Um terapeuta de IA está em conformidade com a HIPAA? O que checar antes de compartilhar qualquer coisa

A maioria dos apps de terapia com IA não está em conformidade com a HIPAA, e os raros que estão vão te dizer em linguagem clara e te entregar os documentos para provar. Se um app desvia da pergunta, trata "usamos criptografia" como uma resposta completa ou enterra o assunto três toques abaixo, suponha que as suas conversas não estão protegidas do jeito que você pensa. Se um terapeuta de IA está ou não em conformidade com a HIPAA se resume a algumas coisas específicas e verificáveis — não a um selo na página inicial.

Aqui vai a parte incômoda. Você pode despejar a sua pior semana numa caixa de bate-papo à 1 da manhã, se sentir mais leve e nunca perceber que as mesmas palavras estão guardadas num registro em algum lugar, atreladas ao seu e-mail, possivelmente treinando um modelo. A solução não é paranoia. São cinco minutos de leitura antes de confiar na caixa.

O que "em conformidade com a HIPAA" de fato significa para um terapeuta de IA

A HIPAA é uma lei de privacidade de saúde dos EUA. Ela rege como "entidades cobertas" — médicos, clínicas, seguradoras — e seus "parceiros de negócio" lidam com a sua informação de saúde protegida. A expressão terapeuta de IA em conformidade com a HIPAA é jogada por aí de forma solta, então fixe o sentido: um app só está genuinamente coberto se estiver atuando como um prestador de serviços de saúde, ou em nome de um, e tiver assinado os contratos certos para sustentar isso. (Aqui no Brasil, o equivalente que rege os seus dados pessoais sensíveis é a LGPD, a Lei Geral de Proteção de Dados — a mesma lógica de checagem vale para ela.)

Essa distinção importa mais do que parece. Um chatbot de bem-estar que se chama de "companhia" ou "coach" geralmente fica totalmente fora da HIPAA. Não porque seja suspeito, mas porque ele nunca se declarou como saúde, para começar. Então a lei com que você está contando pode nem se aplicar ao app no seu bolso.

Duas coisas separam uma configuração em conformidade da linguagem de marketing:

• Um Acordo de Parceria de Negócio (BAA, na sigla em inglês). Esse é o contrato que obriga legalmente um fornecedor a proteger os seus dados de saúde. Sem um BAA na cadeia, não há proteção da HIPAA — ponto final.
• Salvaguardas definidas. Controles de acesso, registros de auditoria, criptografia, deveres de notificação de vazamento. Reais, escritos, não subentendidos por um ícone de cadeado.

Meu terapeuta de IA está em conformidade com a HIPAA? As 6 checagens que de fato te dizem

Faça estas antes de compartilhar qualquer coisa que você não diria a um estranho no ônibus.

1. Leia o que eles dizem que são. Procure no site e na descrição da loja de apps por "HIPAA", "entidade coberta" e "parceiro de negócio". Um serviço em conformidade declara isso diretamente. A linguagem vaga de bem-estar ("apoio", "autodesenvolvimento", "não é um serviço médico") é, por si só, uma resposta — geralmente "não".

2. Encontre o caminho do BAA. Uma ferramenta de nível clínico vai nomear o seu BAA ou explicar como a informação de saúde protegida é tratada por contrato. Apps de consumo quase nunca oferecem um a usuários individuais. Se você não consegue achar a palavra, trate a resposta como não.

3. Abra a política de privacidade e use o Ctrl-F. Procure por "terceiros", "vender", "compartilhar", "publicidade" e "treinamento". Se as suas mensagens podem ser usadas para treinar modelos ou compartilhadas com parceiros de anúncios, isso te diz como a empresa de fato enxerga os seus dados — como um ativo, não como uma confidência.

4. Cheque onde os dados ficam e por quanto tempo. Procure por um período de retenção e uma opção real de apagar. "Mantemos os dados pelo tempo necessário", sem um botão de desligar, significa que a sua confissão da 1 da manhã pode sobreviver ao seu interesse no app.

5. Olhe o login e o cadeado. A criptografia em trânsito (HTTPS) é o mínimo. Criptografia em repouso, login com dois fatores e a possibilidade de usar um pseudônimo são sinais de que alguém pensou na pessoa por trás da conta.

6. Encontre o plano de vazamento. Operações em conformidade detalham o que acontece se os dados vazarem e em quanto tempo elas vão te avisar. O silêncio aqui é um sinal de alerta com cara de calmo.

Se um app passa em uma ou duas destas e tropeça no resto, ele não está em conformidade. Ele está esperançoso.

Em conformidade com a HIPAA vs de fato privado: não é a mesma coisa

Aqui está a linha que vale tatuar por dentro das pálpebras: estar em conformidade com a HIPAA não é o mesmo que privacidade. Um app pode estar totalmente em conformidade e ainda assim, legalmente, compartilhar ou vender dados que você não percebeu que entregou, dependendo dos consentimentos em que você clicou. E um app pode ser profundamente privado — dados mínimos, criptografia forte, sem parceiros de anúncios — sem estar nem um pouco em conformidade com a HIPAA, simplesmente porque ele nunca operou como saúde.

Então pare de usar "em conformidade com a HIPAA" como sinônimo de "seguro". Faça duas perguntas separadas. A lei cobre isto? E, independentemente da lei, o que esta empresa de fato faz com as minhas palavras? A segunda pergunta é a que te protege numa terça-feira qualquer.

Para a maioria das ferramentas de saúde mental com IA voltadas ao consumidor, o enquadramento honesto é este: elas são privadas por política, não por lei. Isso pode estar perfeitamente bem. Só significa que você está confiando nas escolhas e na engenharia de uma empresa, e não num estatuto federal. Decida isso de propósito, não por acidente.

O que isso significa antes de você digitar qualquer coisa real

Combine a sua honestidade com a proteção que você consegue verificar. Uma regra prática útil:

• Detalhe completo (nomes, as anotações do seu terapeuta, histórico médico específico) só cabe numa ferramenta que você confirmou estar em conformidade com a HIPAA e com um BAA, ou numa sessão com um humano licenciado.
• Temas e sentimentos ("ando temendo os domingos", "meu peito aperta antes das reuniões") costumam ser seguros para explorar com um app de consumo respeitável cuja política você de fato leu.
• Qualquer coisa cujo vazamento te deixaria em pânico deveria te fazer parar e reler esta lista primeiro.

Você não precisa escolher entre buscar ajuda e se proteger. Você só precisa saber por que tipo de porta está passando.

Se você está em perigo imediato ou pensando em se machucar, procure agora o número de emergência local ou uma linha de apoio — no Brasil, o CVV atende no 188 e o SAMU no 192. Esse é um momento para um humano, não para uma caixa de bate-papo.

FAQ

Os apps de terapia com IA estão em conformidade com a HIPAA por padrão?

Não. A maioria dos apps de terapia com IA e de "companhia" voltados ao consumidor não está em conformidade com a HIPAA, e muitos nem sequer são cobertos por ela porque não operam como prestadores de saúde. A conformidade é algo que um serviço precisa construir e documentar de forma deliberada, incluindo um Acordo de Parceria de Negócio. Suponha que um app não está em conformidade até que ele prove o contrário por escrito.

Como sei se um terapeuta de IA está em conformidade com a HIPAA?

Procure por uma declaração clara no site ou na descrição do app, um Acordo de Parceria de Negócio nomeado, uma política de privacidade que limita o compartilhamento e a venda, uma política real de retenção e exclusão de dados, criptografia em trânsito e em repouso, e um processo declarado de notificação de vazamento. Se isso estiver faltando ou vago, trate como não estando em conformidade. Um serviço genuinamente em conformidade torna isso fácil de confirmar, em vez de difícil.

Um app em conformidade com a HIPAA é o mesmo que um app privado?

Não, e confundir os dois é o erro comum. A HIPAA é um arcabouço legal que pode ou não se aplicar; a privacidade é o que a empresa de fato faz com os seus dados. Um app pode estar em conformidade e ainda assim compartilhar dados que você consentiu, ou ser muito privado sem ser nem um pouco coberto pela HIPAA. Cheque tanto o status legal quanto as práticas reais com os dados.

O que eu devo evitar contar a um chatbot de IA fora de conformidade?

Mantenha detalhes altamente identificáveis ou sensíveis — nome completo, histórico médico exato, as anotações de um profissional, qualquer coisa que você se assustaria em ver vazada — de fora de qualquer app que você não verificou. Compartilhar sentimentos e padrões gerais costuma ser de baixo risco com uma ferramenta respeitável. O ponto é combinar quanto você revela com quanta proteção você de fato confirmou.