Ley de Portabilidad y Responsabilidad del Seguro de Salud de 1996 (HIPAA)
La Ley de Portabilidad y Responsabilidad del Seguro de Salud de 1996 (HIPAA) es una regulación legal que exige el desarrollo de directrices nacionales para evitar que los detalles confidenciales de salud del paciente se expongan sin el permiso o la aprobación del paciente. Para hacer cumplir los estándares de HIPAA, el Departamento de Salud y Servicios Humanos de los Estados Unidos (HHS) creó la política de privacidad (CDC, 2018). La regla de seguridad de HIPAA protege una parte de los datos protegidos por la regla de privacidad. De hecho, la Regla de Privacidad es esencial ya que sus requisitos rigen la forma en que las organizaciones responsables de la Regla de Privacidad utilizan y divulgan los detalles de salud de las personas.
Estas personas y organizaciones se conocen como «entidades cubiertas» (CDC, 2018). La política también incluye directrices sobre los privilegios de los ciudadanos para reconocer y regular el uso de sus registros de salud. El propósito principal de la Regla de Privacidad es garantizar que la información privada de los pacientes esté adecuadamente protegida al tiempo que facilita el flujo de información de salud requerida para brindar y facilitar los servicios de salud estándar y preservar la salud y el bienestar del público (DHS, 2019). La Regla de Privacidad establece un equilibrio entre permitir el uso esencial de los detalles del paciente y preservar su privacidad. La información de cuidado de salud personal está protegida por la ley en los Estados Unidos de América, bajo la Ley de Portabilidad y Responsabilidad de Seguros de Salud de 1996 (HIPAA). La ley proporciona pautas para que los profesionales de la salud las sigan con el fin de mantener privada la información privilegiada de los pacientes.
Antecedentes / Ley y Aplicaciones
Al implementar la legislación HIPAA, el Congreso ordenó la formación de estándares regulatorios que mantengan la seguridad de la información electrónica de salud protegida para la confidencialidad, confiabilidad y accesibilidad de los registros de información de salud que protejan los detalles de salud de los pacientes al tiempo que permitan el acceso de los profesionales de la salud, los planes de atención médica y los centros de compensación para servicios médicos continuos (Edemekong et al., 2021). Las personas y organizaciones que se encuentran dentro de las siguientes categorías cumplen con la Regla de Privacidad como entidades cubiertas:
- Trabajadores de la salud: Todos los profesionales de la salud, independientemente de la escala de la práctica, y aquellos que transmiten los detalles del paciente electrónicamente en relación con transacciones específicas cumplen con la Regla de Privacidad. Estas transacciones incluyen reclamos, consultas sobre beneficios, solicitudes de referencia y otras transferencias que HHS ha proporcionado pautas dentro de la Política de transacciones de HIPAA.
- Planes de salud: Estos incluyen organizaciones que ofrecen o compensan servicios médicos. Los planes de salud incluyen medicamentos médicos, visuales y recetados, entre otros, excluyendo las regulaciones de hogares de ancianos. Otros planes de salud incluyen programas de bienestar comunitario patrocinados por la compañía, sistemas de salud patrocinados por el gobierno y religiosos, y arreglos de salud de empleadores múltiples (Edemekong et al., 2021). Una exención es un plan de salud que comprende menos de 50 miembros y es administrado exclusivamente por la entidad que desarrolló y administra el plan.
- Cámaras de compensación de atención médica: Estas son empresas que convierten el conocimiento no estándar recibido de otra agencia en uno estandarizado. Para ciertos casos, los centros de compensación médica solo pueden recibir registros de pacientes identificados personalmente cuando se desempeñan como socios corporativos con la compañía de atención médica.
- Socios comerciales: Incluya personas o agencias que usan o divulgan registros médicos identificados personalmente para realizar tareas, programas o servicios para una entidad que cumple con la política. Estos servicios, actividades o funciones incluyen reclamaciones, facturación, revisión de utilización y análisis de datos.
La Ley de Privacidad cubre los detalles confidenciales de salud, mientras que la Política de Seguridad protege un subconjunto de los datos contenidos en la Ley de Privacidad. Esta sección incluye todos los registros de salud identificados individualmente creados, recibidos, mantenidos o transmitidos en formato digital por una entidad protegida. Al revisar las demandas de estas regulaciones permisivas, las empresas cubiertas pueden centrarse en la integridad profesional y su mejor juicio. Las leyes HIPAA son aplicadas por el departamento de Derechos Civiles del HHS, y todos los informes se presentan a la oficina (CDC, 2018). Las infracciones de HIPAA pueden causar sanciones penales y civiles tanto para las personas como para las empresas cubiertas.
Posición personal sobre la ley
Este documento apoya y aboga por la HIPAA debido a su papel en la mejora de la eficacia y eficiencia de los servicios de atención médica. La ciberseguridad es común y los registros de pacientes pueden contener información privada que, cuando se divulga, puede afectar la salud psicológica y la reputación de los pacientes y la de sus seres queridos (“Portabilidad y responsabilidad del seguro de salud”). Las deficiencias existentes incluyen dificultades para lograr que todas las partes involucradas cumplan voluntariamente con un único conjunto de regulaciones. Por lo tanto, en el informe bipartidista y de la industria de la salud, el Congreso de los Estados Unidos se vio obligado a incorporar las regulaciones de Simplificaciones de la Administración en HIPAA (Departamento de Salud de los Estados Unidos & Servicios Humanos, nd.). Aquí, un aspecto preocupante es cómo tales sistemas de atención médica no entienden la importancia de proteger los datos de los pacientes en la era de los problemas de ciberseguridad.
El cumplimiento de las reglas de HIPAA ofrece seguridad en Internet para los pacientes al tiempo que previene las sanciones legales que pueden estar asociadas con la exposición no autorizada de los datos del paciente. Para implementar la seguridad en Internet para todos los datos de los pacientes, Insureon (n.d.) aboga por un seguro de responsabilidad cibernética para cubrir a los proveedores de atención médica que manejan datos confidenciales. La política incluye los costos legales y los recursos vitales necesarios en las demandas por violación de datos, los cargos de monitoreo de fraude y los cargos de notificación al cliente. La existencia de un seguro contra la violación de los datos del paciente implica que el cumplimiento de HIPAA es vital para todos los proveedores de atención médica que practican para proteger el bienestar del paciente y prevenir demandas asociadas.
Posición Defensa / Adecuaciones
La regla de privacidad de HIPAA establece los requisitos nacionales para la protección de los datos médicos de los pacientes y otros detalles de salud confidenciales. Se extiende a las aseguradoras de salud, cámaras de compensación y profesionales médicos que realizan dichos servicios de atención médica electrónicamente. La Regla incluye protecciones apropiadas para preservar la confidencialidad de los registros de salud confidenciales, y limitaciones y restricciones en el uso y divulgación de cualquier detalle sin el consentimiento del paciente. La Regla a menudo permite a los pacientes acceder a su historial personal, incluida la capacidad de inspeccionar y obtener una copia de sus documentos, y solicitar enmiendas.
La Política de Seguridad establece los requisitos nacionales para asegurar los registros personales digitales de salud de las personas que una agencia cubierta crea, recibe, usa o almacena (Office for Civil Rights, 2017). Para mantener la seguridad, confidencialidad y protección de los registros confidenciales de los clientes, la Regla de Seguridad incluye protecciones gerenciales, físicas y tecnológicas adecuadas. Una violación se describe comúnmente como un uso ilegal o exposición de detalles de salud protegidos bajo la Política de Privacidad que pone en peligro la confidencialidad o privacidad de los detalles. Por incumplimiento deliberado de las leyes HIPAA, el castigo mínimo es de $ 50,000.
Las personas que violan la HIPAA enfrentan una posible sentencia penal de $ 250,000 y las víctimas también tienen derecho a un reembolso (Oficina de Derechos Civiles, 2017). Una sentencia de prisión, además de un castigo monetario, es probable por una violación de las reglas de HIPAA.
Cambios propuestos basados en la tecnología actual
La inadecuación identificada de la ley es la adopción, particularmente entre las entidades cubiertas, que excluye a los posibles infractores. En la mayoría de los casos, los autores de las reglas HIPAA pueden no incluir a las entidades de cumplimiento, sino a personas externas con fines maliciosos. Por lo tanto, el Congreso, los sistemas de salud y otros centros de implementación legal también deben identificar los roles esenciales de los delincuentes y las posibilidades de su falta de conocimiento de las consecuencias que acompañan a la violación de HIPAA. Por lo tanto, el Congreso debe presupuestar un extenso sistema de implementación que determine el intercambio del mensaje a los posibles infractores de la ley HIPAA. Por lo tanto, el sistema de implementación debe incluir campañas de concienciación pública sobre la política y las consecuencias asociadas.
Solicitudes sobre la ley
HIPAA se aplica a todas las entidades cubiertas según lo elaborado en la parte II; proveedores de atención médica, planes de atención médica, cámaras de compensación médica y empresas. La legislación de privacidad de HIPAA cubre tres funciones principales: estándares de protección administrativos, físicos y técnicos. Las directrices administrativas garantizan que los datos médicos sean exactos y que las personas autorizadas tengan acceso a ellos. Implica procedimientos como el nombramiento de un administrador para administrar la gestión de datos y la aplicación de HIPAA, así como determinar qué personal puede acceder a los detalles del paciente. Prevenir el robo físico y la destrucción de computadoras que contienen detalles del paciente es uno de los estándares de protección física. La protección física puede lograrse restringiendo el acceso a la red. Finalmente, las normas de cumplimiento tecnológico implican proteger las redes y las computadoras de las violaciones de datos. El cumplimiento de las políticas de HIPAA implica adherirse a los estándares de protección administrativa, técnica y física elaborados.
Caso 1
Un caso enumerado es cuando una compañía de seguros privada le negó a un paciente una copia de los documentos médicos. La acción violó el acceso privado a la información personal, lo que violó la Regla de Privacidad. En su caso, un paciente es una parte autorizada y tiene derecho a acceder a los registros personales (Oficina de Derechos Civiles, 2017). Por lo tanto, la empresa privada violó la ley y fue sancionada.
Caso 2
En el caso 2, un hospital público permitió la divulgación de información de salud privada a una agencia legal para procedimientos judiciales sin autorización. La organización pública de salud violó la Regla de Privacidad por no proteger la información privada de sus pacientes (Oficina de Derechos Civiles, 2017). Como medida correctiva, la OCR ordenó al hospital que evaluara sus pautas de procesamiento de citaciones.
Conclusión
Las regulaciones de política y seguridad de HIPAA han alterado significativamente la forma en que operan las instalaciones médicas y los profesionales de la salud. La práctica de la atención médica puede verse comprometida si se ingresa una ubicación, información de contacto, correo electrónico o texto inexactos en una página, o si el conocimiento confidencial se expone a partes no autorizadas. La conciencia y la práctica de HIPAA, y el diseño y el mantenimiento de programas que eliminen los errores humanos, son críticos. Ambos profesionales de la salud deben estar capacitados en HIPAA y reconocer los posibles peligros y acciones que pueden contribuir a una violación.