Ley de Portabilidad y Responsabilidad del Seguro de Salud de 1996 (HIPAA)
Introducción
La salud es una industria masiva regulada con leyes específicas para cada aspecto de la profesión en la sociedad actual. Sin embargo, Moore y Sarah señalan que no había leyes federales sobre la privacidad del paciente en el entorno de atención médica antes de 1966 en los Estados Unidos. Como resultado, el Congreso promulgó la Ley de Portabilidad y Responsabilidad del Seguro de Salud de 1996, comúnmente conocida como HIPAA. En su sentido más amplio, HIPAA es un gran conjunto de reglas y regulaciones que impiden el acceso, uso o divulgación de la información de salud de los pacientes sin su conocimiento o consentimiento (Ghattas 52). HIPAA fue el resultado de los esfuerzos de los defensores de la reforma de la salud del Congreso y la Administración Clinton para mejorar la industria de la salud (Moore y Sarah 21). En este sentido, este ensayo explora el sitio web del Departamento de Salud y Servicios Humanos de los Estados Unidos para comprender esta Ley. HIPAA es una ley federal que garantiza que los proveedores de atención médica estén rigurosamente controlados y cumplan con la privacidad de los pacientes.
Derechos del Paciente HIPAA
HIPPA protege la información de salud individual y garantiza a los pacientes derechos legales y exigibles para recibir información médica y de facturación. Esta legislación es de amplio alcance, ya que cubre una gran cantidad de entidades de salud: proveedores de atención médica y planes de salud. Estas entidades están asociadas con empresas y están posicionadas para usar o compartir información médica del paciente y otra información de salud de manera ilegal. Afortunadamente, el Departamento de Salud y Servicios Humanos de los Estados Unidos señala que HIPPA garantiza que los registros médicos de los pacientes estén adecuadamente protegidos, ya sea oral, escrito o electrónico. Además, otorga a los pacientes el derecho a acceder a la información de salud. Específicamente, le da a un paciente, con pocas excepciones, el derecho a recibir y revisar los registros médicos y de facturación de los proveedores de atención médica y los planes de salud (Departamento de Salud y Servicios Humanos de los Estados Unidos). La mayoría de los proveedores de atención médica incluyen profesionales que realizan negocios de forma manual o electrónica, como evaluaciones de salud completadas por dentistas, psicólogos y médicos. Por el contrario, los planes de salud pueden consistir en planes de salud de la compañía, organizaciones de mantenimiento de la salud (HMO) y compañías de seguros de salud que facturan electrónicamente el seguro de salud del paciente.
HIPPA determina quién más puede recibir e inspeccionar una copia de los registros médicos protegidos en poder del proveedor de atención médica o plan de salud. En general, las entidades cubiertas por HIPAA deben compartir información con los representantes personales de los pacientes. Para las personas fallecidas, el representante personal es la persona a la que la ley estatal o el tribunal le permite legalmente actuar en lugar de la persona fallecida o el administrador / ejecutor del patrimonio de la persona fallecida. Para los niños, el representante personal es el tutor legal / padre que toma decisiones sobre el bienestar del niño (Departamento de Salud y Servicios Humanos de los Estados Unidos). Sin embargo, un plan o proveedor puede optar por no compartir información con un representante personal que razonablemente cree que podría amenazar al paciente en circunstancias de negligencia, abuso y violencia. Además, HIPPA no permite que un plan o un proveedor divulgue información a familiares y amigos a menos que sean parte del plan de tratamiento o los representantes personales del paciente.
Proceso de Quejas de HIPAA
¿Qué pueden hacer los pacientes si creen que se les niegan sus derechos? Es una pregunta sorprendentemente estimulante y algo subjetiva de responder. Un paciente siempre puede presentar una acusación formal ante la Oficina de Derechos Civiles (OCR) si cree que una entidad le negó el derecho de acceder a la información o violó otro delito de las Reglas de Notificación de Violación, Seguridad y Privacidad (Departamento de Salud y Servicios Humanos de los Estados Unidos). OCR tiene el mandato de investigar las quejas contra los proveedores de atención médica, centros de compensación y planes de salud (Gostin 3016). Los pacientes pueden presentar una queja de seguridad o privacidad, y deben seguir este proceso: El primer paso es presentar la queja por escrito a través del portal de quejas de OCR, correo electrónico, fax o correo. El segundo paso requiere que los pacientes describan los derechos denegados y nombre de la entidad cubierta o socios comerciales. Sin embargo, OCR solo puede investigar entidades cubiertas sujetas a las reglas de HIPPA, como hogares de ancianos, clínicas, hospitales, médicos y planes de salud. El último paso requiere que los pacientes presenten la queja dentro de los 180 días de saber que sus derechos fueron denegados (Departamento de Salud y Servicios Humanos de los Estados Unidos). Los pacientes deben seguir estos pasos para asegurarse de que la solicitud de queja fue un éxito.
Requisitos de notificación de incumplimiento de HIPAA
Las entidades cubiertas deben notificar a los pacientes cuando su información de salud es violada bajo la Regla de Notificación de Violación de HIPAA. Una violación es, básicamente, un incidente en el que los datos personales se utilizan o comparten sin la autorización o el conocimiento del propietario (Moore y Sarah 270). La Regla estipula que estas entidades solo deben pagar una notificación de violación cuando una violación comprometa la privacidad o la seguridad de la información del paciente. Los que se notificarán incluyen a las personas afectadas, el Secretario y, en algunos casos, los medios de comunicación. De acuerdo con el Departamento de Salud y Servicios Humanos de los Estados Unidos, las entidades cubiertas no pueden proporcionar notificación de incumplimiento bajo estas tres excepciones. La primera excepción se aplica si la entidad cubierta cree que la persona no oficial responsable de la violación no retendría la información. La segunda excepción se aplica a que la persona autorizada compartió información con otra persona autorizada a la que se le permitió acceder a dicha información. La excepción final se aplica al uso no intencional de registros médicos dentro del alcance de la autoridad o de buena fe.
Cumplimiento y Aplicación de HIPAA
La Oficina de Derechos Civiles investiga quejas de seguridad o privacidad sobre información de salud. Revisa con cautela toda la información proporcionada por los denunciantes con respecto a la violación de los derechos de información de salud. Sin embargo, solo puede tomar medidas sobre las quejas si: «la queja se presentó dentro de los 180 días de la violación; los derechos de la denuncia fueron violados por una entidad cubierta por HIPAA o un asociado comercial; y el incidente descrito violó las reglas de HIPAA «(Departamento de Salud y Servicios Humanos de los Estados Unidos). La oficina notifica a la entidad cubierta y al demandante una vez que acepta una queja sobre la investigación. Por ley, las entidades cubiertas nombradas en la queja están obligadas a cooperar durante todo el proceso de investigación. A continuación, la OCR pide pruebas de ambas partes para llevar a cabo una evaluación reflexiva de lo que podría haber ocurrido durante el incidente en la queja. OCR determina si la entidad cubierta estaba o no en violación de las Reglas de HIPAA. La queja se desestima si la evidencia recopilada indica que la entidad cubierta no violó la información del paciente. Pero si la evidencia sugiere lo contrario, entonces la OCR trata de resolver la queja pidiendo el mejor curso de acción.
Notablemente, no hay otras agencias involucradas en el proceso de investigación porque la Oficina de Derechos Civiles solo hace cumplir las leyes y regulaciones especificadas bajo el Departamento de Salud y Servicios Humanos de los Estados Unidos. Incluyen «la Ley y Regla de Seguridad del Paciente, las Reglas de Notificación de Privacidad, Seguridad y Violación, HIPAA, la ley de conciencia y libertad religiosa y las leyes federales de derechos civiles» (Departamento de Salud y Servicios Humanos de los Estados Unidos). Estas leyes protegen los derechos fundamentales de privacidad de la información de salud, la libertad religiosa, la conciencia y la no discriminación en las entidades cubiertas. OCR no involucra a otras agencias en sus investigaciones, ya que no hace cumplir las leyes y regulaciones que se aplican al empleo, la vivienda y el sistema de justicia penal (agencias policiales, tribunales e instalaciones correccionales). Sin embargo, puede enviar el caso al Departamento de Justicia si la queja requiere más investigaciones que podrían haber violado las disposiciones penales de HIPAA.
La Oficina de Derechos Civiles es responsable de resolver las violaciones de privacidad / seguridad de HIPAA. Emite una carta que describe los acuerdos de resolución, como el cumplimiento voluntario y la acción correctiva (Departamento de Salud y Servicios Humanos de los Estados Unidos). Karne et al. definir un acuerdo de resolución como un contrato entre dos partes para resolver un acuerdo por escrito, ya sea a través de una acción específica, un acuerdo o una determinación. Una entidad cubierta o asociado de negocios acuerda cumplir con las reglas de HIPAA por tres años. El Departamento de Salud y Servicios Humanos se asegura de que la entidad / asociado cumpla con la obligación establecida durante todo el período. Estos pueden ser acuerdos integrales a nivel estatal que pueden cubrir a un solo hospital, proveedor de atención médica o profesional o requerir un cambio sistemático en toda la industria de la salud. Por ejemplo, el Departamento de Salud y Servicios Humanos de los Estados Unidos informa que el 28 de marzo de 2022, OCR anunció un acuerdo de resolución que exigía acciones correctivas que involucraran a cuatro proveedores de atención médica responsables del cumplimiento. La OCR hizo cumplir las siguientes acciones colectivas y sanciones.
Northcutt Dental-Fairhope, LLC, un proveedor de servicios dentales en Alabama, acordó pagar $ 62,500 para resolver la Regla de Privacidad de HIPAA. También acordó tomar medidas correctivas para divulgar de manera inadmisible su información personal de salud a una compañía de marketing de terceros y un gerente de campaña que ayude a una campaña electoral en el Senado estatal. Jacob and Associates, un centro de salud mental en California, acordó pagar a OCR $ 28,000 para resolver la Regla de Privacidad de HIPAA y tomar acciones colectivas por no incluir la disposición fundamental del Derecho de Acceso. La OCR impuso una multa civil de 50.000 dólares al Dr. U. Phillip Igbinadolor, D.M.D. & Associates, P.A. (UPI), un proveedor de servicios dentales en Carolina del Norte para responder a una revisión en línea negativa utilizando la información de salud personal de un paciente. El Dr. Donald Brockley, un solo proveedor de servicios dentales en Pennsylvania, acordó pagar $ 30,000 y tomar medidas correctivas por no proporcionar a un paciente una copia de su historial médico (Departamento de Salud y Servicios Humanos de los Estados Unidos). Estos incidentes proporcionan ejemplos de acciones correctivas que OCR puede aplicar a las entidades o asociaciones empresariales cubiertas por violar las Reglas de Privacidad de HIPAA. También muestran que OCR puede imponer multas monetarias civiles (CMP) por incumplimiento de las Reglas de Privacidad de HIPAA.
Conclusión
HIPAA ha cambiado la forma en que el campo médico maneja la información de salud de los pacientes y la divulga a otros que pueden o no tenerla. Esta legislación garantiza que los registros médicos de los pacientes estén bien protegidos, ya sea oral, escrito o electrónico. También exige que las entidades cubiertas o socios comerciales notifiquen a los pacientes cuando hay una violación de la información de salud. De lo contrario, un paciente puede presentar una acusación legal ante OCR si confía en que la entidad cubierta o sus socios comerciales les han negado sus derechos fundamentales.
Si un paciente presentó una queja dentro de los seis meses posteriores a la violación, la OCR investiga la queja para determinar si el incidente descrito violó las reglas de la HIPAA. Sin embargo, la OCR no realiza investigaciones si la persona no autorizada responsable de la violación no pudo retener información, una persona autorizada compartió información con otras personas autorizadas y el uso de la información estaba dentro del alcance de la autoridad. El proceso de investigación requiere que OCR solicite evidencia del demandante y la entidad cubierta / asociado comercial mencionado en la queja para determinar si violaron o no proteger la información de salud. La OCR emite una carta que describe los acuerdos de resolución para forzar el cumplimiento voluntario, la acción correctiva o imponer sanciones civiles monetarias por incumplimiento de las Reglas de Privacidad y Seguridad de HIPAA.