Le cliniche di aborto digitali più popolari, classificate in base alla privacy dei dati
Most popular digital abortion clinics, ranked by data privacy
È emersa una nuova classe di startup nel settore della salute in risposta alla decisione della Corte Suprema degli Stati Uniti di annullare il diritto federale all’aborto dell’anno scorso. Queste “cliniche digitali per l’aborto” mettono in contatto i pazienti con operatori sanitari in grado di prescrivere mifepristone e misoprostolo, un percorso di cura comunemente descritto come “pillola abortiva”.
Questi servizi, molti dei quali sono stati fondati prima della sentenza Dobbs v. Jackson, sono pronti ad eliminare una grande contraddizione nel campo della salute riproduttiva: l’aborto farmacologico è attualmente il modo più comune per interrompere una gravidanza, ma solo 1 adulto su 4 ne è a conoscenza, secondo uno studio recente di KFF.
Queste cliniche operano in modi diversi: alcune offrono visite video in diretta con medici e infermieri, mentre altre offrono consulenze asincrone, ma molte hanno registrato un numero record di ordini da parte dei pazienti (e un aumento dei finanziamenti da parte dei VC) nell’ultimo anno. Secondo Elisa Wells, cofondatrice della non profit Plan C, il loro appeal è semplice. “I loro prezzi sono abbastanza accessibili e c’è comodità nel fare un ordine e ricevere le pillole consegnate nella tua cassetta delle lettere in tre o quattro giorni”, afferma.
I dati recenti suggeriscono che le cliniche di telemedicina sono state efficaci nell’ampliare l’accesso all’aborto, specialmente per le persone che vivono in aree remote o in stati in cui la procedura è stata criminalizzata, una scoperta che il team di Wells corrobora. Grazie a una nuova serie di “leggi di protezione” che proteggono i clinici dalla persecuzione fuori dallo stato – approvate in 12 stati, tra cui New York, Maryland e Illinois – queste cliniche sono in posizione di espandere ulteriormente la loro portata.
Seguendo l’esempio di altre aziende nello spazio femtech (una categoria che include tutto, dai dispositivi per il pavimento pelvico alle app per il monitoraggio del ciclo mestruale), i leader delle cliniche di aborto digitale come Hey Jane e Choix hanno espresso pubblicamente il loro impegno per la privacy degli utenti mentre crescono. In un recente intervista a Vogue, Kiki Freedman, cofondatrice di Hey Jane, ha dichiarato che il servizio è “conforme a HIPAA e criptato”. In un’intervista a Ms. magazine di gennaio, un rappresentante di Choix ha evidenziato la sua “piattaforma di messaggistica conforme a HIPAA”, mentre un altro intervistato ha suggerito che “la maggior parte dei fornitori di telemedicina non sta controllando gli indirizzi IP” (leggi di più su come funziona effettivamente HIPAA qui).
- Segna sul calendario la data dell’evento autunnale di Microso...
- 10 Modi Facili per Fare Soldi Online per le Donne
- Il giudice federale stabilisce che l’arte dell’IA non p...
Una credenza comune sulle cliniche virtuali è che offrano maggiore discrezione rispetto alle loro controparti fisiche. “C’è sicuramente un fattore di privacy: questi siti non fanno molte domande”, dice Wells. In uno studio del 2020 su oltre 6.000 donne in cerca di un aborto, il 39% ha dichiarato di aver scelto un’opzione di telemedicina specificamente per preservare la propria privacy. Sebbene le intenzioni di alcuni fornitori sembrino genuine, gli esperti di privacy hanno sottolineato che i loro servizi potrebbero non essere sicuri come gli utenti si aspettano (anche se sono conformi alla legge statunitense).
A luglio, un team di ricercatori del Markup ha riferito che il sito di Hey Jane trasmetteva le informazioni degli utenti a Meta e Google, i più grandi inserzionisti digitali al mondo. Sebbene i fornitori potrebbero non limitare l’accesso tramite gli indirizzi IP, la nostra analisi ha rilevato che la maggior parte dei fornitori li raccoglie facilmente. Per le cliniche di aborto tramite telemedicina, la conformità a HIPAA è solo una parte del puzzle.
Quindi, quali cliniche virtuali per l’aborto prendono sul serio la privacy degli utenti e quali no? Come possono gli utenti avvicinarsi a questi servizi tenendo a mente la sicurezza? HIPAA protegge tutte le informazioni inviate ai fornitori di telemedicina? Per scoprirlo, ci siamo uniti a degli esperti per analizzare le politiche sulla privacy di cinque fornitori popolari di aborto per posta: Wisp, Choix, Hey Jane, Carafem e Aid Access.
Sebbene l’American Bar Association abbia riferito nell’aprile scorso che “tattiche ad alta tecnologia” (come l’invio di ordini giudiziari alle app femtech) non sono state utilizzate per condannare con successo coloro che cercano un aborto, i pubblici ministeri hanno utilizzato i messaggi di testo e la cronologia delle ricerche delle donne come prova in diversi casi legati all’aborto. A causa di questo precedente, gli utenti dovrebbero procedere con cautela quando consegnano le proprie informazioni personali ai fornitori di telemedicina. Non è raro che i dati vulnerabili finiscano nelle mani di intermediari terzi che compilano profili digitali degli utenti prima di vendere le loro informazioni al miglior offerente. Michele Gilman, professore di legge presso l’Università di Baltimora, afferma: “I dati sulla salute riproduttiva vengono venduti e trasportati in un sistema molto più ampio”.
Per rendere le cose ancora peggiori, l’assenza di una legge federale sulla privacy completa, come il Regolamento generale sulla protezione dei dati (GDPR) dell’UE, lascia il compito di valutare le politiche sulla privacy agli utenti individuali. Considerando che queste politiche sono diventate più lunghe e più difficili da decifrare negli ultimi anni, questo rappresenta un grave onere. Per la nostra valutazione, abbiamo consultato i modelli della Privacy Lab dell’Università del Texas ad Austin e dello Standard Digitale per arrivare a quattro fattori principali.
Ecco quello che abbiamo scoperto:
Creato con DatawrapperIl cugino americano del GDPR, il California Consumer Privacy Act (CCPA), ha ispirato una proposta di legislazione statale che supporta una maggiore protezione per una specifica categoria di dati, ovvero le informazioni personalmente identificabili. Sebbene le PII siano definite in modo ampio, Google le interpreta come includenti l’indirizzo email, il nome completo, la posizione precisa, il numero di telefono e l’indirizzo postale.
I siti web più sicuri da utilizzare non raccoglieranno affatto le tue PII, ma offrire un indirizzo postale a una clinica virtuale è una questione di necessità qui. In questo contesto, è utile distinguere tra le aziende che utilizzano le tue informazioni personali per fornire servizi essenziali e quelle che condividono tali informazioni con terze parti. La non-profit con sede in Austria Aid Access si è comportata meglio in questa categoria, incoraggiando gli utenti ad accedere al servizio in modo virtualmente anonimo nella sua politica. Wisp si è comportata particolarmente male in questo caso, citando la sua capacità di inviare dati di geolocalizzazione specifici agli inserzionisti.
La maggior parte dei fornitori che abbiamo analizzato classifica gli indirizzi email e simili come “informazioni personali”, che sono protette solo da HIPAA se vengono archiviate insieme alle informazioni mediche. Ciò rende difficile giudicare se vengano utilizzate in modo appropriato.
Basso rischio: le PII non vengono registrate, Alcun rischio: le PII vengono utilizzate per il servizio previsto, Alto rischio: le PII vengono utilizzate da terze parti
Secondo l’esperta di bioetica Sharona Hoffman, c’è una comune misconcezione secondo cui HIPAA protegge le tue informazioni mediche dal loro condivisione al di fuori dello studio del medico. La realtà, afferma, è che “HIPAA non è così protettivo. I consumatori devono sapere che HIPAA prevede eccezioni per le forze dell’ordine e la salute pubblica”.
Sebbene la legge fornisca salvaguardie per una particolare categoria di informazioni (informazioni personali sulla salute), non copre tutte le informazioni che fornisci a un servizio di telemedicina. Anche se si applicasse, la regola consente (ma non richiede) ai fornitori di assistenza sanitaria di divulgare PHI quando presentati con un mandato di perquisizione o altro documento legale. Sebbene i fornitori potrebbero tecnicamente rifiutare tali richieste, la maggior parte non lo fa. “È più facile conformarsi anziché coinvolgere il tuo studio medico in una causa legale”, afferma Gilman.
Aid Access è un’eccezione notevole e ha una storia di resistenza alle forze dell’ordine (ha persino citato in giudizio la Food and Drug Administration degli Stati Uniti l’anno scorso). Quando si esaminano le politiche sulla privacy, il Privacy Lab dell’Università di Texas consiglia di valutare la disponibilità delle aziende a fornire dati in assenza di un mandato di perquisizione o altro documento legale. Né Carafem, Wisp, Hey Jane né Choix specificano che richiederebbero un mandato prima di inviare informazioni a enti governativi o altre entità legali.
Basso rischio: le PII non vengono registrate, Alcun rischio: sono richiesti documenti legali per conformarsi alle forze dell’ordine, Alto rischio: non sono richiesti documenti legali per conformarsi alle forze dell’ordine
I siti che offrono agli utenti un maggiore controllo sui propri dati possono garantire una maggiore privacy rispetto a quelli che non lo fanno. Mentre i siti a basso rischio ti consentiranno di eliminare e modificare liberamente le tue informazioni, alcune informazioni mediche che gli utenti forniscono alle cliniche virtuali saranno comunque irraggiungibili. Questo è dovuto alle leggi statali specifiche sulla conservazione delle cartelle cliniche, che possono richiedere alle entità sanitarie di conservare alcune registrazioni per un massimo di 25 anni.
Esaminare quanto controllo le aziende concedono agli utenti su altre informazioni è un miglior indicatore per comprendere la loro sicurezza generale. Mentre la maggior parte dei fornitori che abbiamo analizzato include protocolli di eliminazione dei dati nelle loro politiche sulla privacy, Choix e Hey Jane non lo fanno. Inoltre, quest’ultima conferma di conservare i dati per un periodo di tempo non specificato (“ragionevole”).
Anche se Wisp offre un protocollo di eliminazione, ammette che le richieste possono essere rifiutate per una varietà di motivi, tra cui “l’esercizio della libertà di parola” e “utilizzi interni e leciti” da parte sua o delle sue affiliate. Oltre a rispondere alle richieste, le organizzazioni orientate alla privacy cancelleranno anche proattivamente le informazioni sensibili, come fa Carafem. Tuttavia, Carafem non specifica una tempistica né fornisce un protocollo generale per richiedere l’eliminazione. Al contrario, Aid Access consente agli utenti di presentare richieste di eliminazione a loro discrezione per la maggior parte delle informazioni.
Basso rischio: gli utenti possono modificare o eliminare i dati, Alcun rischio: gli utenti possono modificare i dati, Alto rischio: gli utenti non possono modificare o eliminare i dati
La ricercatrice scientifica ed esperta di privacy Razieh Nokhbeh Zaeem definisce le informazioni personalmente identificabili come la “valuta di Internet” a causa dei numerosi modi in cui i dati individualizzati vengono raccolti, acquistati e venduti in diversi settori. Sebbene quasi tutti i siti web collaborino in qualche modo con terze parti, le aziende di telemedicina non dovrebbero vendere o condividere le tue informazioni con gli inserzionisti, ma molte lo fanno, come dimostra il recente accordo tra Betterhelp e la Federal Trade Commission.
Se un’azienda sta raccogliendo informazioni sensibili e utilizzandole per commercializzare prodotti e servizi a te, ciò comporta un certo rischio. Se un’azienda condivide queste informazioni con altre aziende per supportare i loro sforzi di marketing, è un segnale di pericolo. Come giustamente sottolinea The Markup nella sua guida alle politiche sulla privacy, le menzioni di “personalizzazione” e “miglioramento dei servizi” in questi documenti di solito corrispondono al tracciamento pubblicitario.
In base alla sua politica sulla privacy, Hey Jane utilizza dati personali (e PII) per promuovere i propri servizi (“informarti sui prodotti”), mentre Carafem, Wisp e Choix si riservano il diritto di trasmettere informazioni a partner di marketing di terze parti. La politica di Choix afferma che “non venderà mai i tuoi dati per scopi di marketing di terze parti” in una sezione, ma si riserva il diritto di divulgare dati alle sue società affiliate per scopi di “marketing” in un’altra.
Al posto di limitare o rimuovere i tracker di terze parti installati sui loro siti, alcuni fornitori consigliano agli utenti di disattivare in generale la pubblicità basata sui cookie all’interno delle loro politiche, una strategia che è tutt’altro che infallibile.
Basso Rischio: I PII non vengono utilizzati per scopi di marketing o pubblicità, Alcun Rischio: I PII vengono utilizzati per scopi di marketing/pubblicità, Alto Rischio: I PII vengono condivisi con terze parti per scopi di marketing/pubblicità
In un’America post-Roe, le cliniche virtuali per l’aborto forniscono un servizio essenziale, soprattutto per le persone che vivono in stati in cui la cura è criminalizzata. I primi indicatori hanno mostrato che aumentano l’accesso a farmaci per l’aborto sicuri ed efficaci, ma non offrono la stessa privacy di quanto gli utenti credono. Ad eccezione di Aid Access, tutti i fornitori che abbiamo analizzato hanno ancora molta strada da fare per proteggere la privacy degli utenti e guadagnare la loro fiducia.
Per gestire il rischio nell’utilizzo di questi servizi (e nell’accedere ad altre informazioni sull’aborto in stati ostili), gli educatori del Digital Defense Fund consigliano di ridurre la propria impronta utilizzando motori di ricerca orientati alla privacy come DuckDuckGo, creando account email temporanei per la cura dell’aborto e disattivando il tracciamento della posizione su tutti i dispositivi.
Pur essendo utili in pratica, studiosi del diritto come Gilman suggeriscono che il movimento per la giustizia riproduttiva progredirà solo quando i governi federali e statali non si baseranno più su un obsoleto paradigma di “avviso e consenso” per la privacy dei dati. “Abbiamo bisogno di un consenso significativo nello spazio della salute riproduttiva”, afferma Gilman. “Le politiche sulla privacy di oggi assomigliano più a contratti di adesione, suggerendo agli utenti di ‘accettare o lasciare’. Non è realistico né giusto dire alle persone che non possono interagire con la tecnologia se vogliono proteggere la loro privacy”.
Gilman consiglia di fare pressioni a livello statale per ottenere migliori standard di privacy, soprattutto se i propri rappresentanti stanno valutando nuove leggi. Inoltre, incoraggia le persone a chiedere protezioni maggiori alle aziende private, molte delle quali sono più ricche della “valuta di internet” di quanto vogliano farci credere.
