HIPAA

Los pacientes creen, y suponen razonablemente, que la información que comparten en confianza permanecerá confidencial. Si bien existen numerosas leyes y regulaciones de privacidad alineadas con la Información de Identificación Personal (PII) y, especialmente, la Información de Identificación Personal Sensible (SPII), hay reglas específicas vinculadas a la información de salud. En Estados Unidos, la privacidad de esos datos está regida por la Ley de Portabilidad y Responsabilidad de Seguros de Salud de 1996 (HIPAA o Ley Kennedy–Kassebaum), promulgada el 21 de agosto de 1996.

En esencia, la HIPAA sostiene que la información recopilada y registrada en relación con la atención de un paciente es confidencial. Divulgar cualquier PII o SPII a terceros con fines comerciales sin consentimiento socava la confianza y viola los principios del consentimiento informado y la confidencialidad. Sin embargo, el daño también afecta la integridad de la relación médico-paciente respecto a la información de salud. La HIPAA estipula cómo las industrias de atención médica y de seguros de salud deben proteger la información de salud protegida (PHI) contra el fraude y el robo.

HIPAA tiene cinco títulos:

• Título I protege la cobertura de seguro de salud para los trabajadores y sus familias cuando cambian o pierden sus empleos.
• Título II, también conocido como las disposiciones de Simplificación Administrativa (AS), exige el establecimiento de normas nacionales para las transacciones electrónicas de atención médica y de identificadores nacionales para proveedores, planes de seguros de salud y empleadores.
• Título III establece pautas para las cuentas de gastos médicos antes de impuestos
• Título IV establece pautas para los planes de salud grupales
• El Título V regula las pólizas de seguro de vida propiedad de la empresa

Para los profesionales de seguridad y privacidad, existen dos reglas de HIPAA que protegen la gestión y el uso de la información de salud:

• Regla de Privacidad: otorga a los pacientes derechos sobre su información de salud y establece reglas y límites sobre quién puede ver y recibir esa información. La Regla de Privacidad se aplica a todas las formas de la información de salud protegida de las personas, ya sea electrónica, escrita u oral.
• Regla de Seguridad - exige seguridad para la información de salud en formato electrónico.

¿Qué organizaciones deben cumplir con HIPAA?

Las organizaciones que deben cumplir con la HIPAA se denominan "entidades cubiertas". Las entidades cubiertas incluyen:

• Planes de salud: estas entidades incluyen aseguradoras de salud, organizaciones para el mantenimiento de la salud (HMO, por sus siglas en inglés), planes de salud de empresa y algunos programas gubernamentales como Medicare y Medicaid.
• Proveedores de atención médica: estas entidades crean un rastro documental electrónico que incluye, entre otros, la información de facturación. Los médicos, clínicas, hospitales, psicólogos, quiroprácticos, asilos de ancianos, farmacias y dentistas entran en esta categoría.
• Centros de Compensación de Atención Médica: estas entidades procesan y estandarizan la información de salud que reciben de otras entidades 

Los “asociados comerciales” incluyen contratistas, subcontratistas y otros terceros que pueden tener acceso a información de salud como parte de la prestación de un servicio. Los asociados comerciales están obligados a cumplir con HIPAA cuando corresponda.

¿Qué organizaciones están exentas de la HIPAA? 

Si bien las “entidades cubiertas” no son las únicas organizaciones que manejan PHI, son las que atraen el escrutinio de los reguladores. Ciertas organizaciones también pueden poseer PHI u otra información relacionada con la salud, pero por lo general están exentas de la regulación de HIPAA. Estas incluyen, entre otras, compañías de seguros de vida, escuelas, agencias estatales, fuerzas del orden y otros grupos.

¿Qué datos están dentro del alcance?

El tipo de datos que está dentro del alcance de HIPAA incluye la información generada y compartida por los proveedores de atención médica y entidades relacionadas.

• Expedientes médicos
• Tratamiento 
• Seguro de salud
• Facturación
• Otra información de salud

¿Cómo debe protegerse la información de salud?

HIPAA ofrece lineamientos de alto nivel para proteger la información de salud. Estas recomendaciones están dirigidas a entidades cubiertas y asociados comerciales para:

• Implementar salvaguardas
• Limitar el uso y la divulgación
• Limitar el acceso
• Implementar capacitación para los empleados 

¿Cuáles son los derechos de los pacientes respecto a su información de salud?

Los pacientes tienen los siguientes derechos con respecto a su información de salud:

• Obtener una copia
• Asegúrate de que sea correcto
• Limita el uso o el intercambio antes de que suceda 
• Restringir cómo se usa o se divulga
• Obtén un informe sobre cuándo y por qué se compartió 

Los pacientes también pueden presentar una queja ante el HHS si creen que se les niega su derecho a conocer y controlar su propia información de salud.

¿Cuáles son los Usos Permitidos de la Información de Salud? 

La información de salud puede utilizarse y compartirse para los siguientes fines:

• Habilitar el tratamiento y la coordinación de la atención
• Pagar a los proveedores por tus tratamientos 
• Permitir que familiares, amigos y otras personas apoyen o administren la atención de un paciente
• Garantizar un tratamiento de calidad
• Garantizar que las instalaciones de cuidado estén limpias y seguras
• Protegiendo la salud pública
• Reportar a las autoridades

A menos que la ley disponga lo contrario, los pacientes deciden quién tiene acceso a su información.