Publicado: 01 de febrero de 2015 | Revisado: 01 de febrero de 2015
- Introducción
- ¿Qué es HIPAA?
a. Una breve historia de HIPAA
b. ¿Es HIPAA la única ley que se aplica a la información médica? - ¿Quién debe cumplir con HIPAA?
a. Entidades cubiertas
b. Socios comerciales
c. Subcontratistas
d. Entidades híbridas - ¿Quiénes no están obligados a cumplir con HIPAA?
- ¿Qué información cubre HIPAA?
a. ¿A qué información se aplica la Regla de privacidad de HIPAA?
b. ¿A qué información se aplica la regla de seguridad de HIPAA? - ¿Qué información no está cubierta por la regla de privacidad de HIPAA?
a. Información de salud en los registros laborales
b. Información de salud en los registros educativos (en su mayor parte)
c. Información médica de una persona fallecida hace más de 50 años
d. Datos anonimizados - ¿Cómo aplica el Departamento de Salud y Servicios Humanos (HHS) de EE. UU. La HIPAA?
a. ¿Cuándo investigará el HHS una queja?
b. ¿Cómo determina el HHS una sanción por una infracción?
c. Si hay una sanción monetaria, ¿recibirá dinero la persona que presentó la denuncia?
d. ¿Pueden las personas demandar bajo HIPAA? - Recursos
1. Introducción
Casi todo el mundo reconoce la naturaleza sensible de la información médica y de salud. Sin embargo, la privacidad y la seguridad de la información médica son temas complejos para los pacientes y los profesionales de la salud por igual.
Las regulaciones federales que gobiernan la privacidad y seguridad de la información médica se conocen como HIPAA, por la Ley de Portabilidad y Responsabilidad del Seguro Médico que les ordenó. Como paciente, es importante comprender el alcance y las limitaciones de la HIPAA. Esta guía proporciona información sobre los aspectos básicos de la HIPAA, como a quién se aplica la HIPAA y qué información cubre.
2. ¿Qué es la HIPAA?
La Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) es una ley federal que proporciona estándares básicos de privacidad y seguridad para la información médica. El Departamento de Salud y Servicios Humanos de EE. UU. (HHS) es la agencia federal a cargo de crear reglas que implementan HIPAA y también hacen cumplir HIPAA.
a. Breve historia de HIPAA
- 1996 – El Congreso aprobó la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA).
La mayoría de las personas están familiarizadas con la HIPAA como una ley de privacidad y seguridad médica. Sin embargo, el propósito inicial de la HIPAA era establecer estándares para la transmisión de datos médicos electrónicos y permitir que las personas se transfieran y continúen con el seguro médico después de cambiar o perder un trabajo.
En De hecho, hasta 2003 no existían estándares nacionales de privacidad para información médica bajo HIPAA. Todas las protecciones se basaron en la ley estatal.
- 2003 – El Departamento de Salud y Servicios Humanos de EE. UU. (HHS) emitió y adoptó la Regla de privacidad de HIPAA, la Regla de seguridad de HIPAA y la HIPAA Regla de ejecución.
En 2003, el HHS emitió las primeras reglas nacionales de privacidad y seguridad de datos bajo HIPAA.
La regla de privacidad otorga a las personas derechos con respecto a su información médica protegida (PHI). También explica cómo las entidades cubiertas (aquellas que deben cumplir con HIPAA) pueden usar y divulgar PHI.
La Regla de Seguridad establece estándares para proteger la PHI electrónica.
La regla de aplicación aborda el cumplimiento, las investigaciones y las posibles sanciones por violaciones de la regla de privacidad y la regla de seguridad de HIPAA. La Oficina de Derechos Civiles (OCR) dentro del HHS es responsable de hacer cumplir las regulaciones de HIPAA.
- 2009 – Se firmó la Ley de Tecnología de la Información de Salud para la Salud Económica y Clínica (HITECH) ley. La Ley HITECH es el Título XIII de la Ley Estadounidense de Recuperación y Reinversión (AARA).
Entre 2003 y 2009, la tecnología cambió el panorama de la privacidad médica. Los registros médicos electrónicos comenzaron a reemplazar los archivos en papel. Los pacientes comenzaron a comunicarse con sus médicos por correo electrónico y a través de portales en línea. Las farmacias comenzaron a procesar recetas electrónicamente.
La Ley HITECH creó incentivos financieros para que los proveedores de atención médica y las aseguradoras continúen cambiando a los registros médicos electrónicos, y también abordó las preocupaciones de privacidad y seguridad relacionadas con la transmisión electrónica de información médica, incluido el acceso y los datos no autorizados
- 2013 – La «Oficina de Derechos Civiles del HHS emitió la Regla Ómnibus de HIPAA.
La Regla Ómnibus de HHS» realizó varios cambios importantes en la Privacidad, Seguridad y Cumplimiento de la HIPAA Normas. Implementó muchas disposiciones de la Ley HITECH. Modificó y finalizó la Regla de notificación de infracciones. También implementó cambios a la Regla de Privacidad HIPAA requeridos por la Ley de No Discriminación de Información Genética de 2008 (GINA).
b. ¿Es HIPAA la única ley que se aplica a la información médica?
No. La Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) no es la única ley que se aplica a la información médica.
Existen leyes federales que se aplican a tipos específicos de información de salud (o registros que contienen información de salud), como información genética, información de salud en los registros escolares, información identificable sobre individuos mantenida por el gobierno federal, cierto alcohol y registros de abuso de drogas e información relacionada con la investigación médica.
Además, los estados pueden promulgar sus propias leyes para proteger la información médica porque la HIPAA establece una línea de base a partir de la cual los estados pueden crear leyes más estrictas. Para obtener más información sobre la ley estatal, consulte HealthInfoLaw.org (un proyecto del Programa de políticas y leyes de salud Hirsh de la Universidad George Washington).
3. ¿Quién debe cumplir con HIPAA?
HIPAA no protege toda la información médica. Tampoco se aplica a todas las personas que pueden ver o usar información médica. HIPAA solo se aplica a entidades cubiertas y sus socios comerciales.
a. Entidades cubiertas
Hay tres tipos de entidades cubiertas por HIPAA.
- A los proveedores de atención médica se les paga por brindar atención médica. Médicos, dentistas, hospitales, hogares de ancianos, farmacias, clínicas de atención de urgencia y otros las entidades que brindan atención médica a cambio de un pago son ejemplos de proveedores.
Los proveedores de atención médica deben cumplir con la HIPAA solo si transmiten información médica de forma electrónica en relación con las transacciones cubiertas. La mayoría de los proveedores transmiten información de manera electrónica para llevar a cabo funciones como procesar reclamaciones y recibir el pago. Por lo tanto, la mayoría Los planes de salud están cubiertos por HIPAA. - Los planes de salud pagan el costo de la atención médica.
Los siguientes son ejemplos de planes de salud cubiertos por HIPAA: compañías de seguros de salud, organizaciones de mantenimiento de la salud (HMO), planes de salud grupales patrocinado por un empleador, planes de salud financiados por el gobierno como Medicare y Medicaid, y la mayoría de las otras empresas o acuerdos que pagan por la atención médica. - Los centros de compensación de atención médica procesan la información para que se pueda transmitir en un formato estándar entre entidades cubiertas. Los centros de intercambio de información a menudo actúan como un intermediario entre los proveedores de atención médica y los planes de salud, lo que significa que rara vez tratan directamente con los pacientes. Por ejemplo, una cámara de compensación puede tomar información de un médico y ponerla en un formato codificado estándar que se puede utilizar para fines de seguros.
Para obtener más información sobre si una entidad está cubierta por la HIPAA, el HHS proporciona una tabla útil.
b. Socios comerciales
¿Qué es un socio comercial? Los proveedores de atención médica, los planes de salud y las cámaras de compensación de atención médica son solo algunos de los actores en el negocio de la atención médica. Las entidades cubiertas contratan o contratan personas y empresas para realizar numerosos servicios.
Un «socio comercial» crea, recibe, mantiene o transmite información médica protegida (PHI) en nombre de una entidad cubierta u otro socio comercial que actúa como subcontratista.
Para la definición de socio comercial, consulte 45 CFR § 160.103.
¿Qué hacen los socios comerciales? Los socios comerciales pueden realizar muchos servicios diferentes para una entidad cubierta, que incluyen (pero no se limitan a):
- legal
- actuarial
- contabilidad
- consultoría
- agregación de datos
- gestión
- acreditación administrativa
- procesamiento o administración de reclamos
- datos análisis
- transmisión de datos
- revisión de utilización
- garantía de calidad
- ciertas actividades de seguridad del paciente
- facturación
- gestión de beneficios
- gestión de prácticas
- modificación de precios.
Los socios comerciales a menudo prestan servicios que no involucran la interacción del paciente. Sin embargo, un ejemplo común de un socio comercial con el que los pacientes pueden interactuar es una empresa que ofrece un registro médico personal (PHR) a las personas en nombre de las entidades cubiertas.
¿Qué responsabilidades tienen los socios comerciales? Las entidades cubiertas deben ejecutar contratos por escrito con sus socios comerciales para asegurarse de que protegen la PHI de acuerdo con los estándares de HIPAA. Los socios comerciales deben hacer lo mismo con cualquiera de sus subcontratistas que puedan considerarse socios comerciales. El sitio web del HHS contiene más información sobre las relaciones con socios comerciales y también proporciona ejemplos de cláusulas para acuerdos con socios comerciales.
Los socios comerciales deben cumplir con los contratos que firman con las entidades cubiertas. Además, los socios comerciales son directamente responsables de las violaciones de la regla de seguridad HIPAA y de muchas disposiciones de la regla de privacidad HIPAA. Esto significa que los socios comerciales están sujetos a la mayoría de los mismos estándares de privacidad y seguridad de datos que se aplican a las entidades cubiertas y pueden estar sujetos a auditorías y sanciones del HHS.
c. Subcontratistas
Un subcontratista que crea, mantiene o transmite información médica protegida (PHI) en nombre de un socio comercial tiene las mismas responsabilidades legales que un socio comercial según la HIPAA.En otras palabras, las responsabilidades legales relacionadas con la privacidad y la seguridad fluyen «hacia abajo» a los subcontratistas que realizan trabajos para un socio comercial.
Por ejemplo, un socio comercial de un hospital puede contratar a una empresa externa para triturar documentos que contengan PHI o para proporcionar un servicio en la nube para almacenar los datos. En ambos casos, la empresa externa (subcontratista) debería cumplir con la mayoría de las reglas de HIPAA como socio comercial. También estaría sujeta a un contrato con el socio comercial en lugar de la entidad cubierta (u hospital en este ejemplo).
d. Entidades híbridas
Una entidad híbrida realiza funciones cubiertas y no cubiertas por HIPAA como parte de su negocio. Una gran una corporación que tiene un plan de salud autoasegurado para sus empleados puede optar por ser tratada como una entidad híbrida. Otros ejemplos son una universidad con un centro médico o una tienda de comestibles que tiene una farmacia.
Cuando una organización elige ser tratado como una entidad híbrida, solo la parte del empresa que es una entidad cubierta (denominada componente de atención médica) está sujeta a HIPAA. Las entidades híbridas deben asegurarse de que el componente de atención médica no divulgue información médica protegida a otro componente no cubierto del negocio. También deben salvaguardar la información de salud protegida electrónica.
4. ¿Quiénes no están obligados a cumplir con HIPAA?
Recuerde, muchas empresas y personas no están obligadas a cumplir con HIPAA, y hay muchas ocasiones en las que la información de salud puede estar disponible para estas personas y empresas . La HIPAA solo se aplica a las entidades cubiertas y sus socios comerciales.
Estos son solo algunos ejemplos de quienes no están cubiertos por la HIPAA pero pueden manejar información médica:
- compañías de seguros de vida y de largo plazo
- aseguradoras de compensación de trabajadores, agencias administrativas o empleadores (a menos que se consideren entidades cubiertas)
- agencias que brindan beneficios de seguridad social y bienestar social
- planes de seguro de automóvil que incluyen beneficios de salud
- motores de búsqueda y sitios web que brindan información médica o de salud y no son operados por una entidad cubierta
- comercializadores
- gimnasios y clubes de fitness
- empresas de pruebas genéticas directas al consumidor (DTC)
- muchas aplicaciones móviles (aplicaciones) utilizan d con fines de salud y estado físico
- aquellos que realizan exámenes de detección en farmacias, centros comerciales, ferias de salud u otros lugares públicos para determinar la presión arterial, el colesterol, la alineación espinal y otras afecciones
- ciertas practicantes de medicina alternativa
- la mayoría de las escuelas y distritos escolares
- investigadores que obtienen datos de salud directamente de los proveedores de atención médica
- la mayoría de las agencias de aplicación de la ley
- muchas agencias estatales, como los servicios de protección infantil
- tribunales, donde la información médica es importante para un caso
Para obtener más información sobre quién está (o no) cubierto por HIPAA, consulte los Materiales de orientación del HHS para consumidores.
5. ¿Qué información cubre la HIPAA?
Para determinar si la HIPAA protege cierto tipo de información médica, es más fácil averiguar primero si existe una entidad cubierta o un socio comercial que debe cumplir con la ley.
Según HIPAA, «información de salud» es cualquier información (incluida la información genética) creada o recibida por un proveedor de atención médica, plan de salud, autoridad de salud pública, empleador, compañía de seguros de vida, escuela o universidad, o centro de intercambio de información de atención y se relaciona con
- la salud o condición física o mental pasada, presente o futura de una persona;
- tratamiento proporcionado a una persona; o
- pago pasado, presente o futuro por la atención médica que recibe una persona.
La información médica puede existir en cualquier forma o medio, incluido el papel, electrónico u oral.
Cuando una entidad cubierta crea o recibe información médica que identifica, o puede usarse para identificar, a una persona, la HIPAA lo llama «identi información médica confiable. «La información médica identificable individualmente incluye información demográfica y de otro tipo que identifica a una persona, como nombre, dirección, fecha de nacimiento y número de seguro social.
Para obtener definiciones precisas de cualquiera de los términos en este sección, consulte 45 CFR § 160.103.
a. ¿A qué información se aplica la regla de privacidad de HIPAA?
La Regla de privacidad de HIPAA se aplica a la «información médica protegida» (PHI) que incluye toda la «información médica identificable individualmente» que se transmite o mantiene en cualquier formato o medio.
Esto significa que las conversaciones entre un paciente y un médico tienen las mismas protecciones de privacidad que las notas escritas a mano o electrónicas.
Para obtener más información sobre la regla de privacidad de HIPAA, consulte: La regla de privacidad de HIPAA : ¿Cómo pueden las entidades cubiertas usar y divulgar información médica?
b. ¿A qué información se aplica la regla de seguridad de HIPAA?
La regla de seguridad de HIPAA requiere que las entidades cubiertas establezcan medidas de seguridad de datos solo para la PHI que se mantiene en formato electrónico, denominada «información médica protegida electrónica» (ePHI). La Regla de seguridad no se aplica a la PHI que se transmite oralmente o por escrito.
Para obtener más información sobre la Regla de seguridad de HIPAA, consulte la Hoja informativa 8d del Centro de intercambio de información sobre derechos de privacidad: Protección de la información médica: Notificación de incumplimiento y seguridad de HIPAA Reglas.
6. ¿Qué información no está cubierta por la Regla de privacidad de HIPAA?
a. Información de salud en los registros de empleo
HIPAA no se aplica a los registros de empleo, incluso cuando esos registros incluyen información médica. Esto incluye registros de empleo que una entidad cubierta tiene en su función de empleador. Sin embargo, si un empleado de un proveedor de atención médica se convierte en paciente de ese proveedor, se aplicará la HIPAA.
Para obtener más información sobre la información médica en el lugar de trabajo, consulte «Información sobre empleadores y salud en el lugar de trabajo» del HHS.
b. La información de salud en los registros educativos (en su mayor parte)
La información de salud en los registros educativos que están sujetos a la Ley de Privacidad y Derechos Educativos de la Familia (FERPA) no se considera información de salud protegida (PHI) según la HIPAA. Por ejemplo, los registros de K-12 de un niño que contienen información sobre visitas de enfermeras escolares no están sujetos a HIPAA.
Para obtener más información sobre FERPA en lo que respecta a la información de salud y HIPAA, consulte: Guía conjunta sobre la Aplicación de la Ley de Privacidad y Derechos Educativos de la Familia (FERPA) y la Ley de Portabilidad y Responsabilidad del Seguro Médico de 1996 (HIPAA) a los Registros de Salud de los Estudiantes y la Privacidad de los Estudiantes 101: Privacidad de la Salud en las Escuelas – ¿Qué ley se aplica?
c. Información de salud sobre una persona que falleció hace más de 50 años
La información de salud protegida (PHI) no incluye información de salud sobre una persona que falleció hace más de 50 años.
Para obtener más información sobre la información médica de las personas fallecidas, consulte el sitio web del HHS.
d. Datos anonimizados
Los datos anonimizados son información de salud que ha tenido 18 identificadores eliminados y, por lo tanto, se considera que la persona que es el sujeto de la información uni dentificable. Esto significa que los datos no identificados no están protegidos por las Reglas de privacidad de HIPAA, ya que la PHI y las entidades cubiertas pueden usarla y divulgarla de manera más amplia.
Los datos anonimizados suelen ser objeto de debate debido a la posibilidad de volver a identificar a un individuo. La profesora Latanya Sweeney, ha realizado una cantidad significativa de trabajo en el área de reidentificación.
Para obtener más información sobre la desidentificación, consulte 45 CFR 164.514 y la Guía del HHS sobre métodos para desidentificar Información de salud protegida de acuerdo con la regla de privacidad de HIPAA.
7. ¿Cómo hace el HHS hacer cumplir la HIPAA?
La Regla de cumplimiento de la HIPAA permite a la Oficina de Derechos Civiles (OCR) del Departamento de Salud y Servicios Humanos (HHS) de EE. UU. Investigar posibles violaciones de la HIPAA y evaluar sanciones monetarias civiles (CMP) por violaciones. Los fiscales generales estatales también tienen la autoridad para hacer cumplir las reglas de HIPAA. Los individuos no tienen un derecho de acción privado bajo HIPAA y no pueden demandar por una violación.
La OCR inicia el proceso de ejecución abriendo una investigación de posibles violaciones a las reglas de privacidad o seguridad de HIPAA. La OCR responde a las quejas individuales, pero también puede descubrir violaciones de HIPAA de otras formas (como la realización de auditorías). Después de la investigación, la OCR puede resolver un problema determinando que no existe una infracción, celebrando un acuerdo de resolución con la parte responsable o determinando que la parte ha cometido una infracción y evaluando las sanciones.
Para obtener más información sobre HIPAA cumplimiento, consulte Cómo OCR hace cumplir las reglas de privacidad y seguridad de HIPAA, datos de cumplimiento, aspectos destacados del cumplimiento y cumplimiento de HIPAA.
a. ¿Cuándo investigará el HHS una queja?
Cuando las personas tengan conocimiento de una posible infracción de la HIPAA, pueden presentar una queja ante la Oficina de Derechos Civiles (OCR) del HHS. Para ser considerada para la investigación, una queja debe cumplir con los siguientes criterios básicos:
- Si la queja se refiere a una posible infracción de la Regla de privacidad, la acción debe haber ocurrido después de abril de 2003. Si la queja se refiere a un posible Violación de la regla de seguridad, la acción debe haber ocurrido después de abril de 2005.
- Una persona debe presentar una queja contra una persona, organización u otra entidad sujeta a HIPAA.
- La queja debe alegar algo que violaría las Reglas de HIPAA.
- Las personas deben presentar quejas dentro de los 180 días posteriores al momento en que supieron (o deberían haber sabido) sobre la posible violación.
Si la OCR cree que la queja tiene mérito, la agencia se comunicará con la persona que presentó la queja, así como con la entidad cubierta involucrada para tratar de llegar a una resolución mutua.Algunos asuntos pueden remitirse a una audiencia ante un juez de derecho administrativo.
b. ¿Cómo determina el HHS una sanción por una infracción?
Para las infracciones que ocurrieron después de 2009, el HHS determina las sanciones por infracciones de HIPAA en función de la culpabilidad del infractor. La multa mínima varía, pero la multa máxima es de $ 1.5 millones por año por violaciones de la misma disposición de HIPAA.
La estructura de sanciones civiles de cuatro niveles es la siguiente:
Desconocimiento significa que la entidad cubierta no conocía la infracción y no lo habría sabido mediante el ejercicio de una diligencia razonable.
Causa razonable significa que la entidad cubierta habría sabido de la infracción ejerciendo una diligencia razonable.
Descuido intencional corregido significa que la entidad cubierta violó intencionalmente la HIPAA o actuó con indiferencia imprudente pero corrigió la infracción dentro de los 30 días posteriores al descubrimiento.
Por negligencia intencional sin corregir significa que la entidad cubierta violó intencionalmente la HIPAA o actuó con imprudente indiferencia, pero no corrigió la infracción dentro de los 30 días posteriores al descubrimiento.
c . Si hay una multa monetaria, ¿recibirá dinero la persona que presentó la queja?
No. Cualquier dinero de las multas que cobra el HHS se paga al Tesoro de los EE. UU.
d. ¿Puede ¿Las personas demandan bajo HIPAA?
No. Las personas no tienen derecho a demandar bajo HIPAA. Sin embargo, HIPAA no impide que los estados aprueben leyes que brinden protección mejorada. La Universidad George Washington tiene una guía, Información de salud y la Ley, que contiene información sobre las leyes estatales.
8. Recursos
Ley federal
Ley de tecnología de la información sanitaria para la salud económica y clínica (HITECH), Ley 111-5, 2009
Ley de No Discriminación por Información Genética de 2008 (GINA), (Ley Pública 110-223, 122 Stat. 881)
Regulaciones Federales
Regla de privacidad de la HIPAA de 2003 y modificaciones posteriores
Regla general del HHS, 78 Registro federal, 25 de enero de 2013
Leyes estatales y privacidad de la salud
Universidad George Washington, Información de salud y Ley
Asociación Nacional de Comisionados de Seguros
Departamento de Salud y Servicios Humanos, Oficina de Derechos Civiles
Materiales de orientación para consumidores
Temas especiales sobre privacidad de la información médica
Acuerdos de socios comerciales
Autorizaciones
Entidades cubiertas
Empleadores e información médica en el lugar de trabajo