En esta publicación explicamos cómo denunciar una infracción de la HIPAA de forma anónima si cree que se ha violado su privacidad (o la de otra persona) si no se siguen las reglas de la HIPAA en su organización.
¿Cuándo se puede informar una supuesta infracción de la HIPAA?
La mayoría de las organizaciones de atención médica hacen todo lo posible para asegurarse de que cumplen con las reglas de la HIPAA, pero ocasionalmente se infringen las regulaciones de la HIPAA por la dirección o los empleados. En tales casos, se puede presentar una queja ante la Oficina de Derechos Civiles (OCR) del Departamento de Salud y Servicios Humanos, el principal encargado de hacer cumplir las Reglas de HIPAA.
Sin embargo, las quejas solo darán lugar a que se tomen medidas si la queja se presenta dentro de los 180 días posteriores a la fecha en que se descubrió que se violaron las Reglas de HIPAA. En casos limitados, cuando existe una ‘buena causa’ por la que no fue posible presentar una queja dentro de los 180 días, se puede otorgar una extensión.
Tenga en cuenta que la OCR no puede investigar ninguna presunta violación de la Regla de privacidad de HIPAA que ocurrieron antes del 14 de abril de 2003 o violaciones a las reglas de seguridad que ocurrieron antes del 20 de abril de 2005 porque el cumplimiento de esos elementos de las reglas de la HIPAA no eran obligatorios antes de esas fechas.
Informar una infracción de HIPAA de forma anónima
La OCR investiga las quejas de personas que creen que una organización de atención médica ha violado las reglas de HIPAA. Cualquiera puede enviar una queja a la OCR y se ha desarrollado un portal en línea compatible con este propósito.
El portal de quejas en línea contiene toda la información que necesita para enviar su queja. Un asistente del portal de quejas ayuda a los denunciantes a determinar si la OCR está en condiciones de investigar.
Si desea denunciar una infracción de HIPAA de forma anónima y prefiere no hacerlo en línea, puede descargar un formulario de OCR y enviar un correo electrónico , envíe su queja por correo postal o por fax.
Su derecho al anonimato al enviar una queja por infracción de HIPAA
No es obligatorio proporcionar un nombre e información de contacto a la OCR al enviar una queja, pero la OCR deja en claro que las investigaciones contra las entidades cubiertas no se iniciarán como resultado de denuncias anónimas de violaciones de HIPAA. Todas las quejas deben incluir el nombre, la firma y la información de contacto del denunciante.
La OCR explica que es ilegal que una entidad cubierta por la HIPAA tome cualquier medida de represalia contra una persona que presente una queja sobre un presunto Violación de HIPAA. Si eso sucediera, se debe notificar a la OCR.
Dicho esto, los denunciantes pueden sentir que pueden ser despedidos por presentar una queja o que enfrentan una reacción violenta de sus colegas por presentar oficialmente una queja sobre una supuesta violación de la HIPAA.
En tales casos, la queja no debe enviarse de forma anónima. Debe proporcionar su nombre y datos de contacto y negar el consentimiento de OCR para revelar su identidad o información de identificación sobre usted. Se incluye un formulario de consentimiento al final del formulario de quejas para este propósito. Si niega el consentimiento, la OCR retendrá la información personal de la entidad cubierta o el socio comercial si se investiga la queja.
Si bien es posible denunciar una infracción de la HIPAA de forma anónima, sin otorgar su consentimiento a la OCR para La identidad puede obstaculizar la investigación de la OCR, podría retrasar cualquier investigación y puede resultar en el cierre de la investigación sin que se tome ninguna medida contra la entidad cubierta en cuestión.