E quanto às questões de privacidade como Big Tech desencadeia passaportes de vacinas?


Os fãs das Redes do Brooklyn da NBA estão exibindo mais do que bilhetes de jogo hoje em dia quando entram no Barclays Center.

“Vaccine Passport”

Eles também são obrigados a mostrar um teste recente negativo de Covid-19, uma carteira de vacinação, ou seu "passaporte de vacina" Excelsior-New York, que usa códigos QR em um smartphone para provar resultados de testes ou vacinação contra a doença.

O Excelsior Pass, criado pela IBM, que estreou no mês passado, está entre um número crescente de aplicativos que poderiam ajudar os americanos a voltar com segurança a eventos esportivos, teatros, restaurantes e vôos.


Mas eles também estão levantando problemas de privacidade.

"É muito importante quando reabrimos comunidades e economias que haja um nível de confiança em organizações como o estado de Nova York e a IBM", disse Eric Piscini, vice-presidente global da IBM de redes de negócios emergentes que está liderando o projeto. "Estamos aqui para servir as comunidades e não estamos aqui apenas para empurrar para fora um pedaço de tecnologia".

Temores de privacidade em torno da exibição pública do status de vacinação ameaçam impedir o lançamento de uma tecnologia que poderia desempenhar um grande papel na reabertura da sociedade e impedir a propagação do Covid-19. Mas na ausência de coordenação ou regulamentação governamental - e a administração Biden tem sido inflexível em não se envolver diretamente - cabe ao setor privado construir a confiança do consumidor e navegar pelas leis que ditam como manter os dados seguros e confidenciais.

O papel das empresas de tecnologia

O debate vem à medida que o esforço nacional de vacinação está bem encaminhado. Mais de 200 milhões de doses foram administradas nos Estados Unidos, segundo o rastreador de vacinas Bloomberg.


"Há muitas perguntas sem resposta do ponto de vista jurídico", disse Sean Sullivan, advogado de saúde da Alston & Bird LLP em Atlanta. "Não há o mesmo tipo de estrutura de privacidade para este tipo de coisa".

O passaporte de vacinas da IBM Corp. usa uma carteira digital criptografada em um smartphone para que os usuários possam provar o estado de saúde sem compartilhar informações médicas ou pessoais subjacentes. E a tecnologia de cadeia de bloqueio evita a necessidade de um banco de dados central, criando em vez disso um "hash" dos dados utilizados para verificação.

A Microsoft Corp. está fazendo parceria na Iniciativa de Credenciamento de Vacinação, que está desenvolvendo um "guia de implementação que detalha o uso de padrões abertos, interoperáveis e de proteção de privacidade", disse um porta-voz da empresa.

Os principais padrões que estão sendo lançados, baseados em criptografia de chave pública e códigos QR, são "muito seguros", disse Mike Joyce, gerente de engajamento da empresa de engenharia e inovação Theorem LLC. "Ela oferece uma oportunidade de escala que um pedaço de papel pode não oferecer".

Ponto de situação

A decisão do governo federal de se retirar da criação de passaportes digitais foi tomada para evitar a hesitação vacinal daqueles "preocupados que o governo irá desempenhar um papel muito pesado no monitoramento de suas vacinas", disse Andy Slavitt, o conselheiro sênior da resposta Covid-19 da Casa Branca, no mês passado.

Mas as agências de saúde estão se reunindo para definir diretrizes gerais para o que gostariam de ver nos passaportes de vacinas de empresas privadas, que devem ser gratuitos, disponíveis em vários idiomas e acessíveis para o técnico avesso, disse Slavitt.

No exterior, os reguladores de dados da União Européia disseram que os planos para certificados digitais devem impedir o acesso e o uso de dados de pacientes pelos governos após a pandemia. O Reino Unido testará seu próprio sistema exigindo que as pessoas demonstrem que estão livres de vírus. E Israel já lançou sua versão de um passaporte vacinal chamado "Green Pass", que os residentes usam para entrar em espaços lotados como concertos ou casamentos.

A Associação Internacional de Transporte Aéreo está testando seu próprio aplicativo que poderia confirmar se alguém foi vacinado ou recentemente testado negativo para Covid-19 antes de ser autorizado a embarcar em um vôo. A Virgin Atlantic e a Qatar Airways estão entre as companhias aéreas que estão fazendo testes com o passe da IATA.


Nos Estados Unidos, alguns líderes estaduais republicanos estão recuando contra a exigência de registros de vacinas portáteis.

O governador da Flórida, Ron DeSantis, assinou uma ordem executiva em 2 de abril barrando as empresas que obtêm concessões estaduais ou contratos de exigir que os patrões exibam passaportes Covid-19, chamando as credenciais de "completamente inaceitáveis" e expressando preocupações sobre a troca de informações privadas. No Texas, o governador Greg Abbott assinou uma ordem semelhante em 5 de abril. Leia aqui.

DeSantis e Abbott não tentaram bloquear os mandatos de vacinas no local de trabalho via fiat executivo, um movimento que muito provavelmente excederia sua autoridade legal. Mas um punhado de legislaturas estaduais estão considerando projetos de lei que fariam exatamente isso, incluindo a Flórida, Ohio e Missouri. Ver final do post em pdf.

Lacuna na lei de saúde

As exigências de privacidade e segurança sob a Lei de Portabilidade e Responsabilização de Seguros de Saúde poderiam tornar mais difícil a obtenção e compartilhamento do status de vacinação. Mas se o passaporte da vacina é da competência da HIPAA depende de como as informações médicas são acessadas e se um prestador de serviços de saúde está envolvido com o aplicativo, disse Savera Sandhu, sócia do escritório da Newmeyer & Dillion LLP em Las Vegas.

A HIPAA se aplica a prestadores de serviços de saúde, empregadores que patrocinam planos de seguro saúde e câmaras de compensação médica. Também se aplica geralmente aos associados comerciais, tais como fornecedores de tecnologia da informação que auxiliam as entidades cobertas no desempenho de suas funções.

Os desenvolvedores de aplicativos podem encontrar-se fora da estrutura da HIPAA se não trabalharem com um hospital e exigirem que os usuários carreguem diretamente suas próprias informações médicas, incluindo o status de vacinação, disse Sandhu.

"Eles não se enquadram necessariamente na categoria de prestadores de serviços de saúde ou associados", disse ela. "Essas empresas então podem não estar sujeitas às exigências da HIPAA".

Algumas empresas podem optar por essa aprovação - usuários que carregam suas próprias informações - enquanto outras podem obter o status de vacinação de um fornecedor de serviços de saúde.

"Do ponto de vista da confiança, é importante que os consumidores estejam encarregados das informações que estão dando ao passaporte da vacina", disse Lauren Groebe, advogada da Morgan Lewis & Bockius LLP em Chicago, que está focada na saúde, privacidade e segurança cibernética.

Privacidade Primeiro

Os desenvolvedores de aplicativos e as companhias aéreas, restaurantes e similares que utilizam passaportes vacinais poderiam obter uma adoção mais ampla e reduzir o risco de comprometimento de dados coletando apenas as informações necessárias, disse Sullivan.

"Uma organização inteligente que coleta essas informações gostaria de desenvolver políticas claras de privacidade e deixar as pessoas saberem como essas informações estão sendo tratadas", disse ele. "Alguns podem optar por ver os passes, mas não reter ou coletar esses dados".

A saúde ou outras informações pessoais devem ser criptografadas dentro dos aplicativos e quando enviadas a outro lugar, disse Alon Kaufman, o CEO e co-fundador da Duality Technologies, com sede em Israel. "Precisamos ter segurança, privacidade e segurança incorporadas a estas ferramentas".

Como todas as coisas digitais, os aplicativos de passaporte de vacinas poderiam teoricamente ser pirateados, o que significa que um único ou poucos padrões nos Estados Unidos e internacionalmente poderiam ajudar, disse Marijus Briedis, diretor de tecnologia da NordVPN na Lituânia.

"Se cada um de nós tem 20 aplicações diferentes, como vamos utilizá-las?" Briedis disse. "As preocupações com segurança e privacidade são amplificadas com mais aplicativos em seu telefone, já que a área de ataque aumenta exponencialmente".

Obrigações do empregador

As empresas geralmente têm a autoridade para exigir que os trabalhadores sejam vacinados, embora devam pesar os pedidos de acomodações relacionadas à saúde sob a Lei dos Americanos Portadores de Deficiência e as objeções religiosas sob o Título VII da Lei de Direitos Civis de 1964. Leia aqui.

Dado esse cenário jurídico, a ADA não deve impedir as empresas de mandatar trabalhadores ou candidatos para provar que foram inoculados contra o Covid-19, disseram os advogados de emprego.

Mas a ADA exige que os empregadores mantenham as informações de vacinação de seus trabalhadores em sigilo. Isso poderia prejudicar a capacidade de compartilhar dados de passaporte com terceiros, como prestadores de serviços que podem querer garantir aos clientes que os trabalhadores que vão para suas casas ou empresas já foram fotografados.

E obter o consentimento dos trabalhadores para revelar seus passaportes de vacinas não eliminaria a ameaça de responsabilidade da ADA, pois os tribunais poderiam ver isso como coercitivo ou discriminatório, disse Peter Blanck, professor de direito da Universidade de Syracuse, que escreveu livros sobre preconceitos de deficiência.

Nenhuma empresa pode garantir que tenha uma força de trabalho totalmente vacinada devido às exceções da ADA e do Título VII, disse Karla Grossenbacher, advogada de emprego da Seyfarth Shaw LLP. Em vez de fornecer passaportes individuais de vacinas, um empregador pode simplesmente dizer a um cliente que seus trabalhadores estão aptos para o serviço e fornecer seus critérios de aptidão, disse ela.

Ainda assim, os observadores legais não são unânimes sobre o que a ADA exige no caminho das empresas que compartilham os passaportes dos trabalhadores vacinados.

A posição permissiva da Comissão de Igualdade de Oportunidades de Emprego sobre empregadores que recebem informações sobre vacinação sugere que ela pode ser divulgada, disse Myra Creighton, advogada da Fisher & Phillips LLP que aconselha empregadores.

"Se perguntar a uma pessoa se ela está vacinada não é uma investigação relacionada à incapacidade, então se eu disser a alguém que, 'Sim, Joe Smith foi vacinado', não é uma violação da ADA", disse ela.

Anexos

1. Florida State Legislatures


2.Ohio State Legislatures


3.Missouri State Legislatures