Nuestro artículo Explicación de la HIPAA proporciona información sobre la Ley de Portabilidad y Responsabilidad de los Seguros Médicos (HIPAA), los cambios más recientes de la ley en 2013 y cómo las disposiciones de la ley afectan actualmente a los pacientes, a la industria de la salud en su conjunto y a las personas que trabajan en ella.
- Historia simplificada de la HIPAA
- La HIPAA explicada en términos sencillos
- HIPAA para tontos
- ¿Quién está cubierto por la HIPAA?
- Explicación de la HIPAA después de 2013
- Explicación de las salvaguardas requeridas y abordables de la HIPAA
- Las implicaciones de la HIPAA para los pacientes
- Cómo explicar la HIPAA a los pacientes
- Las implicaciones de la HIPAA para las organizaciones sanitarias
- Cómo explicar la HIPAA a los empleados
- Nuevas tecnologías y normas de privacidad y seguridad de la HIPAA
Historia simplificada de la HIPAA
Propuesta inicialmente en 1996 para que los trabajadores pudieran trasladar los derechos de seguro y asistencia sanitaria entre empleos, nuestra historia simplificada de la HIPAA muestra que la Ley se ha ampliado desde entonces hasta convertirse en un acto legislativo que también regula el fraude en los seguros de salud y las disposiciones fiscales para las cuentas de ahorro médico, y garantiza la aceptación de los trabajadores con enfermedades preexistentes en los regímenes de seguro de salud laboral. Sin embargo, la HIPAA se ocupa principalmente de la privacidad y la seguridad de la información sanitaria de los pacientes.
La HIPAA (a través de la Ley HITECH) también se utilizó para animar al sector sanitario a informatizar los registros en papel. Esto dio lugar a la preocupación por la divulgación no autorizada de la «información sanitaria protegida» (PHI) y dio lugar a la elaboración de nuevas normas de privacidad y seguridad en 2013. La normativa aborda los avances tecnológicos en el sector sanitario desde que se aprobó la legislación original, y amplía la responsabilidad de la integridad de la PHI a los asociados comerciales.
La normativa de la HIPAA es aplicada por la Oficina de Derechos Civiles del Departamento de Salud & de los Estados Unidos, mientras que los fiscales generales de los estados también pueden tomar medidas contra las partes que se descubra que no cumplen con la HIPAA. La Oficina de Derechos Civiles está facultada para imponer multas a las Entidades Cubiertas y a los Asociados Comerciales por violaciones de la PHI, a menos que la parte infractora pueda demostrar una baja probabilidad de que la información de salud del paciente se haya visto comprometida.
La HIPAA explicada en términos sencillos
El HHS ha combinado el texto de todas las normas de simplificación administrativa de la HIPAA en un único documento de 115 páginas, lo que hace que su lectura sea muy larga, pero es posible resumir la HIPAA en unas pocas frases y explicar la HIPAA en términos sencillos.
La HIPAA fue un intento del Congreso de mejorar la eficiencia de la asistencia sanitaria, eliminar el despilfarro, combatir el fraude y garantizar que la información sanitaria que puede vincularse a una persona y que permitiría identificarla se protegiera y mantuviera de forma privada y confidencial.
La HIPAA introdujo un conjunto de nuevas normas que debían seguir las organizaciones sanitarias para garantizar que todo el mundo cantara de la misma manera. Se crearon códigos e identificadores estándar para facilitar el intercambio de información sanitaria y se exigió a los proveedores de servicios sanitarios, a las aseguradoras y a sus socios comerciales que utilizaran los mismos códigos para las transacciones electrónicas con el fin de garantizar un intercambio de datos eficaz. Esto ahorró mucho tiempo y esfuerzo y supuso un importante ahorro de costes.
La HIPAA estipuló los usos y divulgaciones permitidos de la información sanitaria, restringiendo quién puede acceder a ella y en qué circunstancias. La HIPAA otorgó a los estadounidenses el derecho a obtener copias de sus datos sanitarios para comprobar si había errores en sus historiales y a compartirlos con quien quisieran. La HIPAA también estableció normas para la protección de los datos sanitarios con el fin de dificultar el acceso a la información sanitaria por parte de personas que no tenían derecho a verla.
HIPAA para tontos
Aunque puede considerarse poco amable titular una sección de este artículo «HIPAA para tontos», todavía hay algunas personas que desconocen qué información sanitaria del paciente está «protegida». Para aclarar lo que se considera «información sanitaria protegida», hemos enumerado a continuación los dieciocho «identificadores personales» que individualmente -o unidos a cualquier otro identificador personal- podrían revelar la identidad de una persona, su historial médico o su historial de pagos:
| Nombres o parte de los nombres | Cualquier otra característica de identificación única |
| Identificadores geográficos | Fechas directamente relacionadas con un individuo |
| Números de teléfono | Números de fax |
| Direcciones de correo electrónico | Números de la Seguridad Social |
| Números de expediente médico | Números de beneficiario del seguro médico |
| Números de cuenta | Números de certificado o licencia |
| Números de matrículas de vehículos | Identificadores de dispositivos y números de serie |
| Los URL de la web | Direcciones IP |
| Huellas dactilares, huellas de retina y de voz | Rostro completo o cualquier imagen fotográfica comparable |
¿Quién está cubierto por la HIPAA?
Antes de lanzarnos a explicar la HIPAA es mejor aclarar a quién se aplica la legislación. Prácticamente todos los planes de salud, los centros de intercambio de información sobre atención médica, los proveedores de atención médica y los patrocinadores avalados de la tarjeta de descuento para medicamentos recetados de Medicare se consideran «entidades cubiertas por la HIPAA» en virtud de la ley. Normalmente, se trata de entidades que entran en contacto con información sanitaria protegida de forma habitual.
Los «asociados comerciales» también están cubiertos por la HIPAA. Se trata de entidades que no crean, reciben, mantienen o transmiten Información Sanitaria Protegida en su ocupación principal, pero que proporcionan servicios y actividades de terceros para las Entidades Cubiertas durante el curso de las cuales se encontrarán con la PHI. Antes de emprender un servicio o actividad en nombre de una Entidad Cubierta, un Asociado Comercial debe firmar un Acuerdo de Asociado Comercial que garantice la integridad de cualquier PHI a la que tenga acceso.
Existe un gris con respecto a los planes de salud de grupo de un solo empleador autoasegurado y a los empleadores que actúan como intermediarios entre los empleados y los proveedores de atención médica. La HIPAA establece que los empleadores no son Entidades Cubiertas a menos que la naturaleza de su negocio se ajuste a los criterios para ser una Entidad Cubierta (es decir, un Centro Médico empleador sería una Entidad Cubierta). Sin embargo, como los empleadores autoasegurados e intermediarios manejan PHI que está protegida por la Regla de Privacidad de la HIPAA, se consideran «Entidades Virtuales» y están sujetas al cumplimiento de la HIPAA.
Explicación de la HIPAA después de 2013
Nota: Para información relacionada con la HIPAA antes de 2013, y su relación con la Ley HITECH de 2009, consulte nuestra página «Historia de la HIPAA». En nuestra «Lista de comprobación del cumplimiento de la HIPAA» encontrará más detalles sobre las normas de privacidad y seguridad de la HIPAA.
Desde la introducción de la Regla Ómnibus Final, que promulgó nuevas normas dentro de la HIPAA en 2013, se han emitido nuevas directrices sobre cómo se debe acceder y comunicar la PHI en un entorno relacionado con la medicina. La Ley revisada otorga a los pacientes más derechos para conocer y controlar cómo se utiliza su información sanitaria y amplía los controles sobre las entidades cubiertas por la HIPAA y los Asociados Comerciales a cómo se accede y se comunica la información del paciente.
Las entidades cubiertas por la HIPAA y los Asociados Comerciales deben implementar mecanismos para restringir el flujo de información dentro de una red privada, supervisar la actividad en la red y tomar medidas para evitar la divulgación no autorizada de la PHI más allá de los límites de la red. Debe prestarse más atención a la realización de evaluaciones de riesgo, y se han desarrollado nuevos procedimientos de notificación para cubrir las violaciones de datos.
Las revisiones de la Regla de Seguridad de la HIPAA dictan las condiciones («salvaguardias») que deben existir para el almacenamiento y la comunicación de la ePHI conforme a la HIPAA. Estas «salvaguardas» se describen en la Regla de Seguridad de la HIPAA como «requeridas» o «abordables». En realidad, todas las salvaguardias son generalmente obligatorias -independientemente de cómo se describan-, como se explica en la siguiente sección.
La Oficina de Derechos Civiles realiza auditorías a las entidades cubiertas por la HIPAA para asegurarse de que cumplen la normativa. Cuando se descubren violaciones evitables de la ePHI, la Oficina de Derechos Civiles tiene la autoridad para imponer sanciones económicas y presentar cargos penales contra la entidad negligente.
Explicación de las salvaguardas requeridas y abordables de la HIPAA
Un área de la HIPAA que ha dado lugar a cierta confusión es la diferencia entre las salvaguardas «requeridas» y las «abordables». Efectivamente, todas las salvaguardas de la HIPAA son «obligatorias», a menos que exista una razón justificada para no implementarlas o que se implemente una alternativa adecuada a la salvaguarda que logre el mismo objetivo.
Un escenario en el que la implementación de una salvaguarda direccionable podría ser innecesaria es el cifrado del correo electrónico. Los correos electrónicos que contengan PHI -ya sea en el cuerpo o como archivo adjunto- sólo tienen que ser encriptados si se envían más allá de un servidor interno protegido por un cortafuegos. Si una organización sanitaria sólo utiliza el correo electrónico como forma de comunicación interna – o tiene una autorización de un paciente para enviar su información sin cifrar – no hay necesidad de implementar esta salvaguarda direccionable.
La decisión de no implementar el cifrado del correo electrónico tendrá que ser apoyada por una evaluación de riesgos y documentada por escrito. Otros factores que pueden tener que ser tomados en consideración es la estrategia de mitigación de riesgos de la organización y otras salvaguardas establecidas para proteger la integridad de la PHI. Como se explica en una nota a pie de página de esta sección concreta de la HIPAA, se recomienda la encriptación de la PHI en reposo y en tránsito.
Las implicaciones de la HIPAA para los pacientes
Las implicaciones de la HIPAA para los pacientes son que su información sanitaria se trata de forma más sensible y sus proveedores sanitarios pueden acceder a ella más rápidamente. La información sanitaria almacenada electrónicamente está ahora mejor protegida de lo que nunca lo estuvieron los registros en papel, y las organizaciones sanitarias que han implementado mecanismos para cumplir con la normativa HIPAA son testigos de una mayor eficiencia. Esto se manifiesta -en lo que respecta a los pacientes- como un mayor nivel de atención sanitaria.
En el lado negativo, las organizaciones sanitarias no sólo se preocupan por el nivel de atención sanitaria que pueden proporcionar a los pacientes individuales. Las organizaciones sanitarias quieren aumentar los servicios que pueden prestar, quieren aumentar la calidad de la atención y mejorar la seguridad de los pacientes mediante la investigación. Sin embargo, la investigación está restringida por la HIPAA y el acceso restringido a la PHI tiene el potencial de ralentizar el ritmo al que se pueden hacer mejoras en la asistencia sanitaria.
También hay que pagar un precio por la mejora de la seguridad de los datos, y aunque la promulgación del programa Meaningful Use proporcionó incentivos financieros para que los proveedores de asistencia sanitaria informatizaran los registros en papel, la implementación de los controles necesarios para asegurar la ePHI puede conllevar un coste sustancial. El aumento de la financiación para el cumplimiento tiene el potencial de reducir el nivel de atención a los pacientes, mientras que la carga administrativa que el cumplimiento de la HIPAA impone a las organizaciones de atención sanitaria aumenta la presión sobre los limitados recursos disponibles.
Cómo explicar la HIPAA a los pacientes
Como los proveedores de atención sanitaria están ahora obligados por ley a dar a los pacientes un aviso de su política de privacidad, será necesario explicar la HIPAA a los pacientes, ya que tienen que firmar una copia de la política para decir que la han recibido. La mejor manera de explicar la HIPAA a los pacientes es poner la información pertinente en la Política de Privacidad, y luego dar a los pacientes una sinopsis de lo que contiene la política. Por ejemplo, explique al paciente:
- Tienen derecho a solicitar su historial médico siempre que lo deseen.
- Tienen derecho a solicitar que se modifique su historial médico cuando sea oportuno.
- Tienen derecho a limitar quién tiene acceso a su información médica personal.
- Tienen derecho a elegir la forma en que los proveedores de atención médica se comunican con ellos.
- También tienen derecho a quejarse de la divulgación no autorizada de su PHI.
A menos que el paciente haya sufrido un daño físico o financiero debido a la divulgación no autorizada de su PHI, no podrá iniciar una acción civil contra la parte negligente. Sin embargo, las Entidades Cubiertas y los Asociados Comerciales que infrinjan la HIPAA con fines de lucro personal, falsos pretextos u otros beneficios personales tendrán sanciones penales impuestas por la Oficina de Derechos Civiles que podrían resultar en hasta diez años de prisión.
Las implicaciones de la HIPAA para las organizaciones sanitarias
Si no se aborda la privacidad y seguridad de los datos, la Oficina de Derechos Civiles puede imponer multas por incumplimiento. Es probable que las violaciones de datos evitables sean objeto de sanciones económicas considerables. En virtud de la estructura de sanciones introducida por HITECH, las infracciones pueden dar lugar a la imposición de multas de hasta 1,5 millones de dólares por parte de la OCR, mientras que las demandas pueden ser presentadas tanto por los fiscales generales como -como se ha mencionado anteriormente- por las víctimas de las violaciones de datos.
La alta probabilidad de que las organizaciones sanitarias se conviertan en objetivo de los ciberdelincuentes y el coste exorbitante de hacer frente a las violaciones de datos -emitir cartas de notificación de violaciones, ofrecer servicios de supervisión de crédito y cubrir las multas de la OCR- es muy superior al coste de lograr el pleno cumplimiento. Pero, aunque el coste inicial de la inversión en las salvaguardias técnicas, físicas y administrativas necesarias para proteger los datos de los pacientes puede ser elevado, las mejoras pueden suponer un ahorro de costes a lo largo del tiempo como resultado de una mayor eficiencia.
Las organizaciones que ya han implementado mecanismos para cumplir con la HIPAA han visto cómo los flujos de trabajo de sus empleados se han agilizado, se ha perdido menos tiempo jugando al «teléfono» y el personal se ha vuelto más productivo, lo que ha permitido a las organizaciones sanitarias reinvertir sus ahorros y ofrecer un mayor nivel de atención sanitaria a los pacientes.
Cómo explicar la HIPAA a los empleados
Explicar la HIPAA a los empleados de las entidades cubiertas y a los asociados comerciales requiere mucho más esfuerzo que explicar la HIPAA a los pacientes. Para cumplir con la HIPAA, las Entidades Cubiertas y los Asociados Comerciales tienen que compilar políticas de privacidad y seguridad para sus trabajadores, y una política de sanciones para los empleados que no cumplan con los requisitos. Por lo tanto, es necesario explicar la HIPAA a los empleados con mayor detalle.
La mejor manera de explicar la HIPAA a los empleados es en sesiones especiales de formación sobre el cumplimiento. Aunque la normativa de la HIPAA establece que la formación debe impartirse anualmente, sugerimos que hay tantas cosas que los empleados deben asimilar en relación con la seguridad y la privacidad de la información sanitaria personal, que las sesiones de formación sobre el cumplimiento deben ser breves y frecuentes. Intentar explicar la HIPAA a los empleados en una sesión de formación de cuatro horas será probablemente infructuoso.
Mucha de la explicación girará en torno al mantenimiento de la integridad de la PHI, pero la forma en que se implemente probablemente tendrá un impacto en los propios empleados. Por ejemplo, los empleados no podrán hablar de la atención sanitaria de los pacientes a través de su dispositivo móvil a menos que las comunicaciones estén cifradas. Debido al número de centros sanitarios que aplican políticas BYOD, esto significará que los empleados tendrán que descargar aplicaciones de comunicación seguras en sus dispositivos móviles personales.
Nuevas tecnologías y normas de privacidad y seguridad de la HIPAA
Continuamente se desarrollan nuevas tecnologías para proteger la integridad de la PHI. El cumplimiento de las normas de privacidad y seguridad de la HIPAA es cada vez más fácil gracias a innovaciones como el filtrado web, el archivado seguro del correo electrónico y las soluciones de mensajería segura.
El filtrado web es un mecanismo excelente para mitigar los riesgos del malware, especialmente el de vigilancia que puede registrar las pulsaciones del teclado para obtener nombres de usuario y contraseñas. Varias filtraciones de datos recientes han sido el resultado de descargas de malware, incluyendo varias que no habrían ocurrido con la implementación de un mecanismo de filtrado web.
El archivo seguro del correo electrónico es otra área en la que las organizaciones sanitarias pueden mejorar su postura de seguridad en línea. Mantener seis años de correos electrónicos puede crear un problema de almacenamiento. Sin embargo, al utilizar un servicio de archivo de correo electrónico seguro de terceros, las organizaciones sanitarias liberan recursos dentro de su propia estructura de TI a la vez que cumplen con las normas de privacidad y seguridad de la HIPAA.
Se mencionó anteriormente en este artículo de Explicación de la HIPAA que algunos de los cambios más recientes de la HIPAA tienen en cuenta los riesgos de las políticas de «Traiga su propio dispositivo». Algunas organizaciones sanitarias han eliminado los riesgos mediante la implementación de soluciones de mensajería segura. Estas soluciones permiten a los usuarios autorizados acceder y comunicar de forma segura la ePHI desde sus dispositivos móviles personales a través de aplicaciones de mensajería segura.
Al igual que con todos los proveedores de servicios de terceros, la organización sanitaria tiene la responsabilidad de asegurarse de que el asociado comercial cumple con la HIPAA. Los costes de no garantizar el cumplimiento pueden ser considerables, como demuestra nuestra infografía HIPAA explicada a continuación.