A principios de este mes, Epic, junto con un grupo de proveedores de salud, presentó una demanda federal contra la red de datos sanitarios Health Gorilla. El objetivo es detener un presunto plan para explotar y monetizar historiales médicos de pacientes sin su consentimiento.
En esencia, este conflicto refleja ambigüedades no resueltas sobre cómo debe regirse la interoperabilidad de datos en el sector sanitario. Los expertos consideran que la demanda no se centra tanto en detener a un mal actor, sino en la necesidad de definir reglas y límites estandarizados para el intercambio de información médica.
Presunta conspiración para monetizar datos de pacientes
La denuncia, presentada el 13 de enero, alega que Health Gorilla permitió a otras empresas acceder y monetizar de forma indebida casi 300.000 historiales clínicos. Health Gorilla ha rechazado las acusaciones.
Los demandantes—Epic, Trinity Health, UMass Memorial Health, Reid Health y OCHIN— sostienen que Health Gorilla y una red de empresas crearon proveedores sanitarios ficticios, sitios web falsos e identificaciones fraudulentas para simular que las solicitudes de datos eran con fines de tratamiento real. En cambio, presuntamente desviaban la información para usos no clínicos, como el mercadeo dirigido a abogados en busca de demandantes potenciales.
Las otras empresas involucradas son un conglomerado de pequeñas compañías de telesalud, datos y fachada—muchas vinculadas supuestamente a los mismos fundadores—que, según los demandantes, se utilizaron para hacerse pasar por proveedores legítimos.
La denuncia también indica que los acusados insertaron información falsa o “basura” en los registros para ocultar su actividad y simular una atención genuina, lo que a su vez puso en riesgo la seguridad de los pacientes y desperdició el tiempo de los clínicos.
Según la demanda, cuando una entidad fraudulenta era descubierta, los mismos actores creaban nuevas empresas para continuar con el mismo modus operandi, operando “como una Hidra”.
La demanda alega violaciones de HIPAA y otras protecciones federales y estatales de privacidad. Además, enmarca el esquema como una amenaza tanto para la privacidad del paciente como para la integridad de los sistemas de intercambio interoperable de datos de salud.
Los demandantes buscan una medida cautelar para poner fin de inmediato a la presunta conducta ilícita.
Health Gorilla está “completamente preparada” para defender su actuación, según un comunicado de su CEO, Bob Watson, emitido esta semana.
“La demanda de Epic no solo omite datos esenciales, sino que refleja un uso irresponsable del litigio como arma, en vez de para abordar reclamos serios. Como Epic sabe, cuando Health Gorilla tuvo conocimiento de las alegaciones, suspendió inmediatamente las conexiones en cuestión e inició una investigación sobre el uso de los datos sanitarios”, declaró Watson.
Añadió que, aunque la investigación interna sigue en curso, las conexiones implicadas permanecen suspendidas.
Watson también afirmó que, en materia de interoperabilidad, “Epic ha hecho el equivalente a gritar ‘¡fuego!’ en un teatro lleno de gente”, sugiriendo que las acusaciones del gigante de historiales médicos electrónicos podrían alarmar innecesariamente al sector y afectar el progreso hacia un intercambio de datos legítimo.
Interoperabilidad frente a gobernanza
El verdadero problema de esta batalla legal no es la interoperabilidad, sino la gobernanza, señaló Jackie Mattingly, directora senior de servicios de consultoría en la firma de seguridad y cumplimiento sanitario Clearwater.
“No es un caso sobre el fracaso de la interoperabilidad, es la gobernanza la que va rezagada. Obviamente necesitamos interoperabilidad—porque viajamos, vamos a distintos lugares y nuestros datos deben ser accesibles. Pero la gobernanza no ha avanzado a la par”, declaró.
Mattingly observó que la gobernanza se debilita una vez que los datos salen del historial electrónico. Mientras los hospitales suelen tener controles rigurosos dentro de sus propios sistemas, la supervisión puede desmoronarse cuando la información fluye hacia plataformas externas, herramientas de análisis y terceros. La responsabilidad no termina cuando los datos salen de Epic, afirmó.
Opina que los controles de acceso deben ser más estrictos, señalando que conceder acceso a datos no puede ser un proceso de “configurar y olvidar”. Las organizaciones sanitarias necesitan controles de acceso basados en propósitos y una reevaluación continua de si el intercambio de datos sigue justificado, sostuvo Mattingly.
Esa brecha entre la interoperabilidad técnica y la rendición de cuentas se percibe cada vez más como una falla sistémica en la infraestructura actual de intercambio. Otro líder del sector, Tyler Giesting, director de fusiones y adquisiciones sanitarias en West Monroe, dijo que la demanda expone deficiencias y ambigüedades en las normas actuales de TEFCA para intercambiar datos clínicos. El Marco de Intercambio Confiable y Acuerdo Común (TEFCA) es una iniciativa federal diseñada para estandarizar las reglas y normas técnicas del intercambio nacional de datos de salud.
Giesting destacó que el marco es nuevo y aún está en evolución, por lo que carece de definiciones claras y exigibles sobre quién puede acceder a los datos y con qué fines.
En su opinión, este caso subraya la necesidad de estándares más estrictos, posiblemente dirigidos a nivel federal, que regulen el intercambio de datos a escala nacional.
Y no es la única batalla legal reciente que ha puesto este tema sobre la mesa: en los últimos dos años, los tribunales también han visto demandas contra intermediarios de datos como BetterHelp y Meta por presunto uso indebido de datos sensibles de salud, así como disputas entre proveedores de historiales electrónicos y redes de interoperabilidad sobre cómo puede compartirse la información de los pacientes.
Los proveedores también están preocupados por el problema. La semana pasada, más de 60 sistemas de salud—incluyendo Stanford Health Care y NYU Langone Health— enviaron una carta a Mariann Yeager, directora ejecutiva de The Sequoia Project, una organización sin ánimo de lucro que influye en la gobernanza de las redes de intercambio de datos de salud, exigiendo una mejor supervisión y transparencia.
Cerrando las brechas
Desde la perspectiva de Giesting, el sector se beneficiaría al migrar hacia un marco de “confiar, pero verificar”.
“[TEFCA] es un modelo basado en la confianza. Creo que la demanda está exponiendo que quizás sea necesario un cambio hacia un modelo de ‘confiar, pero verificar’. ¿Es la persona que solicita la información de salud realmente quien dice ser? ¿Y tiene una razón autorizada para recibir el registro clínico? Esto no está completamente definido en el marco actual”, declaró.
Giesting añadió que TEFCA también tiene zonas grises en torno al uso de datos por terceros. El marco no aborda claramente los escenarios donde se solicitan datos para fines ajenos a la atención directa del paciente—por lo que Health Gorilla podría argumentar que siguió las normas vigentes y la guía de TEFCA como una red calificada de información de salud designada.
Giesting predijo que la demanda podría hacer que las organizaciones sanitarias sean más cautelosas al compartir datos. Opina que algunas empresas podrían limitar su participación en TEFCA o el intercambio de datos para evitar riesgos legales o de privacidad.
Señaló que esto podría ralentizar el progreso hacia una interoperabilidad generalizada en el sector, hasta que emerjan directrices federales más claras, haciendo eco así de las preocupaciones expresadas por Watson, el CEO de Health Gorilla.
A pesar de esta fricción a corto plazo, Giestline afirmó que la interoperabilidad es demasiado central para la atención sanitaria —en términos de control de costos, mejoras asistenciales basadas en datos e innovación en investigación clínica— como para que desaparezca.
Subrayó que este caso ilustra un patrón más amplio: la innovación en el sector privado avanza más rápido que la regulación, especialmente en el ámbito de la salud.
“Creo que el sector privado, generalmente, es el que empuja el límite hacia la siguiente fase. Incluso con la IA, habrá innovación, y luego las medidas regulatorias irán a la par. Pienso que eso es lo que está sucediendo aquí, y simplemente destaca la importancia de una coordinación muy estrecha entre las empresas del ecosistema tecnológico, como Epic y Health Gorilla”, comentó Giestline.
**Fortalecer la supervisión para proteger la confianza**
Para mejorar el intercambio de datos en el sector, los marcos de interoperabilidad deben hacer cumplir las normas activamente, no solo mover información, según Jason Prestinario, CEO de la plataforma de datos Particle Health.
Argumentó que marcos como TEFCA y Carequality no pueden ser “tuberías pasivas”, y que necesitan una mejor supervisión, monitorización del cumplimiento y aplicación. Cuando no lo hacen, la confianza se rompe, afirmó.
Particle Health enfrenta su propia demanda judicial de Epic, aunque en este caso Epic es el demandado y no el demandante. En septiembre de 2024, Particle Health demandó a Epic alegando que el proveedor de historias clínicas electrónicas usa su dominio en el mercado para impedir la competencia en el ámbito de las plataformas para pagadores. La denuncia alega que Epic impuso barreras técnicas y contractuales que limitaron el acceso a datos de pacientes, bloqueando efectivamente a rivales de construir plataformas competidoras dirigidas a pagadores. En septiembre pasado, un juez federal admitió a trámite la demanda antimonopolio.
Aunque Particle y Epic no están en los mejores términos actualmente, Prestinario aún cree que Epic está planteando preocupaciones legítimas sobre actividad sospechosa y la necesidad de protecciones más fuertes en el intercambio de datos de salud.
Señaló que la demanda de Epic indicaba que había expresado sus preocupaciones a Health Gorilla y otros participantes de la red sobre accesos sospechosos a datos y un potencial mal uso de registros médicos varios meses antes de presentar la demanda.
“Bajo el supuesto de que esa cronología es exacta, es inaceptable. Esto pone a todos los implementadores, incluido Particle, en una posición difícil”, declaró Prestinario.
En otras palabras, si lo que alega Epic es cierto, entonces esta falta de transparencia y control inadecuado de los datos representa un riesgo sistémico para la interoperabilidad y la competencia en el ecosistema de datos de salud.
Según se alega, Epic no tenía visibilidad sobre qué se investigó o cómo. Prestinario advirtió que esta falta de transparencia puede erosionar la confianza y restringir el acceso legítimo a datos.
En su opinión, escándalos como este tienen dos efectos dañinos: a menudo conducen a una menor participación en el intercambio nacional de datos de salud, así como a restricciones más estrictas sobre el acceso necesario a los datos bajo la apariencia de seguridad.
“Cada escándalo se convierte en una razón para restringir el acceso, y me preocupa que esto establezca una dinámica en la que Epic eventualmente diga: ‘Salimos de estos marcos por completo’. La respuesta a todo esto no es menos interoperabilidad. No es alejarnos de la democratización del acceso legítimo a los datos. Es una mejor aplicación de las normas por todas las partes”, comentó Prestinario.
Dijo esperar que la industria pueda fortalecer las salvaguardias manteniendo los datos accesibles.
Foto: Aitor Diago, Getty Images