Tradicionalmente, la asistencia sanitaria ética siempre ha incluido la necesidad de mantener la confidencialidad sobre la información médica del paciente. Sin embargo, la Health Insurance Portability and Accountability Act (HIPAA, véase Pub. L 104-191 (1996) ha codificado la responsabilidad de los prestadores de salud, los planes de salud, los centros de intercambio de información sobre atención sanitaria y los asociados de negocios que transmiten electrónicamente información sobre salud o relacionada (p. ej., historias clínicas, inscripción, facturación, verificación de elegibilidad). En conjunto, estas entidades están cubiertas por la ley HIPAA. (Véase también U.S. Department of Health and Human Services: HIPAA for Professionals.)
Las disposiciones clave de la HIPAA están incorporadas en las tres reglas siguientes (ahora contenidas en una regla general), todas ellas destinadas a proteger la privacidad y la seguridad de la información de la salud identificable en forma individual, denominada información de salud protegida.
Regla de Privacidad: establece normas para la protección de la ISP y se les da a los pacientes derechos importantes con respecto a su información relacionada con la salud.
Regla de Seguridad: establece garantías que deben implementar las entidades cubiertas y sus socios de negocios para proteger la privacidad, la integridad y la seguridad de la ISP electrónica.
Regla del incumplimiento de la notificación: requiere que las entidades cubiertas notifiquen a los individuos afectados, al gobierno federal, y en algunos casos, a los medios de comunicación sobre una violación de una ISP cuya confidencialidad no es segura.
El Office for Civil Rights in the U.S. Department of Health and Human Services hace cumplir estas tres reglas y proporciona orientación sobre el cumplimiento de las normas.
Los aspectos clave de la Regla de Privacidad se explicarán a continuación.
Acceso a los registros médicos
Típicamente, los pacientes y sus representantes autorizados deben poder ver y obtener copias de sus historias clínicas y registros médicos y solicitar correcciones si se identifican errores. A fin de cumplir con la Regla de Privacidad, un "representante personal" autorizado del paciente es el guardián o el conservador que tiene la autoridad para tomar decisiones relacionadas con la salud, un agente o un apoderado designado en una directiva por adelantado o en un poder notarial para la atención de la salud permanente o un miembro de la familia o un amigo autorizado a servir como sustituto para tomar decisiones relacionadas con la salud en forma legal. Los pacientes también tienen el derecho de darle a otra persona acceso a todos o a parte de sus registros médicos a través de una autorización por escrito y firmada.
Advertencia sobre prácticas de privacidad
Los proveedores de la salud deben advertir sobre el uso posible de la información médica personal y sobre los derechos del paciente según las regulaciones de la HIPAA.
Límites en el uso de información de salud protegida
La HIPAA limita la forma en que los proveedores de atención médica pueden utilizar la información de salud protegida. Esta ley no limita a los médicos, los enfermeros y otros profesionales de salud a compartir la información necesaria para tratar a sus pacientes. La revelación de datos para llevar a cabo intercambios de información sobre salud y agencias de salud pública con fines de salud pública durante eventos como la pandemia de COVID-19 también son revelaciones permitidas bajo las pautas de la Office for Civil Rights in the U.S. Department of Health and Human Services. Sin embargo, los profesionales solo pueden usar o compartir la cantidad mínima de información protegida necesaria para un propósito en particular. En la mayoría de las situaciones, la información de salud protegida no puede utilizarse para fines no relacionados con la atención sanitaria. Por ejemplo, un paciente debe firmar una autorización específica antes de que un médico pueda divulgar información médica a una aseguradora de vida, un banco, una empresa de comercialización u otros negocios para fines no relacionados con las necesidades de salud actuales del paciente.
Mercadotecnia
La mercadotecnia es el conjunto de procedimientos en comunicación diseñados para alentar a las personas a comprar un determinado producto o servicio. La HIPAA exige la obtención de la autorización específica del paciente antes de revelar información de salud protegida con fines de comercialización. Los proveedores de la atención sanitaria deben revelar los pagos que recibirán como consecuencia de esta forma de propaganda. Sin embargo, los proveedores de la atención sanitaria pueden comunicarse libremente con los pacientes sobre las opciones terapéuticas, los productos y otros servicios relacionados con la salud, que incluyen los programas de manejo de la enfermedad.
Comunicaciones confidenciales
Los profesionales de la salud deben tomar medidas razonables para garantizar que sus comunicaciones con el paciente son confidenciales y acordes a las preferencias del paciente. Por ejemplo, las conversaciones entre médico y paciente en general deben realizarse en privado, o un paciente podría preferir que el médico lo llame a su oficina en lugar de a su casa. Sin embargo, a menos que el paciente presente alguna objeción, los profesionales pueden compartir su información médica personal con los familiares inmediatos del paciente o con alguien que se considera un amigo personal cercano si la información se relaciona con la participación de esa persona en la atención del paciente o el pago por lsu atención y la información se limita a lo necesario para esa persona. Se espera que los médicos ejerzan su buen juicio profesional.
Un representante personal autorizado que actúa en nombre del paciente debe ser tratados de la misma manera que el paciente con respecto al acceso a la información y la participación en la toma de decisiones. Así, el representante tiene el mismo acceso a la información y puede ejercer los mismos derechos respecto de la confidencialidad de la información. Sin embargo, los profesionales de la salud puedan restringir la información o el acceso si existen dudas razonables sobre violencia doméstica, malos tratos o abandono por parte del representante.
Cierto tipo de comunicación no puede permanecer confidencial. A veces, los profesionales de la salud son obligados por la ley estatal o local a revelar determinada información, normalmente porque la enfermedad puede representar un peligro para otras personas. La HIPAA permite la divulgación de la información médica protegida a las autoridades de salud pública que están legalmente autorizadas para recibir dicha información con el fin de prevenir o controlar enfermedades, lesiones o discapacidades (1). (Véase también U.S. Department of Health and Human Services: HIPAA for Professionals: Disclosures for Public Health Activities.) Por ejemplo, ciertas enfermedades infecciosas (p. ej., COVID-19, HIV, sífilis, tuberculosis) deben ser notificadas a organismos estatales o locales de salud pública. Los signos de abuso infantil en niños y, en muchos estados, en adultos o ancianos, normalmente deben ser informados a los servicios de protección. En algunos estados, las enfermedades que pueden perjudicar gravemente la capacidad del paciente para conducir vehículos, como demencia o convulsiones recientes, deben ser notificadas al Departmento de Vehículos Motorizados.
Reclamaciones
Los pacientes pueden presentar reclamaciones sobre el cumplimiento de estas políticas de privacidad. Las quejas pueden presentarse directamente al médico, la Office for Civil Rights del U.S. Department of Health and Human Services o al oficial personal designado por la institución junto con HIPAA. Aunque los pacientes no tienen derecho a presentar una demanda privada en virtud de la HIPAA, pueden presentar demandas en virtud de otras leyes que protegen la privacidad y la confidencialidad. La Oficina de Derechos Civiles impone penas civiles y penales por la divulgación indebida de información personal de salud. El curso más sólido para los profesionales de la salud es estar bien informados acerca de la HIPAA, actuar de buena fe y realizar los intentos razonables para cumplir con las reglas.
Referencia
1. United States Code of Federal Regulations (CFR): 45 CFR §164.512. Accedido el 22 de septiembre de 2023.
Más información
U.S. Department of Health and Human Services: HIPAA for Professionals: proporciona información detallada sobre HIPAA, sus reglas y su administración, incluyendo preguntas frecuentes sobre HIPAA.
