En respuesta a las preguntas enviadas a HIPAA Journal, hemos escrito una serie de posts que responden a algunos de los elementos más básicos de la HIPAA, el último de los cuales es ¿qué se considera PHI?
¿Qué es PHI, PII y IIHA?
Términos como PHI y PII son de uso común en el ámbito sanitario, pero ¿qué significan y qué información incluyen?
PHI es un acrónimo de Protected Health Information, mientras que PII es un acrónimo de Personally Identifiable Information. Antes de explicar estos términos, es útil explicar primero qué se entiende por información sanitaria, de la que la información sanitaria protegida es un subconjunto.
La información sanitaria es la información relacionada con la prestación de asistencia sanitaria o el pago de servicios sanitarios que crea o recibe un proveedor de asistencia sanitaria, una autoridad sanitaria pública, un centro de intercambio de información sanitaria, un plan de salud, un asociado comercial de una entidad cubierta por la HIPAA, o una escuela/universidad o un empleador.
La información sanitaria se refiere a las condiciones de salud pasadas, presentes y futuras o a la salud física/mental que está relacionada con la prestación de servicios sanitarios o con el pago de dichos servicios.
La información de identificación personal (IIP) o la información sanitaria de identificación individual (IIHI) es cualquier información sanitaria que permite identificar al paciente. Por ejemplo, un diagnóstico de salud -el asma, por ejemplo- se convierte en IIP cuando incluye un identificador que vincula la información a un paciente específico, o cuando existe una base razonable para creer que la información podría utilizarse para identificar a un paciente.
¿Qué se considera IIP?
La información sanitaria protegida es la información sanitaria identificable individualmente que se almacena en formato electrónico, se transmite electrónicamente por una entidad cubierta por la HIPAA o un asociado comercial de una entidad cubierta por la HIPAA, o se transmite y se mantiene en cualquier forma, incluyendo películas, gráficos y otros registros en papel. La PHI se relaciona con las entidades cubiertas por la HIPAA, pero no incluye los registros de educación o los registros de empleo.
¿Qué se considera PHI según la HIPAA? La PHI incluye registros sanitarios como EHR/EMR, resultados de pruebas de laboratorio, historiales médicos, diagnósticos, información sobre tratamientos, información sobre seguros y listas de alergias se consideran PHI, al igual que los identificadores únicos y la información demográfica. Si la información es creada, utilizada o divulgada por una entidad cubierta por la HIPAA en el curso de la prestación de atención a un individuo, o se utiliza junto con el pago de la atención, se considera PHI y está sujeta a estrictos controles sobre sus usos y divulgaciones permisibles.
Usos y divulgaciones permisibles de la PHI
La Regla de Privacidad de la HIPAA detalla los usos y divulgaciones permisibles de la PHI. Las entidades cubiertas por la HIPAA sólo pueden compartir la PHI para fines de tratamiento o para operaciones de atención médica sin obtener primero autorizaciones para divulgar la información de los pacientes. Las definiciones de tratamiento y operaciones de atención sanitaria se pueden encontrar en 45 CFR 164.501.
Obtención de copias de la PHI
La Regla de Privacidad de la HIPAA también permite a los pacientes obtener copias de la PHI en poder de una entidad cubierta. En estos casos, se debe solicitar a la entidad cubierta que proporcione copias de la PHI que está almacenada en un conjunto de registros designados. El conjunto de registros designados contendrá información que es utilizada por la entidad cubierta para la provisión de tratamiento o el pago de la atención, información que es mantenida y utilizada por una entidad cubierta para tomar decisiones sobre un paciente o para la inscripción, el pago, la adjudicación de reclamaciones o, en el caso de los planes de salud, la información en los sistemas de registro de gestión de casos o médicos.