Confidencialidade e HIPAA

Em geral, os pacientes ou seus representantes legais devem ser capazes de ver e obter cópias de seus registros médicos e solicitar correções no caso de identificar erros ou enganos. Para fins da Regra de Privacidade, um "representante pessoal" autorizado do paciente é um responsável legal ou tutor com autoridade sobre decisões de saúde, um agente ou procurador nomeado em uma diretiva antecipada ou uma procuração para cuidados de saúde (durable power of attorney for health care), ou um familiar ou amigo autorizado a atuar como substituto para decisões de saúde de acordo com a lei estadual. Os pacientes também têm o direito de conceder a outra pessoa acesso a todo ou parte de seus registros médicos por meio de uma autorização assinada e por escrito.

Os provedores de cuidados de saúde devem fornecer um aviso sobre seus possíveis usos de PHI e sobre os direitos do paciente conforme as regulamentações da HIPAA.

O HIPAA limita como os serviços de saúde podem utilizar informações sob o ISP. A lei não impede médicos, enfermeiras e outros profissionais de saúde de compartilharem informações necessárias para tratar o paciente. Divulgações para intercâmbio de informações sobre saúde e agências de saúde pública para fins de saúde pública durante eventos como a pandemia de covid-19 também são divulgações permitidas sob as diretrizes do Escritório de Direitos Civis do Departamento de Saúde e Serviços Humanos dos Estados Unidos. Contudo, os profissionais de saúde podem utilizar ou compartilhar apenas uma quantidade mínima de informações protegidas necessárias para um propósito específico. Na maioria das outras situações, as ISP não podem ser utilizadas com finalidades não relacionadas com tratamentos da saúde. Por exemplo, é necessário que o paciente assine uma autorização antes do agente de saúde liberar informações médicas para seguro de vida, banco, firma de marketing ou outro negócio externo para propósitos não relacionados com o tratamento de saúde do paciente.

O marketing é uma comunicação estabelecida para estimular indivíduos a comprar um produto ou serviço particular. O HIPAA requer que autorização específica do paciente seja obtida antes de revelar ISP para propósitos de marketing. Os agentes de saúde devem revelar qualquer pagamento recebido como resultado de marketing. Entretanto, os agentes de saúde podem comunicar livremente aos pacientes sobre as opções de tratamento, produtos e outros serviços relacionados com a saúde, incluindo programas de tratamento de doenças.

Os profissionais de saúde devem tomar medidas satisfatórias para assegurar que a comunicação com o paciente seja mantida confidencial e de acordo com as preferências do paciente. Por exemplo, as conversas clínicas entre o médico e o paciente geralmente devem ser reservadas, ou o paciente pode preferir que o médico telefone para seu escritório em vez de sua residência. Entretanto, a menos que o paciente se oponha, os médicos podem compartilhar as ISP com parentes imediatos ou alguém conhecido por ser um amigo pessoal próximo se as informações estiverem relacionadas com o envolvimento dessa pessoa com o atendimento do paciente ou pagamento pelo atendimento e as informações forem limitadas ao que é necessário para o envolvimento dessa pessoa. Espera-se que os médicos exerçam julgamento profissional.

Deve-se tratar o representante individual autorizado do paciente da mesma maneira que o paciente no que diz respeito ao acesso a informações e à participação na tomada de decisões. Assim, o representante tem o mesmo acesso às informações e pode exercer os mesmos direitos referentes à confidencialidade das informações. Contudo, profissionais de saúde devem restringir as informações ou avaliar se há preocupações razoáveis acerca de violência doméstica, abuso ou negligência pelo representante.

Algumas comunicações não podem permanecer confidenciais. Ocasionalmente, profissionais de saúde são obrigados por lei estadual ou local a divulgar certas informações, geralmente porque a condição pode representar um perigo para outras pessoas. O HIPAA permite a divulgação de informações de saúde protegidas para autoridades de saúde pública que estão legalmente autorizadas a receber essas informações com a finalidade de prevenir ou controlar uma doença, lesão ou invalidez (1). (Ver também U.S. Department of Health and Human Services: HIPAA for Professionals: Disclosures for Public Health Activities.) Por exemplo, certos tipos de doenças infecciosas (p. ex., covid-19, HIV sífilis, TB) devem ser informados ao serviço de saúde estadual ou a agências de serviço de saúde público locais. Sinais de abuso infantil e, em muitos estados, abuso ou negligência de adultos ou idosos, geralmente devem ser relatados aos serviços de proteção. Em alguns estados, condições que podem prejudicar gravemente a capacidade do paciente de dirigir, como demência e convulsões, devem ser comunicadas ao departamento de trânsito.

Os pacientes podem fazer queixas sobre a adesão a essas práticas de privacidade. As queixas podem ser encaminhadas diretamente ao profissional de saúde, ao Escritório de Direitos Civis do Departamento de Saúde e Serviços Humanos dos Estados Unidos ou ao responsável pela adesão à privacidade designado pela instituição de acordo com a HIPAA. Embora os pacientes não tenham o direito de apresentar uma ação privada sob a HIPAA, eles podem entrar com ações judiciais sob outras leis que protegem a privacidade e a confidencialidade. O Escritório de Direitos Civis regularmente impõe penalidades civis e criminais por divulgação inadequada de informações pessoais de saúde. A melhor conduta para os profissionais de saúde é se manter bem informado sobre a HIPAA, agir de boa-fé e fazer tentativas cabíveis para respeitar a lei.

1. 1. United States Code of Federal Regulations (CFR): 45 CFR §164.512. Acessado em 22 de setembro de 2023.