La Ley de Transferencia y Responsabilidad de Seguro de Salud (HIPAA, por sus siglas en inglés) fue promulgada en 1996 y establece protecciones federales para la información médica personal que está en manos de entidades cubiertas como Nicklaus Children’s Hospital y les otorga a los pacientes ciertos derechos respecto de dicha información. El cumplimiento de la HIPAA está a cargo de la Oficina de Derechos Civiles (OCR, por sus siglas en inglés).
Hay dos secciones que trabajan juntas para proteger a los pacientes: (1) La regla de privacidad de la HIPAA y (2) la regla de seguridad de la HIPAA.
¿Qué información está protegida?
La información médica protegida es:
- Información médica identificable a nivel personal creada, recibida, transmitida o mantenida por una entidad cubierta como Nicklaus Children’s Hospital que vincula a una persona identificable con su condición de salud.
- Información, incluso la demográfica, que se relaciona con:
- la condición de salud pasada, presente o futura de una persona;
- proporcionar atención médica a una persona;
- el pago pasado, presente o futuro para proporcionar atención médica a una persona;
- Y que identifica o se cree razonablemente que identifica a una persona.
Puede tener muchos formatos:
- Impresa o en papel: registros, etiquetas, radiografías, videos, cartas
- Electrónica: computarizada, digitalizada, en video o audio
- Comunicación: oral, por lenguaje de señas (para transmitir un mensaje de una persona a otra)
HITECH
La Ley de Tecnología de la Información Médica de Salud Clínica y Económica (HITECH, por sus siglas en inglés) añadió un requisito de notificación de violaciones a la HIPAA. Las leyes relacionadas con la HIPAA fueron actualizadas a través de la Ley de Reinversión y Recuperación de Estados Unidos (ARRA, por sus siglas en inglés) que exige mayor cumplimiento y sanciones más elevadas. Además, la recientemente implementada Regla Ómnibus Definitiva exige más cambios en algunos aspectos de nuestros procedimientos.
Hay un cambio clave en la definición de violación además del requisito de notificación de violaciones.
El uso o la divulgación inaceptables de información médica protegida se consideran una violación A MENOS QUE el socio comercial o la entidad cubierta, según corresponda, demuestren que hay una probabilidad baja de que la información médica protegida se haya visto comprometida.
Las entidades cubiertas deben notificar a los pacientes si hubo una violación a menos que, después de realizar un análisis de riesgo, se determine que hay una probabilidad baja de que la PHI (información médica protegida) se haya visto comprometida.
- Debe notificar a los pacientes a más tardar, a los 60 días de la fecha de descubrir el hecho.
- Debe notificar al Secretario de HHS (Salud y Servicios Humanos):
- inmediatamente si afecta a más de 500 personas;
- a fin de año si afecta a menos de 500 personas.
Se requiere un aviso alternativo si la información de contacto es insuficiente o está desactualizada.
Leyes de Privacidad de la Información Médica de Florida
Las leyes de Florida establecen protecciones adicionales para las personas respecto de su información médica y los números del seguro social.
La ley de Florida establece protecciones mejoradas para la “información altamente confidencial”:
- Salud mental (notas de psicoterapia)
- Tratamiento para el abuso de drogas/alcohol
- Resultados de pruebas, registros o tratamiento de ETS/VIH/SIDA
- Tratamiento relacionado con violencia doméstica
Las leyes de Florida que rigen los registros de salud para estos tipos de información son más estrictas que la HIPAA y la dejan sin efecto.