La Ley de Portabilidad y Responsabilidad del Seguro Médico de 1996 (HIPAA) es una ley federal que exigía la creación de normas nacionales para proteger la información sanitaria sensible de los pacientes para que no fuera divulgada sin el consentimiento o el conocimiento del paciente. El Departamento de Salud y Servicios Humanos de EE.UU. (HHS) emitió la Regla de Privacidad de la HIPAA para aplicar los requisitos de la HIPAA. La Regla de Seguridad de la HIPAA protege un subconjunto de la información cubierta por la Regla de Privacidad.
Regla de Privacidad de la HIPAA
Las normas de la Regla de Privacidad abordan el uso y la divulgación de la información sanitaria de los individuos (conocida como «información sanitaria protegida») por parte de las entidades sujetas a la Regla de Privacidad. Estos individuos y organizaciones se llaman «entidades cubiertas». La Regla de Privacidad también contiene normas sobre los derechos de las personas a entender y controlar cómo se utiliza su información sanitaria. Uno de los principales objetivos de la Regla de Privacidad es garantizar la protección adecuada de la información sanitaria de las personas, permitiendo al mismo tiempo el flujo de información sanitaria necesario para proporcionar y promover una atención sanitaria de alta calidad y para proteger la salud y el bienestar del público. La Regla de Privacidad establece un equilibrio que permite usos importantes de la información al tiempo que protege la privacidad de las personas que buscan atención y curación.
Entidades cubiertas
Los siguientes tipos de individuos y organizaciones están sujetos a la Regla de Privacidad y se consideran entidades cubiertas:
- Proveedores de atención sanitaria: Todos los proveedores de atención sanitaria, independientemente del tamaño de la consulta, que transmiten electrónicamente información sanitaria en relación con determinadas transacciones. Estas transacciones incluyen reclamaciones, consultas de elegibilidad de beneficios, solicitudes de autorización de derivación y otras transacciones para las que el HHS ha establecido normas en virtud de la Regla de Transacciones de la HIPAA.
- Planes de salud: Entidades que proporcionan o pagan el coste de la atención médica. Los planes de salud incluyen aseguradoras de salud, dentales, oftalmológicas y de medicamentos recetados; organizaciones de mantenimiento de la salud (HMO); aseguradoras de Medicare, Medicaid, Medicare+Choice y de suplementos de Medicare; y aseguradoras de cuidados a largo plazo (excluyendo las pólizas de indemnización fija para residencias de ancianos). Los planes de salud también incluyen los planes de salud de grupo patrocinados por el empleador, los planes de salud patrocinados por el gobierno y la iglesia, y los planes de salud multiempresariales.
- Excepción: Un plan de salud de grupo con menos de 50 participantes que es administrado únicamente por el empleador que estableció y mantiene el plan no es una entidad cubierta.
- Centros de intercambio de información sanitaria: Entidades que procesan información no estándar que reciben de otra entidad para convertirla en estándar (es decir, formato o contenido de datos estándar), o viceversa. En la mayoría de los casos, los centros de intercambio de información sanitaria recibirán información sanitaria identificable individualmente sólo cuando estén prestando estos servicios de procesamiento a un plan de salud o proveedor de atención sanitaria como asociado comercial.
- Asociados comerciales: Una persona u organización (que no sea un miembro de la plantilla de una entidad cubierta) que utiliza o divulga información sanitaria identificable individualmente para realizar o proporcionar funciones, actividades o servicios para una entidad cubierta. Estas funciones, actividades o servicios incluyen el procesamiento de reclamaciones, el análisis de datos, la revisión de la utilización y la facturación.
Usos y divulgaciones permitidos
A una entidad cubierta se le permite, pero no se le exige, usar y divulgar información médica protegida, sin la autorización de una persona, para los siguientes fines o situaciones:
- Divulgación al individuo (si la información es necesaria para el acceso o la contabilidad de las divulgaciones, la entidad DEBE divulgarla al individuo)
- Tratamiento, pago y operaciones de atención médica
- Oportunidad de aceptar u objetar la divulgación de la PHI (el permiso informal puede obtenerse preguntando al individuo directamente, o mediante circunstancias que den claramente al individuo la oportunidad de aceptar, consentir u objetar)
- Incidencia en un uso y divulgación de otro modo permitidos
- Actividades de interés y beneficio público-La Regla de Privacidad permite el uso y la divulgación de la información sanitaria protegida, sin la autorización o el permiso del individuo, para 12 propósitos prioritarios nacionales
- Icono externo:
- Cuando lo exija la ley
- Actividades de salud pública
- Víctimas de abuso o negligencia o violencia doméstica
- Actividades de supervisión sanitaria
- Procesos judiciales y administrativos
- Aplicación de la ley
- Funciones (como la identificación) relativas a personas fallecidas
- Donación de órganos cadávicos, ojos o tejidos
- Investigación, en determinadas condiciones
- Para prevenir o disminuir una amenaza grave para la salud o la seguridad
- Funciones gubernamentales esenciales
- Indemnización de los trabajadores
- Conjunto de datos limitados para la investigación, la salud pública, u operaciones de atención sanitaria
- Asegurar la confidencialidad, la integridad y la disponibilidad de toda la información de salud protegida electrónica
- Detectar y salvaguardar contra las amenazas anticipadas a la seguridad de la información
- Proteger contra los usos o divulgaciones no permitidos anticipados
- Certificar el cumplimiento por parte de su personal
Regla de seguridad de la HIPAA
Mientras que la Regla de privacidad de la HIPAA protege la información sanitaria protegida (PHI), la Regla de seguridad protege un subconjunto de información cubierta por la Regla de privacidad. Este subconjunto es toda la información de salud individualmente identificable que una entidad cubierta crea, recibe, mantiene o transmite en forma electrónica. Esta información se denomina «información sanitaria electrónica protegida» (e-PHI). La Regla de Seguridad no se aplica a la PHI transmitida oralmente o por escrito.
Para cumplir con la Regla de Seguridad de la HIPAA, todas las entidades cubiertas deben hacer lo siguiente:
Las entidades cubiertas deben basarse en la ética profesional y el mejor juicio al considerar las solicitudes de estos usos y divulgaciones permisivas. La Oficina de Derechos Civiles del HHS hace cumplir las normas de la HIPAA, y todas las quejas deben comunicarse a esa oficina. Las infracciones de la HIPAA pueden dar lugar a sanciones civiles o penales.
Para obtener más información, visite el sitio web de la HIPAA del Departamento de Salud y Servicios HumanosIcono externo.
Icono externo de la aplicación de la HIPAA. Departamento de Salud y Servicios Humanos de los Estados Unidos.