L'ICE ottiene un accesso senza precedenti ai dati Medicaid

Secondo un accordo di scambio di informazioni visionato da WIRED, i funzionari dell'Immigration and Customs Enforcement stanno avendo accesso ai dati personali di quasi 80 milioni di persone iscritte a Medicaid per acquisire "informazioni riguardanti l'identificazione e l'ubicazione degli stranieri negli Stati Uniti".

L'accordo, intitolato "Accordo di scambio di informazioni tra i Centri per i servizi Medicare e Medicaid e il Dipartimento per la sicurezza interna (DHS) per la divulgazione di informazioni sull'identità e l'ubicazione degli stranieri", è stato firmato martedì dai funzionari del CMS e riportato per la prima volta da AP News .

In base all'accordo, i funzionari dell'ICE riceveranno le credenziali di accesso a un database dei Centers for Medicare and Medicaid Services (CMS) contenente informazioni mediche sensibili, inclusi dati dettagliati su diagnosi e procedure. L'accordo afferma che consentirà all'ICE di accedere a informazioni personali come indirizzi di casa, numeri di telefono, indirizzi IP, dati bancari e numeri di previdenza sociale. (Più avanti nell'accordo, ciò a cui l'ICE è autorizzato ad accedere viene definito diversamente, specificando solo i "beneficiari di Medicaid" e il loro sesso, etnia e razza, ma rinunciando a qualsiasi riferimento a IP o dati bancari). L'accordo ha una durata di due mesi. Sebbene il documento sia datato 9 luglio, entra in vigore solo a partire dalla firma di entrambe le parti, il che indicherebbe un periodo di 60 giorni, dal 15 luglio al 15 settembre.

La mossa arriva mentre l'amministrazione del presidente Donald Trump continua ad ampliare la sua repressione dell'immigrazione. L'amministrazione mira a espellere 3.000 persone al giorno, quattro volte di più rispetto a quelle espulse nell'anno fiscale 2024, secondo l'ICE. I suoi piani per raggiungere questo obiettivo apparentemente implicano l'acquisizione di dati da tutto il governo. WIRED ha precedentemente riportato che il cosiddetto Dipartimento per l'Efficienza Governativa (DOGE) e il DHS stavano lavorando a un database principale , raccogliendo dati dal DHS e da altre agenzie, al fine di sorvegliare ed espellere gli immigrati.

Medicaid, la copertura sanitaria finanziata dal governo statale e federale per i più poveri del paese, è in gran parte disponibile solo ad alcuni non cittadini , tra cui rifugiati e richiedenti asilo, sopravvissuti alla tratta di esseri umani e residenti permanenti. Alcuni stati, come New York, forniscono copertura Medicaid a bambini e donne in gravidanza, indipendentemente dal loro status di immigrazione. Gli stati comunicano le spese e i dati relativi a Medicaid al governo federale, che li rimborsa per una parte dei costi.

"Questo non è mai stato nemmeno preso in considerazione durante i miei cinque anni al DHS, lavorando sull'applicazione delle leggi sull'immigrazione", afferma John Sandweg, direttore ad interim dell'ICE durante l'amministrazione del presidente Barack Obama. "Bisogna stare attenti a un possibile effetto paralizzante, per cui chi potrebbe richiedere i sussidi e averne diritto – o chi cerca cure mediche d'urgenza – non lo fa perché teme che le informazioni fornite in ospedale possano renderli un bersaglio per le misure di immigrazione".

Questa non è la preoccupazione dell'amministrazione al momento, hanno dichiarato alcuni portavoce a WIRED. "Sotto la guida del Dr. [Mehmet] Oz, il CMS sta reprimendo con forza gli stati che potrebbero utilizzare impropriamente i fondi federali Medicaid per sovvenzionare l'assistenza agli immigrati clandestini", ha dichiarato a WIRED Andrew Nixon, direttore delle comunicazioni del Dipartimento della Salute e dei Servizi Umani (HHS). "Questo sforzo di supervisione, supportato dalla condivisione legale dei dati tra agenzie con il DHS, è incentrato sull'individuazione di sprechi, frodi e abusi sistemici. Non stiamo solo proteggendo i soldi dei contribuenti, ma stiamo anche ripristinando la credibilità di uno dei programmi più vitali d'America. Il popolo americano merita di essere chiamato a rispondere delle proprie azioni. L'HHS la sta garantendo".

"Il presidente Trump ha costantemente promesso di proteggere Medicaid per i beneficiari idonei. Per mantenere questa promessa dopo che Joe Biden ha inondato il nostro paese con decine di milioni di immigrati clandestini, il CMS e il DHS stanno valutando un'iniziativa per garantire che gli immigrati clandestini non ricevano i benefici di Medicaid, destinati agli americani rispettosi della legge", afferma la vicesegretaria del DHS Tricia McLaughlin. (Biden non ha permesso l'ingresso negli Stati Uniti a "decine di milioni" di immigrati: persino la Heritage Foundation, il think tank conservatore dietro il Progetto 2025 , ha affermato che 6,7 milioni di persone sono entrate illegalmente nel paese sotto la presidenza di Biden a gennaio 2024.)

L'accordo afferma che il suo scopo non è quello di individuare sprechi, frodi e abusi, né di verificare se gli immigrati ricevano benefici illeciti, ma di consentire all'ICE di "recuperare informazioni riguardanti l'identità e la posizione degli stranieri negli Stati Uniti".

"Mi fa capire che gli attacchi sono andati ben oltre i criminali stranieri; non si analizzano dati di questo tipo se non si guarda ben oltre le persone condannate per reati", afferma Sandweg.

In una sezione che delinea le responsabilità di ciascuna parte, l'accordo stabilisce che è responsabilità del CMS fornire a un certo numero di dipendenti dell'ICE l'accesso a T-MSIS, acronimo di Transformed Medicaid Statistical Information System, tramite le credenziali di accesso del CMS. T-MSIS è un database del CMS che raccoglie i dati di Medicaid e del Children's Health Insurance Program (CHIP) da ogni stato e da quasi tutti i territori degli Stati Uniti, nonché da Washington, DC. Il sistema contiene dati granulari su condizioni mediche, sintomi, trattamenti, ricoveri ospedalieri e richieste di rimborso, tra le altre informazioni sensibili. La qualità dei dati del database varia da stato a stato. Il documento specifica che l'ICE avrà "accesso diretto" al database T-MSIS tramite l'Integrated Data Repository, che un documento depositato in una recente causa giudiziaria ha definito "la pietra angolare dell'ambiente dati [del CMS]... offrendo agli utenti la possibilità di analizzare i dati sul posto anziché affidarsi a voluminosi estratti di dati grezzi".

A sua volta, le responsabilità dell'ICE includono la richiesta delle credenziali di accesso al CMS, il completamento della "Formazione sulla sicurezza e la privacy dei sistemi informativi" e la firma di un documento sul CMS e sulle "Regole di comportamento per l'uso delle informazioni e delle risorse informatiche" del Dipartimento della Salute e dei Servizi Umani. L'accordo stabilisce inoltre che l'ICE utilizzerà queste credenziali per identificare e localizzare "alieni negli Stati Uniti".

L'accordo prevede inoltre che i suoi termini saranno "eseguiti da funzionari, dipendenti e appaltatori autorizzati di CMS e ICE". L'ICE ha attualmente contratti con diverse aziende, tra cui Palantir, l'appaltatore della difesa cofondato dal miliardario Peter Thiel, a cui l'agenzia ha recentemente versato 30 milioni di dollari per la realizzazione di un sistema chiamato ImmigrationOS per tracciare gli immigrati che si autoespellono dagli Stati Uniti. L'azienda è anche coinvolta nella creazione di una "mega API" presso l'IRS. Ad aprile, il DHS e l'Internal Revenue Services hanno annunciato un accordo per la condivisione dei dati dell'IRS ai fini dell'applicazione delle leggi sull'immigrazione.

"L'accordo garantisce all'ICE accesso completo e diretto ai nostri dati Medicaid: uno dei programmi sanitari più importanti viene ora interamente riconvertito in un database per le forze dell'ordine, cedendo i nostri dati direttamente all'ICE", afferma Cody Venzke, consulente senior per le politiche della National Political Advocacy Division dell'American Civil Liberties Union. "L'accordo afferma che, ai sensi del Privacy Act, il CMS è autorizzato a condividere i nostri dati per 'assistere un'altra agenzia federale o statale', ma questa è, nella migliore delle ipotesi, una mezza verità. Tale condivisione è consentita solo se necessaria per contribuire all'accuratezza di Medicare o Medicaid, per amministrare un programma federale di prestazioni sanitarie o, se necessario, per implementare un programma di prestazioni sanitarie finanziato con fondi federali. Rinunciare completamente alla nostra privacy per consentire all'ICE non comporta nessuna di queste conseguenze".

L'accordo consente all'ICE di conservare tutti i dati Medicaid per tutto il tempo che l'agenzia riterrà necessario. Il documento chiarisce che questo accordo può essere rinnovato per "periodi consecutivi" e che l'ICE può anche condividere i dati, purché l'agenzia specifichi per iscritto chi sono i destinatari. Venzke definisce questa "protezione incredibilmente debole".

Le agenzie possono condividere i dati tramite un cosiddetto accordo di corrispondenza informatica, un accordo scritto tra agenzie che specifica i parametri di confronto dei dati provenienti dai rispettivi sistemi. Secondo il suo sito web, il CMS ha attualmente una mezza dozzina di accordi di corrispondenza informatica con altre agenzie federali, tra cui l'IRS, il Dipartimento per gli Affari dei Veterani (VA) e la Social Security Administration.

Tuttavia, l'accordo tra ICE e CMS afferma esplicitamente che non si tratta di un accordo di corrispondenza informatica.

Jonathan Kamens, ex responsabile della sicurezza informatica del Dipartimento degli Affari dei Veterani (VA), ha dichiarato a WIRED che, finché gli agenti dell'ICE rispettano le regole e i processi di verifica richiesti dal CMS per accedere ai suoi sistemi, potrebbero non aver bisogno di un accordo di corrispondenza informatica. Tuttavia, qualsiasi utilizzo dei dati raccolti da un'agenzia al di fuori di quanto delineato nel suo Avviso sul Sistema di Registrazione (SORN) potrebbe costituire una violazione. "L'Avviso sul Sistema di Registrazione per i sistemi del CMS dovrebbe consentire l'uso che l'ICE sta facendo dei dati affinché sia legale", afferma. "È improbabile che l'amministrazione Trump abbia compiuto gli sforzi necessari per aggiornare l'Avviso sul Sistema di Registrazione al fine di consentire tale utilizzo dei dati".

L'accordo afferma di essere conforme al SORN del 2019 , che consente l'utilizzo dei dati T-MSIS "per assistere un'altra agenzia federale o statale". Il SORN non sembra essere stato aggiornato per includere il nuovo accordo tra ICE e CMS.

Il CMS non è l'unica agenzia in cui gli agenti dell'ICE hanno accesso diretto a dati sensibili. All'inizio di quest'anno, è emerso che agli agenti dell'ICE venivano fornite credenziali di accesso al database che tiene traccia dei minori non accompagnati presso l'Office of Refugee Resettlement (ORR), anch'esso gestito dall'HHS. Un ex dipendente dell'HHS ha dichiarato a WIRED che oltre 50 dipendenti dell'ICE avevano accesso al database dell'ORR.

"Consegnando all'ICE alcuni dei nostri dati sanitari più sensibili, il Dipartimento della Salute e dei Servizi Umani ha fondamentalmente tradito la fiducia di quasi 80 milioni di persone", afferma Elizabeth Laird, direttrice dell'equità nella tecnologia civica presso il Center for Democracy and Technology. "Oltre il 90% delle frodi sui diritti è commesso da cittadini statunitensi, il che sottolinea la falsa pretesa di condividere queste informazioni con l'ICE. Le conseguenze di questa decisione saranno devastanti. Abbasserà ulteriormente la fiducia nel governo, costringerà le persone a scegliere tra cure salvavita e la consegna dei dati alle autorità per l'immigrazione, erodendo la qualità e l'efficacia dei servizi governativi".

Zoë Schiffer ha contribuito al reportage.