Am citit eu literele mici de pe testele ADN de acasă ca să nu trebuiască tu – Iată ce cedezi de fapt cu proba ta de salivă

Îl scoți din cutia poștală. E tipărit în culori vesele, prietenoase. Ștergi. Scuipi. Înțepi degetul. Trimiți înapoi. În curând, vei afla ceva nou despre tine: hormonii tăi, fertilitatea ta, riscul de cancer, predispoziția la Alzheimer, metabolismul, sensibilitățile alimentare sau chiar întregul tău genom. Aceasta este ispita testelor ADN și de sănătate de acasă („direct-to-consumer”). Noaptea târziu, de pe telefon, poți comanda aproape orice test de făcut acasă, fie că ești neasigurat, curios sau pur și simplu îngrijorat de ce secrete poate ascunde corpul tău.

Înainte să comand unul, am făcut un mic Google. La început, căutam răspunsuri simple: Testul a fost revizuit de FDA? Compania este acoperită de HIPAA? Un doctor va explica rezultatele? Cu cât citeam mai mult, cu atât devenea mai puțin simplu. Limbajul FDA era rar, iar când apărea, era de obicei legat de un test, raport sau kit de colectare specific – nu neapărat de întreaga companie sau serviciu. Unele companii spuneau că sunt conforme HIPAA; altele, nu. Aproape toate citeau laboratoare certificate CLIA sau acreditate CAP, dar acestea sunt doar standarde de calitate a laboratoarelor. Consilierea și îngrijirea ulterioară variau, de asemenea, foarte mult. Asta m-a trimis mai adânc în literele mici: Ar putea informațiile mele să fie împărtășite cu autoritățile, sau folosite pentru reclame sau cercetare?

Răspunsul era în politicile pe care majoritatea oamenilor nu le citesc niciodată. Dar eu am făcut-o, pentru 10 companii: Everlywell, LetsGetChecked, Labcorp OnDemand, Nebula Genomics / DNA Complete, Nucleus, SiPhox, myLAB Box, CircleDNA, SelfDecode și 23andMe. Am contactat fiecare companie menționată pentru comentarii. Am vorbit și cu 12 experți în bioetică, genetică, HIPAA și dreptul sănătății, reglementare FDA, confidențialitatea consumatorilor și securitate cibernetică, deși am citat doar șase dintre ei.

Primul meu risc? Nu este lanceta, ștergătorul sau tubul pe care îl folosesc pentru a colecta proba biologică. Începe mai devreme, când comand testul și probabil presupun că, deoarece compania manipulează date legate de sănătate, informațiile mele sunt protejate ca orice altă înregistrare medicală. În SUA, HIPAA, Legea privind portabilitatea și responsabilitatea asigurărilor de sănătate din 1996, protejează informațiile personale de sănătate, sau PHI, atunci când sunt create, menținute sau transmise de entități acoperite și asociații lor de afaceri. Nu este o lege generală a confidențialității pentru toată lumea.

Anya Prince, profesor de drept David H. Vernon la Facultatea de Drept a Universității din Iowa, studiază confidențialitatea genetică și a sănătății. Prince a spus pentru ZDNET că întrebarea principală este dacă o companie este acoperită de HIPAA. „Laboratoarele DTC s-ar putea să nu conteze ca entități acoperite,” a spus Prince. „Informațiile de sănătate pe care le au... ar fi guvernate de politica de confidențialitate a companiei, mai degrabă decât considerate PHI.” Când m-am uitat la companiile populare DTC de acasă, am fost surprins să găsesc mai multe utilizări ale limbajului HIPAA și unele lacune. Everlywell a spus că este „angajată să protejeze informațiile tale personale de sănătate identificabile” în conformitate cu HIPAA. Labcorp a spus că este „obligată prin lege să mențină confidențialitatea informațiilor de sănătate” în conformitate cu HIPAA. Nucleus mi-a spus că este „conform HIPAA”. SiPhox a spus că are „securitate de nivel HIPAA”, iar myLAB Box a spus că informațiile și probele legate de kiturile sale sunt „acoperite” de HIPAA. Pentru celelalte, nu am putut găsi o pagină publică actuală care să confirme că compania este conformă HIPAA sau acoperită de HIPAA.

Julian Gage, fondatorul Engage Compliance și ofițer de protecție a datelor externalizat pentru companiile DTC de testare genetică și de sănătate, a spus pentru ZDNET că afirmațiile „de nivel HIPAA” și „conform HIPAA” sunt limbaj de marketing, „nu protecție”. „Criptarea de nivel HIPAA este o afirmație despre o setare de securitate,” a spus Gage. „Nu spune nimic despre dacă HIPAA se aplică de fapt ție sau ce poate face compania cu rezultatele tale.” De exemplu, el a explicat că atunci când o companie DTC direcționează o comandă printr-un medic sau o rețea de telemedicină, acel clinician sau rețea poate fi o entitate acoperită de HIPAA, iar porțiunea de date pe care o creează și o păstrează poate cădea sub incidența HIPAA. Dar asta nu aduce neapărat compania de testare, sau restul datelor, sub aceeași umbrelă.