Tradicionalmente, la asistencia sanitaria ética siempre ha incluido la necesidad de mantener la confidencialidad sobre la información médica del paciente. Sin embargo, la Health Insurance Portability and Accountability Act (HIPAA—véase www.hhs.gov/ocr/privacy/) ha codificado la responsabilidad de los prestadores de salud, los planes de salud, los centros de intercambio de información sobre atención sanitaria y los asociados de negocios que transmiten electrónicamente información sobre salud o relacionada (p. ej., historias clínicas, inscripción, facturación, verificación de elegibilidad). En conjunto, estas entidades están cubiertas por la ley HIPAA. Las disposiciones clave de la HIPAA están incorporadas en tres reglas (ahora contenidas en una regla general): las reglas de Privacidad, Seguridad y Notificación de Incumplimiento, todas las cuales están destinadas a proteger la privacidad y la seguridad de la información de salud identificable en forma individual, denominada información de salud protegida.
La Regla de Privacidad establece normas para la protección de la ISP y se les da a los pacientes derechos importantes con respecto a su información relacionada con la salud. La Regla de Seguridad establece garantías que deben implementar las entidades cubiertas y sus socios de negocios para proteger la privacidad, la integridad y la seguridad de la ISP electrónica. La regla del incumplimiento de la notificación requiere que las entidades cubiertas notifiquen a los individuos afectados, el gobierno federal, y en algunos casos, los medios de comunicación de una violación de la ISP no asegurada. El Office for Civil Rights in the US Department of Health and Human Services hace cumplir estas tres reglas y proporciona orientación sobre el cumplimiento de las normas.
Los aspectos clave de la Regla de Privacidad se explicarán a continuación.
Acceso a los registros médicos
Típicamente, los pacientes y sus representantes autorizados deben poder ver y obtener copias de sus historias clínicas y registros médicos y solicitar correcciones si se identifican errores. A fin de cumplir con la Regla de Privacidad, un "representante personal" autorizado del paciente es el que tiene autoridad para tomar decisiones relacionadas con la salud, un apoderado designado con poder notarial para la atención de la salud o un miembro de la familia o un amigo autorizado a servir como surrogante para tomar decisiones relacionadas con la salud en forma legal. Los pacientes también tienen el derecho de darle a otra persona acceso a todos o a parte de sus registros médicos a través de una autorización por escrito y firmada.
Advertencia sobre prácticas de privacidad
Los proveedores de la salud deben advertir sobre el uso posible de la información médica personal y sobre los derechos del paciente según las regulaciones de la HIPAA.
Límites en el uso de la información médica personal
La HIPAA limita la forma en que los proveedores de atención médica pueden utilizar la información de salud protegida. Esta ley no limita a los médicos, los enfermeros y otros profesionales a compartir la información necesaria para tratar a sus pacientes. La revelación de datos para llevar a cabo intercambios de información sobre salud y agencias de salud pública con fines de salud pública durante eventos como la pandemia de COVID-19 también son revelaciones permitidas bajo las pautas de la Office for Civil Rights in the US Department of Health and Human Services. Sin embargo, los profesionales solo pueden usar o compartir la cantidad mínima de información protegida necesaria para un propósito en particular. En la mayoría de las situaciones, la información personal de salud no puede emplearse para fines no relacionados con la atención sanitaria. Por ejemplo, un paciente debe firmar una autorización específica antes de que un médico pueda divulgar información médica a una aseguradora de vida, un banco, una empresa de comercialización u otros negocios para fines no relacionados con las necesidades de salud actuales del paciente.
Mercadotecnia
La mercadotecnia es el conjunto de procedimientos en comunicación diseñados para alentar a las personas a comprar un determinado producto o servicio. La HIPAA exige que debe obtenerse la autorización específica del paciente antes de revelar información para marketing. Los proveedores de la atención sanitaria deben revelar los pagos que recibirán como consecuencia de esta forma de propaganda. Sin embargo, los proveedores de la atención sanitaria pueden comunicarse libremente con los pacientes sobre las opciones terapéuticas, los productos y otros servicios relacionados con la salud, que incluyen los programas de manejo de la enfermedad.
Comunicaciones confidenciales
Los profesionales de la salud deben tomar medidas razonables para garantizar que sus comunicaciones con el paciente son confidenciales y acordes a las preferencias del paciente. Por ejemplo, las conversaciones entre médico y paciente en general deben realizarse en privado, o un paciente podría preferir que el médico lo llame a su oficina en lugar de a su casa. Sin embargo, a menos que los pacientes presenten alguna objeción, los profesionales pueden compartir la información médica con los familiares inmediatos del paciente o alguien que se sabe es un amigo personal cercano si la información se relaciona con la participación de esa persona en la atención del paciente o el pago por la atención y la información se limita a lo necesario para esa persona. Se espera que los médicos ejerzan su buen juicio profesional.
Un representante personal autorizado que actúa en nombre del paciente debe ser tratados de la misma manera que el paciente con respecto al acceso a la información y la participación en la toma de decisiones. Así, el representante tiene el mismo acceso a la información y puede ejercer los mismos derechos respecto de la confidencialidad de la información. Sin embargo, los médicos puedan restringir la información o el acceso si existen dudas razonables sobre violencia doméstica, malos tratos o abandono por parte del representante.
Cierto tipo de comunicación no puede permanecer confidencial. A veces, los médicos son obligados por la ley a revelar determinada información, normalmente porque la enfermedad puede presentar un peligro para otras personas. Por ejemplo, ciertas enfermedades infecciosas (p. ej., COVID-19, HIV, sífilis, tuberculosis) deben ser notificadas a organismos estatales o locales de salud pública. Los signos de abuso o negligenica en niños y, en muchos estados, en adultos o ancianos, normalmente deben ser informados a los servicios de protección. Las enfermedades que pueden perjudicar gravemente la capacidad del paciente para conducir vehículos, como demencia o convulsiones recientes, deben ser notificadas al Department of Motor Vehicles en algunos estados.
Reclamaciones
Los pacientes pueden presentar reclamaciones sobre el cumplimiento de estas políticas de privacidad. Las quejas pueden presentarse directamente al médico, la Office for Civil Rights del US Department of Health and Human Services o al oficial personal designado por la institución junto con HIPAA. Los pacientes no tienen derecho a presentar una demanda privada según dicta la HIPAA. Se pueden imponer sanciones civiles y penales por la divulgación indebida de información personal de salud. El curso más sólido para los profesionales de la salud es estar bien informados acerca de la HIPAA, actuar de buena fe y realizar los intentos razonables para cumplir con las reglas.
