Si estás buscando cumplir con HIPAA por primera vez, probablemente te hayas encontrado con sus reglas de Privacidad, Seguridad, Notificación de Violación, Ejecución y Ómnibus. Estas reglas detallan cómo las entidades cubiertas deben utilizar y divulgar adecuadamente la información de salud protegida (PHI).
De estas, las más comúnmente discutidas son las Reglas de Privacidad y Seguridad. Después de todo, el propósito central de HIPAA es proteger la privacidad y seguridad de la información de salud personal del paciente.
Navegar por estas reglas puede ser complicado, especialmente cuando se trata de entender lo que cubren y lo que se considera una violación. Esta publicación explica todo lo que necesitas saber sobre la Regla de Privacidad de HIPAA.
Para empezar, aquí hay un breve resumen de la Regla de Privacidad de HIPAA:
- Definición de la Regla de Privacidad de HIPAA: La Regla de Privacidad regula el uso y divulgación de la información de salud protegida (PHI).
- ¿Qué hace la Regla de Privacidad de HIPAA?: Requiere que las entidades cubiertas establezcan prácticas de privacidad que salvaguarden la PHI. También otorga a los pacientes un mayor control sobre quién puede acceder y compartir sus registros de salud.
- Cuándo entró en vigor la Regla de Privacidad de HIPAA: 14 de abril de 2003
- La Regla de Privacidad de HIPAA es ejecutada por: Oficina de Derechos Civiles del Departamento de Salud y Servicios Humanos de los EE.UU.; Fiscales Generales del Estado, Centros de Servicios de Medicare y Medicaid (CMS)
¿Qué es la Regla de Privacidad de HIPAA?
La legislación HIPAA fue aprobada en 1996 para abordar problemas clave del sistema de salud de EE.UU. También conocida como la Ley de Portabilidad y Responsabilidad del Seguro de Salud de 1996, fue diseñada para hacer que el cuidado de la salud sea más accesible, eficiente y seguro.
HIPAA incluye un conjunto de estándares nacionales para ayudar a las organizaciones de salud y sus asociados comerciales a proteger la privacidad y seguridad de los datos de los pacientes. Una de esas reglas es la Regla de Privacidad.
¿Cuál es el propósito de la Regla de Privacidad de HIPAA? Proteger (acertaste) la privacidad del paciente.
La Regla de Privacidad de HIPAA es una ley federal que otorga a los pacientes derechos individuales sobre su información de salud protegida y limita quién puede acceder y divulgar la PHI. Está diseñada para asegurar que las organizaciones tomen las medidas adecuadas para asegurar la información de salud mientras permiten que esa información se comparta de una manera que promueva una atención médica de alta calidad.
¿Quién debe cumplir con la Regla de Privacidad de HIPAA?
¡Pregunta sorpresa! La regla de privacidad HIPAA se aplica a cuál de los siguientes:
- Proveedores de salud
- Compañías de seguros de salud y planes de salud patrocinados por empleadores
- Clearinghouses de salud
- Proveedores de servicios médicos de terceros (Asociados Comerciales)
- Todos los anteriores
Si elegiste 'Todos los anteriores', te ganas una A+.
La Regla de Privacidad de HIPAA se aplica a cualquier entidad que tenga acceso a la información del paciente que, si se vulnera, podría dañar las finanzas o la reputación del paciente o resultar en fraude.
¿Cuáles son las excepciones a la Regla de Privacidad de HIPAA?
En circunstancias muy específicas, la Regla de Privacidad de HIPAA permite a las entidades cubiertas utilizar y/o divulgar información de salud sin la autorización del paciente. Típicamente, estas situaciones involucran el tratamiento de un proveedor de salud, pago, y operaciones de atención médica (TPO) o el interés público.
Por ejemplo:
- Regulaciones y licencias de salud
- Salud pública (como informes a un departamento de salud estatal o al CDC)
- Investigación médica
- Compensación laboral
- Procedimientos legales y aplicación de la ley
- Informar al pariente más cercano, identificar un cuerpo o determinar la causa de la muerte, o para un examinador médico/coronel
Incluso en estas situaciones, las divulgaciones deben documentarse en un registro de Contabilidad de Divulgaciones.
¿Quién hace cumplir la Regla de Privacidad de HIPAA?
La Oficina de Derechos Civiles (OCR) del Departamento de Salud y Servicios Humanos (HHS) de EE. UU. es la principal encargada de hacer cumplir la Regla de Seguridad y la Regla de Privacidad de HIPAA. Los fiscales generales del estado y los Centros de Servicios de Medicare y Medicaid (CMS) también tienen cierta autoridad para hacer cumplir las reglas de HIPAA, aunque lo hacen con menos frecuencia.
La OCR investiga quejas, realiza revisiones de cumplimiento y educa a las entidades cubiertas sobre los requisitos de cumplimiento. También investiga cualquier violación de datos que afecte a 500 o más personas, así como a organizaciones que han tenido múltiples violaciones menores.
Si las organizaciones no resuelven las violaciones de HIPAA voluntariamente, la OCR puede emprender acciones legales y/o emitir una multa. Las violaciones varían en gravedad según el nivel de incumplimiento y la negligencia intencional mostrada por la organización.
¿La organización estaba al tanto del problema? ¿Podrían haber evitado que ocurriera? ¿Tomaron medidas para corregirlo?
Las multas varían de $100 a más de $50k por infracción, con un máximo de $1.5M por infracción, por año.
Lectura Recomendada
¿Quién hace cumplir HIPAA + Cómo asegurar que su negocio cumpla con las normas?
Read More
Descargar: Hoja Informativa sobre la Regla de Privacidad de HIPAA
Lleve un registro de los detalles esenciales de la Regla de Privacidad de HIPAA con esta hoja informativa descargable. Es una manera fácil de referenciar lo que cubre la regla, a quién se aplica, sus excepciones y sanciones penales por infracciones.
Obtenga su copia del PDF de la Regla de Privacidad de HIPAA aquí.
Cómo cumplir con la Regla de Privacidad de HIPAA
La Regla de Privacidad establece un conjunto de requisitos para las entidades cubiertas por HIPAA con el fin de proteger la PHI. El primer paso es definir qué tipo de información de salud del paciente debe ser protegida.
Definiendo la PHI
La PHI se extiende más allá de la información de salud individualmente identificable como diagnósticos médicos y procedimientos, para incluir información de identificación personal como direcciones, números de seguro social, información de tarjetas de crédito e incluso firmas electrónicas. La Regla de Privacidad detalla 18 identificadores que indican información protegida:
- Nombres
- Fechas, excepto el año
- Números de teléfono
- Datos geográficos
- Números de fax
- Números de seguro social
- Direcciones de correo electrónico
- Números de registros médicos
- Números de cuentas
- Números de beneficiarios de planes de salud
- Números de certificados o licencias
- Identificadores de vehículos, incluidas las placas
- URLs de la web
- Identificadores de dispositivos y números de serie
- Direcciones IP
- Fotos de rostro completo e imágenes comparables
- Identificadores biométricos (es decir, escaneo retinal, huellas dactilares)
- Cualquier número o código identificador único
Videos e imágenes que contienen PHI también están protegidos por la Regla de Privacidad, al igual que la PHI almacenada electrónicamente.
Por ejemplo, si un proveedor de atención médica tiene una fotografía digital de una herida del paciente y su identidad podría determinarse por un tatuaje visible en la fotografía. Esa imagen está protegida por la Regla de Privacidad.
La Regla del Mínimo Necesario
Si bien es común que un proveedor de atención médica solicite acceso a todo el historial médico de un paciente para brindar atención de calidad, en ocasiones se presentan solicitudes de divulgación no rutinarias.
La Regla del Mínimo Necesario establece que las entidades cubiertas solo deben divulgar la PHI que sea directamente relevante para la solicitud.
En todos los casos, la PHI solo puede ser divulgada a un tercero con la autorización del paciente, a menos que esté directamente relacionada con el tratamiento, pago u operaciones de atención médica.
Verifique y mantenga el cumplimiento de HIPAA con Secureframe
Para asegurar el cumplimiento de HIPAA de su organización , considere el software de seguridad y cumplimiento. La plataforma y el equipo de expertos en cumplimiento de HIPAA de Secureframe pueden ayudarlo a simplificar sus auditorías anuales de HIPAA, mantener el cumplimiento y protegerlo de posibles multas por violaciones de HIPAA.
Aprenda más programando una demostración con uno de nuestros expertos en productos.
Preguntas Frecuentes
¿Qué es la Regla de Privacidad de HIPAA?
Los Estándares de Privacidad de la Información de Salud Individualmente Identificable, también conocidos como la Regla de Privacidad de HIPAA o Regla de Privacidad, abordan el uso y divulgación de la información de salud de los individuos por parte de las entidades cubiertas, así como los estándares para los derechos de privacidad de los individuos para entender y controlar cómo se utiliza su información de salud.
¿Por qué existe la Regla de Privacidad de HIPAA?
La Ley de Portabilidad y Responsabilidad del Seguro de Salud de 1996 (HIPAA) no incluía requisitos de privacidad detallados. En su lugar, requería que el Secretario del Departamento de Salud y Servicios Humanos de EE. UU. (HHS) emitiera regulaciones de privacidad que gobernaran la información de salud identificable individualmente, si el Congreso no promulgaba una legislación de privacidad dentro de los tres años posteriores a la aprobación de HIPAA. Dado que el Congreso no promulgó una legislación de privacidad, el HHS desarrolló una regla propuesta, la publicó para comentarios públicos y publicó la regulación final en 2000. Una modificación propuesta reabrió el proceso de creación de reglas y la versión final de la Regla de Privacidad, que está vigente hoy en día, se emitió en 2002. Esta regla estableció, por primera vez, un conjunto de estándares nacionales para la protección de cierta información de salud conocida como información de salud protegida (PHI).
¿Cuál es el propósito de la Regla de Privacidad de HIPAA?
Un propósito principal de la Regla de Privacidad es asegurarse de que las entidades cubiertas estén tomando las medidas necesarias para proteger la información de salud de los individuos, permitiendo al mismo tiempo que se comparta dicha información cuando sea necesario para proporcionar y promover una atención médica de alta calidad y para proteger la salud y el bienestar públicos.
¿Quién hace cumplir la Regla de Privacidad?
Dentro del HHS, la Oficina de Derechos Civiles (OCR) es responsable de implementar y hacer cumplir la Regla de Privacidad con respecto a las actividades de cumplimiento voluntario y las multas civiles.
¿Qué se considera una violación de la privacidad según HIPAA?
Una entidad cubierta debe obtener la autorización por escrito del individuo para cualquier uso o divulgación de su información de salud protegida que no sea para tratamiento, pago u operaciones de atención médica o que de otro modo esté permitido o requerido por la Regla de Privacidad. Por lo tanto, las divulgaciones a un asegurador de vida con fines de cobertura, las divulgaciones a un empleador de los resultados de un examen físico o prueba de laboratorio previa al empleo, o las divulgaciones a una empresa farmacéutica para sus propios fines de marketing sin la autorización por escrito del individuo serían consideradas violaciones de la privacidad de ese individuo según HIPAA.
¿Qué hacer cuando hay una supuesta violación a la Regla de Privacidad de HIPAA?
Si cree que una entidad cubierta por HIPAA o su asociado comercial cometió una violación de la Regla de Privacidad, puede presentar una queja ante la Oficina de Derechos Civiles (OCR). La OCR puede investigar quejas contra entidades cubiertas y sus asociados comerciales. Al final de la investigación, la OCR emite una carta que describe la resolución de la investigación. Si la OCR determina que una entidad cubierta o un asociado comercial puede no haber cumplido con la Regla de Privacidad de HIPAA, esa entidad o asociado comercial debe cumplir voluntariamente con la Regla de Privacidad de HIPAA, tomar medidas correctivas y aceptar un acuerdo.
