Cumplir con todos los requisitos de HIPAA es un gran desafío; comprender los casos marginales y las excepciones añade otra capa de complejidad y estrés. Para ayudar, hemos resumido las principales excepciones a la Ley de Portabilidad y Responsabilidad del Seguro de Salud y sus reglas.
Excepciones generales de HIPAA
La mayoría de las excepciones de HIPAA son casos extremadamente específicos, como cuando HIPAA podría contradecir la ley estatal u otras regulaciones. Un ejemplo es para universidades docentes donde una institución educativa podría proporcionar servicios de salud al público. Otra excepción es para los médicos militares que pueden estar obligados a divulgar PHI al informar sobre la aptitud de un paciente para el servicio. Otras excepciones se aplican a las sesiones de psicoterapia cuando las leyes estatales exigen que los terapeutas adviertan sobre un daño inminente o informen sobre casos de abuso.
Además, las instituciones financieras, incluidos los bancos y los procesadores de pagos, actualmente están exentas de HIPAA. Las entidades cubiertas deben ser conscientes de cómo se procesan los pagos directos de un paciente para garantizar el cumplimiento de la Regla de Mínimo Necesario.
En la mayoría de los casos, cuando HIPAA contradice la ley estatal, HIPAA prevalece, a menos que la ley estatal proporcione disposiciones de privacidad de datos o derechos de los pacientes más sólidos. Si alguna vez no está seguro de si se aplican las reglas de HIPAA, es mejor consultar con un abogado de atención médica o un profesional de cumplimiento de HIPAA.
Lectura recomendada
Quién aplica HIPAA + Cómo asegurarse de que su negocio cumpla con HIPAA
Read MoreExcepciones a la definición de información de salud protegida (PHI)
La legislación de HIPAA se aplica a las entidades cubiertas y asociados de negocios. Cualquier PHI que sea creado, almacenado, accedido o transmitido por estas organizaciones de atención médica está protegido por HIPAA. Pero en manos de otra empresa, esa misma información puede no considerarse PHI y no estaría protegida por HIPAA.
Por ejemplo, una aplicación de fitness que rastrea la frecuencia cardíaca, los patrones de sueño, los niveles de actividad o el consumo de calorías de un usuario no constituye PHI.
Aquí hay algunos otros ejemplos donde los datos de salud no se clasifican como PHI:
- Consultas de citas: Los nombres y números de teléfono de posibles pacientes que llaman para concertar una cita no se consideran PHI, porque no se asocia ninguna información de salud con ellos. Sin embargo, una vez que esa persona se convierte formalmente en paciente, esos datos se convierten en PHI y están protegidos.
- Registros de empleados y educativos: Cualquier registro relacionado con la salud de empleados o estudiantes, incluidas las alergias conocidas, el tipo de sangre o las discapacidades, no se considera PHI.
- Dispositivos portátiles: Los datos recopilados por dispositivos portátiles, incluidos monitores de frecuencia cardíaca o relojes inteligentes, no son PHI.
- Aplicaciones de salud y fitness: Los datos recopilados o ingresados en una aplicación móvil de fitness o salud no son PHI.
- PHI desidentificada: Los datos de salud que han eliminado todos los identificadores personales y no pueden vincularse a un individuo específico ya no se consideran PHI. A veces, las organizaciones usan PHI desidentificada con fines de estadística o investigación.
Excepciones a la regla de privacidad HIPAA
En circunstancias muy específicas, la Regla de Privacidad de HIPAA permite que las entidades cubiertas usen y/o divulguen información de salud personal sin autorización del paciente. Típicamente, estos casos involucran el tratamiento, pago y operaciones de atención médica (TPO) de un proveedor de atención médica. Otras excepciones incluyen casos de interés público.
Por ejemplo:
- Regulaciones y licencias de atención médica
- Salud pública (como reportar a un departamento de salud estatal o al CDC)
- Investigación médica
- Compensación laboral
- Procedimientos legales y propósitos de cumplimiento de la ley
- Informar a los familiares más cercanos, identificar un cuerpo, determinar la causa de la muerte o para un médico forense/coronel
Incluso en estas situaciones, divulgaciones deben ser documentadas en un registro de contabilidad de divulgaciones.
Excepciones a la regla de notificación de violaciones de HIPAA
Existen algunos escenarios que técnicamente se consideran una violación, aun así, el Departamento de Salud y Servicios Humanos de EE.UU. (HHS) extiende excepciones para ellos. Estos incluyen:
- Acceso o uso no intencional de PHI por un empleado, realizado de buena fe y dentro del alcance de su autoridad
- Divulgación accidental de PHI entre personas autorizadas
- La organización confía plenamente en que la persona que obtuvo o accedió a la PHI no retendrá ni comprometerá los datos
Si alguna de las tres excepciones es verdadera, entonces la PHI no se considera 'violada' y la entidad cubierta no está obligada a notificar a las partes afectadas ni al HHS bajo la regla de notificación de violaciones.
Excepciones a la regla de mínimo necesario de HIPAA
El HHS establece seis excepciones a la regla de mínimo necesario:
- Proveedores de atención médica que hacen solicitudes de PHI para brindar tratamiento a un paciente
- Pacientes que hacen solicitudes de copias de sus propios registros médicos
- Solicitudes de PHI cuando hay una autorización válida
- Solicitudes de PHI que son necesarias para el cumplimiento de la Regla de Transacciones HIPAA u otras Reglas de Simplificación Administrativa HIPAA
- Solicitudes de divulgación de PHI al HHS para investigación de quejas, revisión de cumplimiento o ejecución
- Solicitudes de PHI que de otra manera son requeridas por la ley
Preguntas frecuentes
¿Qué está exento de HIPAA?
HIPAA no cubre toda la información sanitaria ni a todas las entidades que manejan información relacionada con la salud. Algunas exenciones incluyen:
- Entidades No Cubiertas: Las entidades que no son proveedores de atención médica, planes de salud o cámaras de compensación de atención médica, y que no cumplen con la definición de asociado comercial, no están cubiertas por HIPAA. Esto incluye a empleadores, compañías de seguros de vida (cuando no actúan como planes de salud), aseguradoras de compensación para trabajadores, muchas escuelas y distritos escolares, muchas agencias estatales como servicios de protección infantil y muchas agencias de aplicación de la ley.
- Información de Salud Desidentificada: La información que ha eliminado toda información personalmente identificable, cumpliendo con los estándares de la Regla de Privacidad de HIPAA para desidentificación, no está cubierta por HIPAA. Hay dos métodos para lograr la desidentificación: el Método de Determinación de Expertos y el Método de Refugio Seguro.
- Registros de Empleo: Los registros de empleo mantenidos por una entidad cubierta en su rol como empleador están exentos de HIPAA. Esto incluye la información relacionada con el empleo que la entidad cubierta mantiene en su departamento de recursos humanos.
- Registros Educativos: Los registros cubiertos por la Ley de Derechos Educativos y Privacidad de la Familia (FERPA) están exentos de HIPAA. Esto incluye registros educativos como calificaciones y transcripciones que están directamente relacionados con un estudiante y son mantenidos por una institución educativa o una parte que actúa en su nombre.
¿Cuáles son las tres excepciones a la definición de incumplimiento?
Según la Regla de Notificación de Incumplimientos de HIPAA, hay situaciones específicas en las que un uso o divulgación no autorizados de información de salud protegida (PHI) no se considera un incumplimiento. Estas excepciones son:
- Adquisición, Acceso o Uso No Intencional por Parte de Miembros del Personal: Si un miembro del personal de una entidad cubierta o un asociado comercial adquiere, accede o utiliza PHI de manera no intencional, de buena fe y dentro del alcance de su autoridad, y la información no se utiliza o divulga de manera no permitida por la Regla de Privacidad, no se considera un incumplimiento.
- Divulgación Inadvertida Entre Personas Autorizadas a Acceder a PHI: Si la divulgación no autorizada de PHI ocurre inadvertidamente entre dos individuos que están autorizados a acceder a PHI en la misma entidad cubierta o asociado comercial (o arreglo de atención médica organizada), y la información no se utiliza o divulga de manera no permitida por la Regla de Privacidad, no se considera un incumplimiento.
- Divulgación a Persona No Autorizada Donde la PHI No Es Divulgada Posteriormente: Si una entidad cubierta o un asociado comercial divulga PHI a una persona no autorizada, pero la entidad o el asociado tiene una creencia de buena fe de que la persona no autorizada a quien se hizo la divulgación no habría podido razonablemente retener la información, no se considera un incumplimiento.