Ley y política de privacidad de la información sanitaria

¿Qué tipo de elección del paciente existe en virtud de la HIPAA?

La mayoría de los proveedores de atención sanitaria deben seguir la Regla de Privacidad (Regla de Privacidad) de la Ley de Portabilidad y Responsabilidad de los Seguros Médicos (HIPAA), una ley federal de privacidad que establece una base de protección para cierta información sanitaria identificable individualmente («información sanitaria»).

La Regla de Privacidad generalmente permite, pero no requiere, que los proveedores de atención médica cubiertos den a los pacientes la opción de que su información de salud pueda ser revelada a otros para ciertos propósitos clave. Estos fines clave incluyen el tratamiento, el pago y las operaciones de atención sanitaria.

¿Cómo se puede implementar la elección del paciente en el intercambio electrónico de información sanitaria (eHIE)?

Aunque no es obligatorio, los proveedores de atención sanitaria pueden decidir ofrecer a los pacientes la posibilidad de elegir si su información sanitaria se puede intercambiar electrónicamente, ya sea directamente o a través de una organización de intercambio de información sanitaria (HIE). Es decir, pueden ofrecer una política de «opt-in» o «opt-out» o una combinación.

¿Existen requisitos legales específicos para las políticas de opt-in o opt-out?

El Departamento de Salud y Servicios Humanos (HHS) de los Estados Unidos no establece pasos o requisitos específicos para obtener la opción de un paciente de participar en eHIE. Sin embargo, informar adecuadamente a los pacientes de estos nuevos modelos de intercambio y darles la opción de participar o no es una forma de garantizar que los pacientes confíen en estos sistemas. Por lo tanto, se anima a los proveedores a permitir que los pacientes hagan una elección de consentimiento «significativa» en lugar de una desinformada.

Puede leer más sobre la elección del paciente y el eHIE en la guía publicada por la Oficina de Derechos Civiles (OCR): The HIPAA Privacy Rule and Electronic Health Information Exchange in a Networked Environment .

¿Existen leyes de privacidad que requieran el consentimiento del paciente?

Sí. Existen algunas leyes de privacidad federales y estatales (por ejemplo, 42 CFR Parte 2, Título 10) que requieren que los proveedores de atención médica obtengan el consentimiento por escrito de los pacientes antes de revelar su información médica a otras personas y organizaciones, incluso para su tratamiento. Muchas de estas leyes de privacidad protegen la información relacionada con condiciones de salud consideradas «sensibles» por la mayoría de las personas.

¿Cómo afecta la HIPAA a estas otras leyes de privacidad?

La HIPAA creó una base de protección de la privacidad. Anula (o «prevalece») otras leyes de privacidad que son menos protectoras. Pero la HIPAA deja en vigor otras leyes que protegen más la privacidad. Bajo este marco legal, los proveedores de atención médica y otros implementadores deben continuar siguiendo otras leyes federales y estatales aplicables que requieren obtener el consentimiento de los pacientes antes de revelar su información de salud.

Los recursos que se enumeran a continuación proporcionan enlaces a algunos recursos federales, estatales y de organizaciones que pueden ser de interés para aquellos que establecen políticas de eHIE en consulta con un asesor legal. Los implementadores también pueden visitar los sitios de leyes y políticas de su estado para obtener información adicional.

Recursos federales, estatales y de organizaciones sobre el consentimiento, la elección personal y la confidencialidad

Alentamos a los proveedores, a los HIE y a otros implementadores de TI de salud a buscar el asesoramiento de expertos cuando evalúen estos recursos, ya que las leyes y políticas de privacidad evolucionan continuamente. Los recursos no pretenden servir de asesoramiento legal ni ofrecer recomendaciones basadas en las circunstancias específicas de un implementador.

Ley, regulación, orientación y política federal Información sanitaria en general

• Elección individual: la regla de privacidad de la HIPAA y el intercambio electrónico de información sanitaria en un entorno de red – orientación relativa a la regla de privacidad de la HIPAA en relación con el principio de elección en el marco de privacidad y seguridad.

Información sanitaria sensible (por ejemplo, información sobre salud conductual, estado del VIH/SIDA)

• Salud mental y abuso de sustancias: Centro de Acción Legal en conjunción con la serie de seminarios web de la SAMHSA sobre las normas de confidencialidad sobre el alcohol y las drogas (42 CFR Parte 2): diapositivas y vídeos que proporcionan una visión general de las normas de confidencialidad sobre el alcohol y las drogas, una explicación más detallada de las preguntas frecuentes de la SAMHSA y material complementario.
• Salud mental y abuso de sustancias: SAMHSA – Health Resources and Services Administration (HRSA) Center for Integrated Health Solutions – recursos y ejemplos para ayudar a los proveedores a comprender y abordar los problemas de confidencialidad de los pacientes, incluidos los relacionados con la pediatría.
• Student Health Records: U.S. Department of Health and Human Services and Department of Education Guidance on the Application of the Family Educational Rights and Privacy Act (FERPA) and HIPAA to Student Health Records (Guía del Departamento de Salud y Servicios Humanos y del Departamento de Educación de los Estados Unidos sobre la aplicación de la Ley de Derechos Educativos y Privacidad de la Familia (FERPA) y de la HIPAA a los registros de salud de los estudiantes) – descripción general de la FERPA, la HIPAA y los puntos en los que pueden cruzarse; incluye una sección de preguntas frecuentes.
• Family Planning: Title 42 – Public Health – 42 CFR 59.11 – Confidentiality – normas federales sobre el consentimiento y la confidencialidad de la información del paciente en lo que respecta a las clínicas de planificación familiar financiadas con fondos federales.

Policy

• Nationwide Privacy and Security Framework for Electronic Exchange of Individually Identifiable Health Information – marco de política de privacidad y seguridad de la ONC para el eHIE, destinado a ayudar a guiar la adopción de las TI sanitarias en el país y ayudar a mejorar la disponibilidad de la información sanitaria y la calidad de la atención sanitaria.
• Aviso de instrucciones del programa de privacidad y seguridad (PIN) para los HIE estatales – un conjunto común de requisitos de privacidad y seguridad para ayudar a los beneficiarios del Acuerdo de Cooperación HIE estatal a crear políticas y prácticas de privacidad y seguridad para los servicios HIE. La guía también ayuda a los líderes políticos estatales y a otras partes interesadas que están estableciendo políticas y prácticas de privacidad y seguridad comunes para comunidades, regiones y estados. El PIN puede servir de marco y ofrecer dirección y orientación específicas a estos esfuerzos.
• Governance Framework for Trusted Electronic Health Information Exchange – Principios rectores de la ONC sobre la gobernanza de eHIE. El documento proporciona una base conceptual común aplicable a todos los tipos de modelos de gobernanza y expresa los principios que la ONC considera más importantes para la gobernanza de HIE. El marco de gobernanza no prescribe soluciones específicas, sino que establece los hitos y los resultados que la ONC espera para y de las entidades de gobernanza de HIE a medida que habilitan la eHIE.
• Principios y estrategia para acelerar la HIE – Los principios generales y la estrategia de la ONC para acelerar el intercambio de información sanitaria, incluyendo el enfoque en los problemas de privacidad y seguridad y las posibles soluciones.

Recomendaciones del Comité Asesor Federal (FACA)

• Recomendaciones del Equipo Tigre del Comité de Política de TI de Salud sobre la elección individual – Recomendaciones de FACA al HHS sobre políticas y prácticas de privacidad y seguridad que ayudarán a construir la confianza pública en HIT y eHIE y permitir su uso adecuado para mejorar la calidad y la eficiencia de la atención médica. Estas recomendaciones informaron el PIN estatal de HIE de la ONC, así como los esfuerzos de eConsent y de Segmentación de Datos.
• Recomendaciones del Equipo Tigre del Comité de Política de TI de Salud sobre el Intercambio de Información de Salud en Modelos de Respuesta a Consultas y Consentimiento Significativo – conjunto de recomendaciones sobre el modelo de consulta de intercambio que incluye la elección significativa para los pacientes.

Ley estatal

• Informe sobre los requisitos de la ley estatal para el permiso del paciente para divulgar información sanitaria – resultados de la investigación sobre cómo las diversas leyes estatales regulan la divulgación de información sanitaria. Este informe también ofrece una visión general de las leyes federales de consentimiento.
• Informe sobre requisitos de divulgación interestatal y consentimiento del paciente – documentación de los requisitos de las leyes estatales para la divulgación de información sanitaria con fines de tratamiento dentro y fuera de las fronteras estatales.
• Informe sobre opciones de políticas de consentimiento intraestatales e interestatales – herramientas y recursos para que los estados y las partes interesadas en la atención sanitaria utilicen para decidir qué nivel de elección es adecuado para los pacientes en relación con el acceso electrónico, el uso y la divulgación de su información sanitaria. También incluye herramientas y recursos que los estados pueden utilizar para evaluar cuál de los mecanismos legales interestatales, si es que hay alguno, podrían emplear con éxito.
• Acceso a la información sanitaria de los menores – la sección 3.2.6 de este informe trata del acceso a la información sanitaria de los menores. Incluye un análisis de la capacidad de los menores para consentir la divulgación de información sanitaria relacionada.

Política y procedimientos organizativos

• Orientación para el desarrollo de políticas de consentimiento para las TI sanitarias – sugerencias para la elaboración de políticas de consentimiento.