora da UE e do Reino Unido, com o acesso via iOS e web a expandir-se nas próximas semanas.

A Preocupação Mais Profunda: Quem Controla os Seus Dados?

J.B. Branch, defensor da responsabilização das grandes empresas tecnológicas na Public Citizen, aponta que a autorregulação não é suficiente. “Mesmo quando as empresas afirmam ter salvaguardas de privacidade, os consumidores muitas vezes não têm consentimento significativo, transparência ou controlo sobre como os seus dados são utilizados, retidos ou reutilizados,” afirmou Branch. “Os dados de saúde são particularmente sensíveis e, sem limites legais claros e supervisão exequível, as salvaguardas autoimpostas simplesmente não conseguem proteger as pessoas de uso indevido, reidentificação ou danos subsequentes.”

A questão vai além do uso atual. A OpenAI afirma que as conversas de saúde não treinarão os seus modelos de base, mas a ausência de legislação federal abrangente de privacidade significa que há pouco para impedir a reutilização futura desses dados.

A Dimensão Crescente da Saúde Mental

O momento do lançamento do ChatGPT Health é notório. A OpenAI já revelou que mais de 1 milhão de utilizadores discutem semanalmente com o ChatGPT sobre suicídio e crises de saúde mental—representando aproximadamente 0,15% da sua base de utilizadores. Este volume evidencia como a plataforma se tornou num recurso de facto para a saúde mental, ainda que sem o quadro regulatório que normalmente governa dados psicológicos sensíveis.

O Verdadeiro Problema: a Carga Sobre o Consumidor num Ambiente Não Regulamentado

Crawford enfatiza que a política federal transferiu essencialmente a responsabilidade para os utilizadores individuais. “As nossas leis atuais colocam a responsabilidade nos consumidores de analisarem se estão confortáveis com a forma como a tecnologia que usam diariamente lida com os seus dados,” explicou. “A ausência de uma lei federal abrangente de privacidade que regule os dados de saúde detidos por empresas de tecnologia significa que os indivíduos têm de fazer as suas próprias avaliações de risco.”

Ao contrário das entidades cobertas pela HIPAA, obrigadas por obrigações legais, empresas como a OpenAI definem os seus próprios padrões de privacidade. Sem intervenção federal ou regulamentações atualizadas que considerem os dados de saúde detidos por IA, é provável que este desequilíbrio persista.