¿Qué es el cumplimiento de la HIPAA?

La Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) es una legislación estadounidense que establece disposiciones de privacidad y seguridad de los datos para salvaguardar la información médica. Se promulgó en 1996 con dos objetivos principales: proporcionar una cobertura sanitaria continua a los trabajadores que pierden o cambian de empleo, y reducir las cargas administrativas y el coste de la asistencia sanitaria mediante la normalización de la transmisión electrónica de las transacciones administrativas y financieras. Otros objetivos de la HIPAA son la lucha contra el abuso, el fraude y el despilfarro en los seguros médicos y la prestación de asistencia sanitaria.

El cumplimiento de la HIPAA se refiere al proceso de garantizar que su organización sigue las normas establecidas por la HIPAA. Estas normas están diseñadas para proteger la privacidad y seguridad de la información sanitaria. Esto puede incluir cualquier cosa, desde los historiales de los pacientes hasta los datos de pago. El incumplimiento puede acarrear fuertes multas y sanciones, por lo que es crucial que cualquier organización que maneje información sanitaria protegida (PHI) se asegure de que cumple las normas.

Entender la HIPAA

La ley HIPAA se divide en dos secciones principales: El Título I y el Título II. El Título I de la HIPAA protege la cobertura del seguro médico de las personas que pierden o cambian de trabajo. También prohíbe que los planes de salud colectivos denieguen la cobertura a personas con enfermedades específicas y afecciones preexistentes, y que establezcan límites de cobertura de por vida. El Título II de la HIPAA, conocido como disposiciones de Simplificación Administrativa (SA), exige el establecimiento de normas nacionales para las transacciones electrónicas de asistencia sanitaria e identificadores nacionales para proveedores, planes de seguro médico y empleadores.

Las disposiciones del AS también abordan la seguridad y la privacidad de los datos sanitarios. Las normas pretenden mejorar la eficiencia y la eficacia del sistema sanitario del país fomentando el uso generalizado del intercambio electrónico de datos en el sistema sanitario estadounidense.

Norma de protección de la intimidad

La Regla de Privacidad, parte fundamental de la HIPAA, establece normas nacionales sobre cuándo puede utilizarse y divulgarse la información sanitaria protegida (PHI). Otorga a los pacientes derechos sobre su información sanitaria y establece normas y límites sobre quién puede ver y recibir la información sanitaria de un paciente. La Regla de Privacidad se aplica a todas las formas de información sanitaria protegida de las personas, ya sea electrónica, escrita u oral.

En virtud de la Norma de Privacidad, las entidades cubiertas (entre las que se incluyen los planes de salud, los centros de intercambio de información sanitaria y determinados proveedores de atención sanitaria) deben establecer salvaguardias para proteger la información de los pacientes. Deben limitar razonablemente los usos y divulgaciones al mínimo necesario para lograr el fin previsto. Deben establecer contratos con sus contratistas y otras entidades para garantizar que utilicen y divulguen la información de los pacientes de forma adecuada y la protejan debidamente. Las entidades cubiertas también deben disponer de procedimientos para limitar quién puede ver y acceder a la información de los pacientes, así como poner en marcha programas de formación para los empleados sobre cómo proteger la información de los pacientes.

Norma de seguridad

La Regla de Seguridad, otra parte de la HIPAA, establece normas para la seguridad de los datos de los pacientes. Especifica una serie de salvaguardias administrativas, físicas y técnicas que las entidades cubiertas deben utilizar para garantizar la confidencialidad, integridad y disponibilidad de la información sanitaria electrónica protegida (ePHI). Estas normas se aplican a los planes de salud, a los centros de intercambio de información sanitaria y a cualquier proveedor sanitario que transmita información sanitaria en formato electrónico.

En virtud de la norma de seguridad, las entidades cubiertas deben aplicar políticas y procedimientos técnicos que permitan únicamente a las personas autorizadas acceder a la información sanitaria electrónica protegida (ePHI). También deben implantar mecanismos de hardware, software y/o procedimientos para registrar y examinar el acceso y otras actividades en los sistemas de información que contienen o utilizan la ePHI. Además, deben establecer medidas de protección contra cualquier amenaza o peligro razonablemente previsible para la seguridad o integridad de la ePHI.

Requisitos de cumplimiento de la HIPAA

El cumplimiento de la HIPAA implica satisfacer los requisitos de la HIPAA y sus reglamentos complementarios, la Regla de Privacidad, la Regla de Seguridad y la Regla de Notificación de Infracciones. Estas normas exigen que las entidades cubiertas apliquen varias salvaguardias para proteger la PHI, incluidas salvaguardias administrativas, físicas y técnicas. Además, las entidades cubiertas están obligadas a tener un responsable del cumplimiento y a formar a sus empleados en el cumplimiento de la HIPAA.

Las salvaguardias administrativas implican la selección, el desarrollo, la aplicación y el mantenimiento de medidas de seguridad para proteger la PHI y gestionar la conducta del personal de la entidad cubierta en relación con la protección de dicha información. Las salvaguardias físicas implican medidas, políticas y procedimientos físicos para proteger los sistemas de información electrónicos de una entidad cubierta y los edificios y equipos relacionados de peligros naturales y medioambientales, y de intrusiones no autorizadas. Las salvaguardias técnicas implican la tecnología y la política y los procedimientos para su uso que protegen la PHI y controlan el acceso a la misma.

Aviso de prácticas de privacidad

Como parte del cumplimiento de la HIPAA, las entidades cubiertas están obligadas a proporcionar un Aviso de Prácticas de Privacidad (NPP). El NPP debe describir las formas en que la entidad cubierta puede utilizar y divulgar la PHI. También debe indicar las obligaciones de la entidad cubierta de proteger la privacidad, proporcionar un aviso de prácticas de privacidad y cumplir los términos del aviso vigente. El NPP también debe describir los derechos de las personas, incluido el derecho a reclamar al HHS y a la entidad cubierta si creen que se han violado sus derechos de privacidad.

El NPP debe proporcionarse a cada persona a más tardar en la fecha de la primera prestación de servicios y, salvo en una situación de tratamiento de urgencia, la entidad cubierta debe hacer un esfuerzo de buena fe para obtener el acuse de recibo por escrito de la notificación por parte de la persona. Si no se puede obtener un acuse de recibo, la entidad cubierta debe documentar sus esfuerzos para obtener el acuse de recibo y la razón por la que no se obtuvo.

Acuerdos de asociación empresarial

Otro requisito para el cumplimiento de la HIPAA es el establecimiento de acuerdos de empresa asociada (Business Associate Agreements, BAA). Un BAA es un contrato entre una entidad cubierta por la HIPAA y un asociado comercial (BA) de la HIPAA. El contrato protege la PHI de acuerdo con las directrices de la HIPAA. Cuando una entidad cubierta recurre a un contratista u otro miembro no perteneciente a la plantilla para realizar servicios o actividades de "asociado comercial", la Norma exige que la entidad cubierta incluya determinadas protecciones de la información en un acuerdo de asociado comercial.

En el acuerdo de asociación empresarial, una entidad cubierta debe imponer salvaguardias escritas específicas sobre la información sanitaria identificable individualmente utilizada o divulgada por sus asociados empresariales. Además, una entidad cubierta no puede autorizar contractualmente a su socio comercial a hacer ningún uso o divulgación de información sanitaria protegida que infrinja la Norma.

Ejecución y sanciones por incumplimiento

La Oficina de Derechos Civiles (OCR) hace cumplir la Regla de Privacidad de la HIPAA y la Regla de Seguridad de la HIPAA. La OCR investiga las denuncias que se le presentan y lleva a cabo revisiones para determinar si las entidades cubiertas cumplen las normas. Además, proporciona educación y divulgación para fomentar el cumplimiento de los requisitos de las normas. La OCR también colabora con el Departamento de Justicia para denunciar posibles infracciones penales de las normas.

Las sanciones por incumplimiento de la HIPAA pueden ser graves. Las sanciones por incumplimiento se basan en el nivel de negligencia y pueden oscilar entre $100 y $50.000 por infracción (o por registro), con una sanción máxima de $1,5 millones al año por infracción de una disposición idéntica. Las infracciones también pueden conllevar cargos penales que pueden dar lugar a penas de cárcel.

Quejas

Las personas que consideren que una entidad cubierta ha vulnerado sus derechos de privacidad de la información sanitaria (o los de otra persona) o ha cometido otra infracción de las normas de privacidad, seguridad o notificación de infracciones, pueden presentar una reclamación ante la OCR. Las quejas deben presentarse por escrito, en papel o electrónicamente, y deben nombrar a la entidad que se cree que ha violado los derechos y describir los actos u omisiones que se cree que violan los requisitos aplicables.

La OCR puede investigar cualquier denuncia presentada con arreglo a este procedimiento. No obstante, se puede presentar una denuncia por represalias independientemente de cuándo se haya producido el acto de represalia. La OCR también puede iniciar una revisión del cumplimiento para investigar a una entidad cubierta.

Sanciones

Las sanciones por incumplimiento de la HIPAA pueden ser graves. Las sanciones por incumplimiento se basan en el nivel de negligencia y pueden oscilar entre $100 y $50.000 por infracción (o por registro), con una sanción máxima de $1,5 millones al año por infracción de una disposición idéntica. Las infracciones también pueden conllevar cargos penales que pueden dar lugar a penas de cárcel.

Hay cuatro categorías de infracciones que reflejan niveles crecientes de culpabilidad, y cuatro niveles correspondientes de cuantía de las sanciones, con una sanción máxima de $1,5 millones al año por infracción de una disposición idéntica. En algunos casos, las personas que obtengan o divulguen a sabiendas información sanitaria identificable individualmente infringiendo la Norma de Privacidad pueden enfrentarse a una sanción penal de hasta $50.000 y hasta un año de prisión. Las sanciones penales aumentan a $100.000 y hasta cinco años de prisión si la conducta ilícita implica falsos pretextos, y a $250.000 y hasta diez años de prisión si la conducta ilícita implica la intención de vender, transferir o utilizar información sanitaria identificable para obtener ventajas comerciales, beneficios personales o daños malintencionados.

Conclusión

El cumplimiento de la HIPAA es un aspecto crítico de las operaciones sanitarias en Estados Unidos. Con la creciente digitalización de los historiales médicos y el alto valor de la información sanitaria para los agentes malintencionados, garantizar la privacidad y seguridad de la información de los pacientes es más importante que nunca. Al comprender y cumplir los requisitos de la HIPAA, las organizaciones sanitarias pueden proteger mejor a sus pacientes y evitar las importantes sanciones asociadas al incumplimiento.

Es importante señalar que, aunque este artículo ofrece una visión general del cumplimiento de la HIPAA, no es exhaustivo. La HIPAA es una legislación compleja con muchos matices y detalles que van más allá del alcance de este artículo. Por lo tanto, se recomienda que las organizaciones sanitarias consulten con expertos legales y en cumplimiento para asegurarse de que cumplen plenamente todos los aspectos de la HIPAA.