La HIPAA es un estatuto federal que exige el desarrollo de estándares nacionales para evitar que los datos críticos de salud del paciente se revelen sin el conocimiento o permiso del paciente. Los derechos de las personas a conocer y regular el uso de su información de salud también se detallan en los criterios de la Regla de Privacidad. Los pacientes tienen acceso a ciertos datos, como información de facturación, pero se les restringe ver datos específicos; los pacientes que creen que se les ha negado el acceso a sus datos o que se ha violado la política pueden presentar una queja.
Bajo la regla de privacidad de HIPAA, las personas tienen derecho a ver y obtener copias de sus registros de salud de los proveedores de atención médica y las aseguradoras, con algunas excepciones. Los pacientes tienen acceso a sus registros de salud y facturación mantenidos por o en nombre de un proveedor de atención médica cubierto (Health Information Privacy, 2019). Los pacientes tienen acceso a todos los sistemas de registros electrónicos del plan de salud, incluidos los utilizados para la inscripción, la facturación, la resolución de disputas y la planificación de casos o tratamientos. También pueden acceder a cualquier archivo adicional utilizado por o en nombre de la empresa cubierta en el proceso de toma de decisiones que afecte a personas específicas.
Una persona no tiene derecho a examinar información que no forme parte de un determinado conjunto de registros, ya que no se utiliza para emitir juicios sobre personas. Incluye documentos de control de calidad y mejora, medidas de seguridad del paciente y estrategia y planificación de la empresa (Centros para el Control y la Prevención de Enfermedades, 2019). Además, el acceso está restringido a los registros de gestión para decisiones corporativas amplias en lugar de decisiones individuales de personal. Los datos de un individuo pueden haber sido utilizados para construir registros de control de calidad para mejorar el servicio al cliente o los registros de desarrollo del plan de salud. Debido a que el profesional de la salud mental mantiene registros de psicoterapia separados del resto de los registros médicos del paciente, el paciente no tiene acceso a ellos. El paciente no está autorizado a ver los documentos preparados antes o junto con una acción o procedimiento civil, penal o reglamentario.
La legislación federal fue creada para salvaguardar la privacidad y la seguridad de los datos de salud de los pacientes. Estas garantías deben ser dadas a conocer a los pacientes por las autoridades reconocidas. Pueden hablar, hacer preguntas y presentar quejas si creen que se están abusando de sus derechos o que sus datos de salud no se mantienen en secreto (Centros para el Control y la Prevención de Enfermedades, 2019). Los pacientes tienen derecho a ser informados de cualquier incidente que pueda amenazar la confidencialidad de sus datos médicos.
Una persona puede presentar quejas sobre la violación de HIPAA Oficina de Derechos Civiles (OCR) a través de una carta o portal en línea. Si es a través de una carta, las personas que reclaman una violación de la privacidad que involucre su información de salud u otra violación de la Regla de Privacidad o Seguridad deben divulgar su información personal y los datos personales de la persona, institución u organización que sienten que violó su privacidad (HIPAA Journal, 2021). Deben describir lo que ocurrió en el menor número de palabras posible. Aquellos que creen que sus derechos de privacidad a la información de salud protegida han sido violados deben proporcionar explicaciones detalladas. El demandante puede proporcionar más información y firmar el documento. Si un paciente presenta una queja en nombre de otra persona, también se debe proporcionar el nombre de esa persona. El Paquete de Quejas de Privacidad de Información de Salud y el Portal de Quejas de la OCR facilitan que los pacientes presenten quejas bajo la Regla de Seguridad.
Después de un compromiso de PHI sin protección, las organizaciones cubiertas deben notificar a las personas afectadas. Las organizaciones cubiertas deben proporcionar esta notificación por correo de primera clase o correo electrónico si la persona afectada acepta recibir comunicaciones electrónicas. Supongamos que la entidad cubierta carece o posee información de contacto desactualizada para diez o más personas. En tales circunstancias, debe emitir una advertencia individual alternativa publicando la declaración durante al menos 90 días en su sitio web o en medios impresos o de difusión significativos en la región donde se espera que vivan las personas (Health Information Privacy, 2019). Para evaluar si su información personal se ha visto comprometida, la empresa cubierta debe proporcionar un número de teléfono gratuito que esté operativo durante al menos 90 días (Health Information Privacy, 2019). Si la entidad cubierta no tiene información de contacto adecuada u obsoleta para menos de diez personas, puede ofrecer una notificación alternativa por teléfono, correo electrónico u otros métodos.
La Oficina de Derechos Civiles debe implementar los estándares de privacidad y seguridad de HIPAA. Los deberes de OCR incluyen investigar quejas, ya que puede realizar inspecciones de cumplimiento para evaluar el cumplimiento dentro de las compañías cubiertas, además de proporcionar educación y divulgación de acuerdo con las Reglas de Seguridad y Privacidad (Health Information Privacy, 2019). Tiene el poder de investigar quejas individuales y notificará tanto al reclamante como a la empresa cubierta si esto ocurre. El siguiente paso es entrevistar al demandante y a la entidad cubierta para obtener más información sobre el evento o la preocupación. OCR puede solicitar información de cada uno para comprender mejor los hechos. Las empresas que están cubiertas están obligadas a participar en las investigaciones de quejas. Si una queja alega una violación criminal de HIPAA, OCR puede referirla al Departamento de Justicia. Examina la evidencia en casos específicos. En raras ocasiones, puede decidir que la entidad cubierta no violó la Regla de Privacidad o Seguridad. Si la parte contractual no puede cumplir, OCR trabajará con la compañía cubierta para solucionar la situación mediante la recopilación de la información.
En conclusión, con ciertas exclusiones, las personas tienen derecho a ver y obtener copias de sus registros de pacientes mantenidos por las aseguradoras y proveedores de atención médica siguiendo la Regla de Privacidad de HIPAA. La información médica y de facturación de un paciente está abierta para ellos, ya sea creada por o para el proveedor. Debido a que no se utiliza para tomar decisiones sobre individuos específicos, una persona no tiene derecho a acceder a información que no está incluida en un conjunto de registros específico.