Los casos de violación de la HIPAA son muy comunes, a pesar del aumento de los esfuerzos de aplicación. Aunque a menudo hablamos de cómo evitar la violación de la HIPAA y de la necesidad de introducir procedimientos y comportamientos que cumplan con la HIPAA entre los empleados, es importante ser consciente de las consecuencias que pueden seguir a las violaciones de la HIPAA. Por lo general, los casos de violación de la HIPAA son investigados y perseguidos por la Oficina de Derechos Civiles (OCR) del Departamento de Salud y Servicios Humanos. Estas investigaciones pueden surgir a raíz de las denuncias de infracciones presentadas por los empleados o los pacientes, o como resultado de las violaciones de datos que se comunican a la OCR. En algunos casos, los fiscales generales de los estados o incluso el Departamento de Justicia pueden llevar a cabo sus propias investigaciones.
Sanciones económicas
En los últimos años ha aumentado el número de casos de infracción de la HIPAA que han dado lugar a sanciones económicas. Muchas de ellas han sido en forma de acuerdos. A finales de enero de 2018, el Departamento de Salud y Servicios Humanos había recibido más de 173.000 quejas de violaciones de la HIPAA. Casi 170.000 de estos casos han sido resueltos por la OCR. Aunque solo 53 casos han dado lugar a multas o acuerdos, frente a los más de 25.000 que se resolvieron mediante acciones correctivas o asistencia técnica, la cantidad total de dinero que han pagado las organizaciones sanitarias asciende a más de 75 millones de dólares, o un promedio de alrededor de 1,5 millones de dólares por resolución financiera.
Dado que la OCR investiga todo tipo de organizaciones, desde cadenas nacionales hasta clínicas privadas, una sanción de este tipo podría tener un grave impacto o incluso cerrar completamente un negocio.
Temas más comunes
Las infracciones más frecuentes que investiga la OCR son:
- Usos y divulgaciones inadmisibles de información sanitaria protegida
- Falta de salvaguardias de la información sanitaria protegida
- Falta de acceso del paciente a su información sanitaria protegida;
- Falta de salvaguardias administrativas de la información de salud protegida electrónica
- Uso o divulgación de más de la información de salud protegida mínima necesaria
Casos de infracción recientes
Algunas infracciones recientes destacadas en el sitio web de la OCR incluyen que el administrador judicial de una empresa desaparecida tuvo que pagar un acuerdo, que una empresa de servicios médicos pagó millones después de las infracciones y que una infracción de la información de salud protegida de un solo paciente condujo a un acuerdo de casi 400.000 dólares.
Filefax, una empresa que almacenaba, mantenía y entregaba historiales médicos para entidades cubiertas por la HIPAA, fue cerrada al mismo tiempo que se iniciaba una investigación de la OCR. Se nombró un administrador judicial para liquidar los activos. La investigación de la OCR concluyó que la PHI había sido manejada de forma descuidada al haber sido dejada en un vehículo sin llave, al haber sido transportada por personas no autorizadas y al haber sido dejada sin seguridad fuera de las instalaciones de Filefax. Estas infracciones constituyen divulgaciones no permitidas y afectaron a 2.150 personas.
Debido a estas acciones, aunque la empresa ya no estaba en funcionamiento, el administrador judicial de la empresa ha acordado pagar un acuerdo de 100.000 dólares y se ha comprometido a eliminar la PHI que todavía existe en las instalaciones de Filefax de una manera que cumpla con la HIPAA.
Fresenius Medical Care North America (FMCNA), que gestiona una red de centros de diálisis, laboratorios cardíacos y vasculares para pacientes externos y centros de atención urgente, ha acordado pagar un acuerdo de 3,5 millones de dólares tras las infracciones en cinco de sus instalaciones. Durante la investigación llevada a cabo por la OCR, se descubrió que FMCNA «no llevó a cabo un análisis de riesgos preciso y exhaustivo de los posibles riesgos y vulnerabilidades para la confidencialidad, integridad y disponibilidad de toda su ePHI» y que «divulgaron de forma inadmisible la ePHI de los pacientes proporcionando un acceso no autorizado para un propósito no permitido por la Regla de Privacidad».
FMCNA debe implementar un plan de acción correctiva para remediar los numerosos problemas, además de pagar el acuerdo monetario. Tanto los acuerdos de FMCNA como los de Filefax se anunciaron en febrero de 2018 y los importes pueden sumarse a los 75 millones de dólares en sanciones monetarias mencionados anteriormente.
St. Luke’s-Roosevelt Hospital Center Inc. recibió un fuerte recordatorio de la importancia de transmitir correctamente la PHI tras una infracción que afectó a un solo individuo. La OCR dictaminó que una de las entidades de St. Luke’s había «enviado por fax de forma inadmisible la PHI del paciente a su empleador en lugar de enviarla al apartado postal personal solicitado». Los registros enviados contenían «información sensible sobre el estado del VIH, la atención médica, las enfermedades de transmisión sexual, los medicamentos, la orientación sexual, el diagnóstico de salud mental y los abusos físicos». La investigación también descubrió que anteriormente se había producido una infracción relacionada, pero que el problema no había sido abordado adecuadamente por el programa de cumplimiento destinado a prevenir tales divulgaciones no permitidas. Luke’s resolvió el caso por 387.200 dólares.
La importancia del cumplimiento
Como se desprende de estos tres casos recientes, las violaciones de la HIPAA tienen repercusiones reales tanto para las entidades cubiertas como para los individuos. Simples errores, como enviar por fax la PHI en lugar de hacerlo por carta, pueden tener consecuencias nefastas. A mayor escala, no diseñar y aplicar los procedimientos correctos puede afectar a toda una red de centros sanitarios y a sus pacientes. Incluso la eliminación de la PHI debe hacerse correctamente: el caso de Filefax giraba en torno a la PHI que se transportaba y se dejaba en una instalación de trituración y reciclaje.
Las evaluaciones de riesgos, la formación y la concienciación sobre las normas de la HIPAA deben ser prioridades altas y recurrentes para las entidades cubiertas por la HIPAA. Si no lo hacen, corren el riesgo de descubrir por las malas lo que declaró el director de la OCR, Roger Severino, tras el caso de Filefax: La OCR se compromete a hacer cumplir la HIPAA. Siga este enlace para obtener una guía completa de la HIPAA.