Objetivos de las leyes de privacidad de la HIPAA
Las leyes de privacidad de la HIPAA se promulgaron por primera vez en 2002 con el objetivo de proteger la confidencialidad de la información sanitaria de los pacientes sin obstaculizar el flujo de información necesario para proporcionarles tratamiento. Las leyes de privacidad de la HIPAA controlan quién puede tener acceso a la información sanitaria protegida (PHI), las condiciones en las que puede utilizarse y a quién puede revelarse.
Las leyes de privacidad de la HIPAA no sólo se aplican a los proveedores de asistencia sanitaria y a las organizaciones para las que trabajan. Las leyes se aplican a cualquier entidad que pueda tener acceso a información sanitaria sobre un paciente que -si cayera en manos equivocadas- podría suponer un riesgo de daño para las finanzas o la reputación del paciente. Por lo tanto, las aseguradoras de salud, las cámaras de compensación de salud y los empleadores que ofrecen planes de salud internos también tienen que cumplir con las leyes de privacidad de la HIPAA.
La información protegida por las leyes de privacidad de la HIPAA
La información protegida por las leyes de privacidad de la HIPAA se conoce como «Información de salud individualmente identificable». Se trata de cualquier información que pueda revelar la identidad de un paciente con respecto a:
- la condición física o mental pasada, presente o futura del paciente,
- la prestación de tratamiento sanitario y servicios sanitarios al paciente, o
- el pago pasado, presente o futuro por la prestación de asistencia sanitaria al paciente.
Debido a que los datos protegidos incluyen información de pago, la información sanitaria individualmente identificable no sólo incluye datos como los nombres, la fecha de nacimiento, los números de la Seguridad Social y los números de teléfono, sino también los números de la matrícula del coche, la información de la tarjeta de crédito e incluso ejemplos de la letra del paciente.
Es importante que las entidades cubiertas tengan en cuenta que las leyes de privacidad de la HIPAA no sólo se aplican a los datos guardados en un formato escrito. Las imágenes y los vídeos que contienen cualquier información sanitaria identificable individualmente también están protegidos por las leyes de privacidad de la HIPAA.
Si, por ejemplo, un proveedor de servicios sanitarios tomara una foto de la herida de un paciente -y la identidad de éste pudiera establecerse por cualquier rasgo distintivo- la confidencialidad y la divulgación de la fotografía estarían sujetas a las condiciones dentro de las leyes de privacidad de la HIPAA.
PHI: ¿Quién, cuándo y cómo?
Las leyes de privacidad de la HIPAA relativas a la PHI se aplican a todas las entidades cubiertas y a todos los terceros proveedores de servicios (o «asociados comerciales») con los que la entidad cubierta hace negocios. Estas son las únicas partes que deben tener acceso a la PHI, a menos que el paciente autorice su divulgación con fines de investigación, marketing o recaudación de fondos.
La divulgación de la PHI con fines de tratamiento, pago u operaciones de atención sanitaria debe estar contenida dentro de una entidad cubierta o un Asociado Comercial – a menos que la divulgación sea requerida por la ley, sea en el interés público o en el interés del paciente (por ejemplo, si el paciente es víctima de abuso infantil, negligencia o violencia doméstica).
Incluso entonces, las leyes de privacidad de la HIPAA estipulan que las entidades cubiertas deben adherirse a la «Regla de Necesidad Mínima» – una regla que establece que la divulgación de la PHI debe ser sólo la mínima necesaria para lograr el propósito declarado. Cada solicitud de divulgación también debe ser revisada caso por caso, en lugar de dar acceso a la PHI a un Asociado de Negocios porque se le ha permitido el acceso anteriormente.
La divulgación no autorizada de la PHI
Cada entidad cubierta está obligada a implementar salvaguardas para evitar la divulgación no autorizada de la PHI. Estas salvaguardas variarán en función del tamaño de la entidad cubierta y de la naturaleza de la atención sanitaria que preste, pero las sanciones por no salvaguardar la integridad de la PHI pueden ser extremadamente altas. Las organizaciones sanitarias que, de forma deliberada o por negligencia, no cumplan las leyes de privacidad de la HIPAA pueden ser multadas con hasta 50.000 dólares por infracción y por día.
Según la Oficina de Derechos Civiles del Departamento de Salud y Recursos Humanos, la razón más común para la divulgación no autorizada de la PHI es la pérdida o el robo de dispositivos móviles personales y de medios portátiles (ordenadores portátiles, Smartphones y memorias USB). Por este motivo, muchas organizaciones sanitarias han optado por implantar soluciones de mensajería segura como sustitutos adecuados de los canales de comunicación inseguros, como los SMS y el correo electrónico.
Las soluciones de mensajería segura encriptan la PHI para que sea indescifrable e inutilizable en caso de que sea interceptada en tránsito, y también cuentan con mecanismos de seguridad para garantizar que la PHI no pueda ser enviada de forma accidental o maliciosa fuera de la red de comunicaciones privada de una entidad cubierta o copiada a una unidad flash USB. En caso de pérdida o robo de un dispositivo móvil personal, existen controles administrativos para eliminar de forma remota cualquier PHI recibida por el dispositivo y bloquear la aplicación utilizada para la mensajería segura. Estos controles también funcionan en los ordenadores de sobremesa.
Las ventajas de las soluciones de mensajería segura
Las soluciones de mensajería segura no sólo cumplen las leyes de privacidad de la HIPAA, sino también los requisitos administrativos, físicos y técnicos de la regla de seguridad de la HIPAA. Esto significa que existen mecanismos para supervisar los mensajes seguros y garantizar el 100% de la responsabilidad de los mensajes, lo que, a su vez, reduce el «phone tag», es decir, la cantidad de tiempo que pierden los profesionales sanitarios esperando la confirmación de que se ha recibido un mensaje o una respuesta.
Un artículo reciente de CNN Money informaba de que el «phone tag» cuesta al sector sanitario estadounidense más de 7.000 millones de dólares al año y que la implantación de soluciones de mensajería segura podría acelerar los procesos sanitarios, como las admisiones en los hospitales y las altas de los pacientes. Otros estudios también han demostrado que la mensajería segura acelera las comunicaciones, fomenta la colaboración y, cuando se integra con una HCE, reduce los incidentes de seguridad de los pacientes y los errores de medicación.
Con la mensajería segura, la información protegida por las leyes de privacidad de la HIPAA permanece protegida, sólo los usuarios autorizados tienen acceso a la PHI y los proveedores de atención sanitaria pueden comunicarse con la misma rapidez y comodidad que los SMS o el correo electrónico, pero sin arriesgarse a la divulgación no autorizada de la PHI. La mensajería segura satisface las condiciones de las leyes de privacidad de la HIPAA sobre quién puede tener acceso a la PHI, las condiciones en las que se puede utilizar y a quién se puede revelar.
Más información sobre las leyes de privacidad de la HIPAA
Si desea saber más sobre las leyes de privacidad de la HIPAA, puede encontrar información adicional aquí.