Ley de Portabilidad y Responsabilidad de Seguros de Salud

La Ley de Portabilidad y Responsabilidad de Seguros de Salud de 1996 (HIPAA, por sus siglas en inglés) se promulgó para proteger la seguridad y la privacidad de la información personal de salud.

Aspectos básicos de la ley HIPAA

La ley HIPAA protege el uso y la divulgación de la Información de salud protegida (PHI, por sus siglas en inglés), que incluye la información médica de una persona, así como los identificadores personales como nombre, dirección, fecha de nacimiento y número de Seguro Social. La PHI se define como cualquier información en cualquier formato o medio que:

• Cree o reciba un proveedor de cuidado de la salud, un plan de salud, un empleador o un centro de procesamiento de cuidado de salud; Y
• Esté relacionada con la condición o la salud física o mental presente, pasada o futura de una persona o con el pago del cuidado de la salud para una persona; y
• Permita la identificación personal.

Según la ley HIPAA, hay tres normas principales que deben seguir las entidades cubiertas y los colaboradores comerciales (que se definen en la página siguiente).

• Norma de privacidad, que establece los estándares para la protección de la información de salud personal identificable y limita cuándo se puede usar y divulgar la PHI
• Norma de seguridad, que describe las medidas de protección que se deben implementar para proteger la confidencialidad, integridad y disponibilidad de la PHI electrónica (ePHI)
• Norma de notificación de infracción, que requiere que las entidades cubiertas y los colaboradores comerciales notifiquen cualquier "infracción" a la privacidad

¿Quién debe cumplir con la ley HIPAA?​

Las entidades cubiertas y sus colaboradores comerciales deben cumplir con las normas de la ley HIPAA. Las entidades cubiertas son cualquier entidad que transmite PHI y ePHI, incluidos:

• Planes de salud (entre ellos, planes totalmente asegurados y autofinanciados)
• Proveedores de cuidado de la salud que transmiten información de salud por vía electrónica (incluye facturación)
• Centros de procesamiento de cuidado de la salud
• Otras entidades que utilizan información de salud personal identificable

Aunque la definición de entidad cubierta no incluye a patrocinadores de planes del empleador o planes que no sean los planes de salud, todos los empleadores y empleados se ven afectados por las normas de la ley HIPAA y se benefician de ellas.

Un colaborador comercial es cualquier persona u organización que cumple ciertas funciones para una entidad cubierta o le brinda servicios que implique acceder a la PHI. Estos servicios pueden incluir:

• Administración y procesamiento de reclamos
• Análisis, procesamiento y almacenamiento de datos
• Servicios financieros o legales
• Administración de prácticas o beneficios

Si una entidad cubierta contrata los servicios de un colaborador comercial, debe tener un contrato o acuerdo por escrito, llamado "Acuerdo de colaborador comercial". El acuerdo debe detallar las divulgaciones y los usos permitidos de la PHI por parte del colaborador comercial y debe requerir que el colaborador comercial proteja la PHI. Es importante señalar que una relación de colaboración como agente con una entidad cubierta, en la mayoría de los casos, requeriría que se celebre un Acuerdo de colaborador comercial debido a la naturaleza de la información compartida.

¿Qué se requiere según la ley HIPAA?

Con excepciones limitadas, la ley HIPAA requiere que las entidades cubiertas y los colaboradores comerciales:

• Usen, soliciten y divulguen solo la cantidad mínima de PHI necesaria
• Implementen procedimientos, protocolos y políticas de seguridad de datos para proteger la PHI
• Cumplan con normas uniformes para ciertas transacciones electrónicas
• Notifiquen a las personas si se ha infringido la seguridad de su PHI

Norma de privacidad

Una entidad cubierta solo puede usar o divulgar PHI según lo requiera o lo permita expresamente la ley HIPAA. La Norma de privacidad tiene como fin limitar el uso y la divulgación de la PHI al "mínimo necesario" y restringir el acceso y el uso de la PHI al personal identificado.

Usos requeridos y permitidos de la PHI

Las divulgaciones y los usos requeridos según le ley HIPAA incluyen:

• Actividades específicas de conformidad con la ley, como las relacionadas con la salud pública, la fuerza pública y los procedimientos judiciales;
• Tratamiento, pago y operaciones de cuidado de la salud;
• Cuando las personas hayan autorizado esa divulgación voluntariamente o mediante un consentimiento escrito y firmado; y
• Cuando la PHI se ha "anonimizado" (es decir, se ha eliminado suficiente información para no identificar ni proporcionar una base razonable para identificar a una persona).¹
• Incluso dentro de lo permitido, una entidad cubierta debe hacer esfuerzos razonables para utilizar, divulgar y solicitar solo la cantidad mínima de PHI necesaria para lograr el propósito previsto del uso, la divulgación o la solicitud.

La PHI no se puede utilizar o divulgar para un propósito no relacionado con un plan de salud a otro plan (como un plan de pensión o por discapacidad) o con fines de empleo en general.
Las entidades cubiertas pueden divulgar la PHI a un colaborador comercial para permitir que brinde asistencia a la entidad cubierta en el ejercicio de funciones que están permitidas por la ley HIPAA. El colaborador comercial debe asegurar que cumplirá con el Acuerdo de colaborador comercial vigente.

Requisito de autorización

Antes de utilizar o divulgar PHI a terceros para fines distintos de los permitidos por la Norma de privacidad, la ley HIPAA requiere que las entidades cubiertas obtengan una autorización por escrito de la persona. La autorización debe especificar quién está autorizado para realizar y recibir las divulgaciones, el propósito específico del uso o la divulgación y una fecha de vencimiento.

Requisitos administrativos

La Norma de privacidad requiere que una entidad cubierta establezca prácticas y medidas de protección de la privacidad, designe a un empleado para que actúe como Oficial de Privacidad y Seguridad, brinde capacitación sobre la ley HIPAA a su fuerza laboral y ofrezca una Notificación de prácticas de privacidad.

La Notificación de prácticas de privacidad debe ofrecer una explicación clara y fácil de leer de los derechos de las personas con respecto a su información de salud personal y las prácticas de privacidad que ha establecido la entidad cubierta. La notificación debe explicar de qué manera se usa y se protege la PHI de una persona, así como las divulgaciones que están prohibidas. El Departamento de Salud y Servicios Humanos (HHS, por sus siglas en inglés) de los EE. UU. ofrece modelos de notificaciones e información detallada sobre la distribución de las notificaciones en su página de la ley HIPAA.

Norma de seguridad

La Norma de seguridad de la ley HIPAA requiere que las entidades cubiertas y los colaboradores comerciales protejan la confidencialidad, la integridad y la disponibilidad de la ePHI. La "integridad" se define como asegurar que la ePHI sea auténtica y no haya sido alterada o destruida de una manera no autorizada. "Disponibilidad" significa que solo una persona autorizada puede acceder a la ePHI utilizarla a pedido.

Se deben implementar y mantener medidas de protección administrativas, técnicas y físicas razonables y apropiadas para asegurar la protección de la ePHI ante usos no permitidos y amenazas a la seguridad razonablemente previstas. Las medidas de protección requeridas incluyen resguardar la PHI con sistemas protegidos con contraseñas, limitar el acceso físico a los establecimientos que guardan ePHI y auditar el acceso al sistema. Hay estándares específicos que las entidades deben cumplir. Sin embargo, estos estándares son "requeridos" o "direccionables", lo que permite a las entidades cubiertas implementar soluciones que se ajusten mejor a sus necesidades y su entorno específico.

Norma de notificación de infracción

La ley HIPAA define una “infracción” como la adquisición, el acceso, el uso o la divulgación de PHI que infringe la Norma de privacidad o pone en riesgo la seguridad o la privacidad de la PHI. Hay exclusiones en cuanto a qué se considera una infracción, entre ellas: adquisición, acceso o uso no intencional, de buena fe, por parte de una persona autorizada, sin un nuevo uso o divulgación; o una divulgación a una persona no autorizada creyendo de buena fe que la PHI no podría haber sido retenida.

¿Cómo se hace cumplir la ley HIPAA?

La Oficina de Derechos Civiles del HHS hace cumplir de las Normas de privacidad, seguridad y notificación de infracción de la ley HIPAA. El incumplimiento de los requisitos de la ley HIPAA puede resultar en penalidades monetarias. En algunos casos, el Departamento de Justicia (DOJ, por sus siglas en inglés) también puede imponer sanciones penales. Las infracciones a la ley HIPAA se pueden descubrir por medio de investigaciones de reclamos, informes anónimos o el gobierno podría auditar aleatoriamente a una entidad cubierta.

Aunque los empleadores no son entidades cubiertas, es su responsabilidad asegurar que los planes de salud de grupo que patrocinan cumplan con la ley HIPAA. Esto significa que los empleados que desempeñan funciones en nombre del plan de salud o en la administración del plan de salud deben comprender y cumplir con los requisitos de la ley HIPAA.

¿Qué pueden hacer las entidades cubiertas?

Todas las entidades cubiertas, incluido cualquier plan de salud patrocinado por un empleador (ya sea totalmente asegurado o autoasegurado), deben tomar medidas e implementar las mejores prácticas para asegurar el cumplimiento de las Normas de privacidad y seguridad de la ley HIPAA. Para los empleadores que patrocinan planes de salud de grupo, esto incluye lo siguiente con respecto al plan y los empleados que lo respaldan.

Establecer políticas y procedimientos para asegurar el cumplimiento de la ley HIPAA: Como parte de este proceso, designar un Oficial de Privacidad de HIPAA que tenga la responsabilidad de supervisar la política y los procedimientos, así como su implementación.

• Realizar un análisis de riesgo: Revisar periódicamente las políticas y los procedimientos para cumplir con la ley HIPAA e identificar las posibles brechas.
• Implementar medidas de protección: Implementar las medidas de seguridad físicas, técnicas y administrativas necesarias para proteger cualquier PHI que se mantenga. Algunos ejemplos son utilizar protecciones con contraseña en dispositivos electrónicos, restringir y monitorear el acceso a sistemas que contengan PHI y guardar los archivos y los dispositivos electrónicos en gabinetes con cerradura.
• Capacitación periódica: Capacitar periódicamente a los empleados que respaldan a la entidad cubierta (incluido un plan de salud de grupo patrocinado por el empleador) y que tienen acceso a la PHI sobre las políticas y los procedimientos de la ley HIPAA, según sea necesario y apropiado para realizar las tareas y mantenerlos actualizados con los requisitos de cumplimiento.
• Conformidad con la documentación: Registrar el resultado de cualquier análisis de riesgo, cómo se establecieron las medidas de protección, la capacitación sobre la ley HIPAA proporcionada a la fuerza laboral y cualquier otra acción realizada para cumplir con los requisitos de la ley HIPAA.