Você tira da caixa de correio. Está impresso em cores divertidas e amigáveis. Passe o cotonete. Cuspa. Fure o dedo. Envie de volta. Em breve, você aprenderá algo novo sobre si mesmo: seus hormônios, sua fertilidade, seu risco de câncer, sua predisposição ao Alzheimer, seu metabolismo, suas sensibilidades alimentares, ou até mesmo seu genoma inteiro. Esse é o atrativo dos testes de DNA e saúde caseiros ("diretos ao consumidor"). Tarde da noite, pelo celular, você pode pedir praticamente qualquer teste para fazer em casa, esteja você sem seguro, curioso, ou simplesmente ansioso sobre quais segredos seu corpo pode estar escondendo.

Antes de pedir um para mim, fiz uma pequena pesquisa no Google. No começo, estava procurando respostas simples: O teste foi revisado pela FDA? A empresa é coberta pela HIPAA? Um médico explicará os resultados? Quanto mais eu lia, menos simples ficava. A linguagem da FDA era rara, e quando aparecia, geralmente estava ligada a um teste, relatório ou kit de coleta específico — não necessariamente a empresa ou serviço inteiro. Algumas empresas diziam que estavam em conformidade com a HIPAA; outras não. Quase todas citavam laboratórios certificados pelo CLIA ou credenciados pelo CAP, mas esses são apenas padrões de qualidade laboratorial. Aconselhamento e acompanhamento também variavam muito. Isso me levou mais fundo nas letras miúdas: Minhas informações poderiam ser compartilhadas com a polícia, ou usadas para anúncios ou pesquisas?

A resposta estava nas políticas que a maioria das pessoas nunca lê. Mas eu li, para 10 empresas: Everlywell, LetsGetChecked, Labcorp OnDemand, Nebula Genomics / DNA Complete, Nucleus, SiPhox, myLAB Box, CircleDNA, SelfDecode e 23andMe. Entrei em contato com todas as empresas que mencionei para comentar. Também conversei com 12 especialistas em bioética, genética, HIPAA e direito da saúde, regulamentação da FDA, privacidade do consumidor e cibersegurança, embora tenha citado apenas seis deles.

Meu primeiro risco? Não é o lancet, cotonete ou tubo que estou usando para coletar minha amostra biológica. Começa antes, quando peço o teste e provavelmente assumo que, como a empresa lida com dados relacionados à saúde, minhas informações estão protegidas como qualquer outro registro médico. Nos EUA, a HIPAA, a Lei de Portabilidade e Responsabilidade de Seguros de Saúde de 1996, protege informações pessoais de saúde, ou PHI, quando criadas, mantidas ou transmitidas por entidades cobertas e seus associados de negócios. Não é uma lei de privacidade geral para todos.

Anya Prince, professora de direito David H. Vernon na Faculdade de Direito da Universidade de Iowa, estuda privacidade genética e de saúde. Prince disse ao ZDNET que a principal questão é se uma empresa é coberta pela HIPAA. "Laboratórios DTC podem não contar como entidades cobertas", disse Prince. "As informações de saúde que eles têm... seriam regidas pela política de privacidade da empresa, em vez de consideradas PHI." Quando olhei para empresas DTC caseiras populares, fiquei surpreso ao encontrar vários usos da linguagem da HIPAA e algumas lacunas. Everlywell disse que está "comprometida em proteger suas informações de saúde pessoalmente identificáveis" sob a HIPAA. Labcorp disse que é "exigida por lei a manter a privacidade das informações de saúde" sob a HIPAA. Nucleus me disse que está "em conformidade com a HIPAA". SiPhox disse que tem "segurança de nível HIPAA", e myLAB Box disse que as informações e amostras ligadas aos seus kits são "cobertas" pela HIPAA. Para as outras, não consegui encontrar uma página pública atual confirmando que a empresa está em conformidade com a HIPAA ou é coberta por ela.

Julian Gage, fundador da Engage Compliance e diretor de proteção de dados terceirizado para empresas DTC de saúde e testes genéticos, disse ao ZDNET que alegações de "nível HIPAA" e "em conformidade com a HIPAA" são linguagem de marketing, "não proteção". "Criptografia de nível HIPAA é uma declaração sobre uma configuração de segurança", disse Gage. "Não diz nada sobre se a HIPAA realmente se aplica a você ou o que a empresa pode fazer com seus resultados." Por exemplo, ele explicou que quando uma empresa DTC encaminha um pedido através de um médico ou rede de telessaúde, esse clínico ou rede pode ser uma entidade coberta pela HIPAA, e a fatia de dados que ele cria e mantém pode cair sob a HIPAA. Mas isso não traz necessariamente a empresa de teste, ou o