Muchas leyes regulan la privacidad de la información médica. Aunque ofrecen cierta protección, en general funcionan más para garantizar el flujo de información en toda la industria de la atención de la salud que para garantizar la privacidad de las personas.
Además, estas leyes generalmente solo se aplican a la información médica personal en manos de tipos específicos de entidades, como su médico u otra entidad de atención médica. Por lo tanto, por ejemplo, la información que proporciona a una red social o un motor de búsqueda, una sala de chat o una discusión en un sitio web sobre una enfermedad, a menudo no está protegida por las leyes de privacidad médica existentes.
La Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA, por sus siglas en inglés) es el conjunto básico de regulaciones federales que rigen la información médica. Hace tres cosas:
- Crea una estructura sobre cómo se puede divulgar la información de salud personal y establece los derechos que tienen las personas con respecto a su información de salud.
- Establece estándares de seguridad para mantener y transmitir información electrónica del paciente.
- Requiere un formato y una estructura de datos comunes para el intercambio electrónico de información sanitaria.
HIPAA solo regula la industria de la salud y, por lo tanto, solo se aplica a lo que la ley considera «entidades cubiertas» y sus «socios comerciales».»Las categorías de entidad cubierta son: proveedor de atención médica, plan de salud (aseguradora de salud u HMO) y centro de intercambio de información de atención médica. Un socio comercial (BA) maneja la información de salud protegida (PHI) en nombre de una entidad cubierta. Si divulga su información médica a otra persona, HIPAA no se aplicará.
Además, hay numerosas excepciones para la divulgación de información médica sin su consentimiento, lo que también puede significar sin su conocimiento.
- El requisito de consentimiento por escrito para divulgar información sobre el tratamiento de la salud mental y el abuso de sustancias solo se aplica en centros financiados por el gobierno federal, no en centros privados.
- La información médica personal se divulga sin consentimiento para muchos fines de notificación de salud pública permitidos y obligatorios, como el monitoreo de enfermedades y en casos de abuso de niños y ancianos y violencia doméstica.
- La información de salud puede divulgarse en procedimientos judiciales y administrativos mediante citación o como parte de un proceso de descubrimiento en un litigio.
- Hay excepciones para la aplicación de la ley, para la información de salud solicitada mediante citación u orden judicial, o como parte de una investigación o denuncia de un delito.
- Se permiten divulgaciones para funciones gubernamentales especializadas, incluidas las operaciones de seguridad nacional e inteligencia.
- La información de salud se puede divulgar a un empleador que paga la cobertura de salud de los empleados, pero debe estar estrictamente separada de todos los demás registros de los empleados.
- La información de salud personal no se puede vender sin su consentimiento, sujeto a excepciones relacionadas con la salud pública, la investigación o como parte de la venta, transferencia, fusión o consolidación de la entidad cubierta que tiene los datos.
- La información de salud no carcelaria de los reclusos puede divulgarse a la prisión donde están encarcelados.
- La información de salud personal puede divulgarse si solicita un beneficio público.
- La información de salud puede divulgarse en el proceso de solicitud de compensación al trabajador.
La parte de HIPAA que se ocupa de la privacidad de la información se denomina Regla de privacidad. Autoriza la divulgación amplia y no autorizada de datos personales de salud para el tratamiento, el pago y las operaciones de atención médica de rutina, al tiempo que requiere consentimiento por escrito para la información que se considera sensible, como las notas de psicoterapia para pacientes ambulatorios. Su consentimiento también es necesario para que su información de salud se utilice para cualquier tipo de marketing que no sea recordatorios de medicamentos recetados.
Usted tiene algunos derechos bajo HIPAA. Tiene derecho a que se le notifique cuáles son sus derechos con respecto a su propia información médica. También tiene derecho a acceder y recibir copias de sus registros, solicitar correcciones y recibir notificaciones de violaciones de datos. Es posible que la información sobre los tratamientos que usted paga de su bolsillo no se divulgue a las aseguradoras. Actualmente, solo puede saber a quién se ha divulgado su información de salud para fines distintos del tratamiento, el pago y las operaciones de atención médica.
Las regulaciones federales que son más estrictas que la HIPAA, conocida como «Parte 2», se aplican a la divulgación y el uso de los registros de pacientes de abuso de alcohol y drogas mantenidos en relación con el desempeño de cualquier programa de abuso de alcohol y drogas asistido por el gobierno federal.
La GINA (Ley de No discriminación por Información Genética) prohíbe la discriminación genética en los seguros de salud y de vida y en el empleo. Sin embargo, GINA tiene algunos agujeros importantes: no cubre la atención a largo plazo o el seguro de automóvil con beneficios de salud, por ejemplo. La HIPAA recientemente designó la información genética como PHI, por lo que ahora tiene las protecciones adicionales—y excepciones—que ofrece la HIPAA. Obtenga más información sobre la privacidad de la información genética.
La Regla Común se aplica a la investigación financiada con fondos federales en seres humanos; las instituciones de investigación privadas pueden aceptar voluntariamente cumplir con las normas federales. Entre otras cosas, la Norma Común establece estándares explícitos para el consentimiento informado de los sujetos de investigación, aunque un consejo de ética puede renunciar a estos requisitos. Hasta dónde se extiende el consentimiento por escrito de un sujeto de investigación es confuso; el consentimiento puede ser para un proyecto específico o lo suficientemente amplio como para incluir una gama de proyectos de investigación futuros, siempre que el sujeto esté «adecuadamente» informado sobre dicha investigación futura.
Leyes específicas de California
Las leyes de privacidad médica de California, principalmente la Ley de Confidencialidad de la Información Médica (CMIA), las secciones de violación de datos del Código Civil y las secciones del Código de Salud y Seguridad, proporcionan protecciones similares a la HIPAA, aunque la terminología es diferente. HIPAA crea un «piso» federal y se aplica donde hay un vacío en la ley de California. La HIPAA también establece expresamente que las leyes estatales más estrictas anularán o prevalecerán sobre la HIPAA.
La ley de California es más fuerte en cuanto a requerir autorización para la divulgación de datos sobre ETS (aunque se deben reportar pruebas positivas de SIDA), tratamiento de abuso de sustancias y notas de psicoterapia para pacientes ambulatorios.
Las leyes de privacidad médica de California se aplican a los proveedores del registro de salud personal (PHR) de una persona, mientras que la HIPAA se aplica solo si el proveedor es un socio comercial de una entidad cubierta.
La ley federal no otorga ningún derecho individual a demandar en caso de violación de datos (solo un fiscal general puede iniciar una acción), pero la ley de California sí lo hace.
Esto significa que la ley de California establece un estándar más alto para la privacidad médica, y las personas en California disfrutan de protecciones legales más fuertes y más formas de responsabilizar a las entidades que violan su privacidad médica.
Otras leyes de California que brindan protección adicional a la información médica:
- La Ley de Protección de la Privacidad y la Información de Seguros (IPPA, por sus siglas en inglés) prohíbe la divulgación no autorizada de información personal, incluidos los registros médicos, recopilada en relación con las solicitudes de seguros y la resolución de reclamaciones. Las aseguradoras deben darle un aviso de prácticas de privacidad que le indique con quién se puede compartir su información y sus derechos para restringir el intercambio.
- La Ley de Prácticas de Información (IPA) se aplica a las agencias estatales. Limita su recopilación, mantenimiento y distribución de información personal, que incluye información médica. También da a las personas el derecho de revisar la información personal que se encuentra en los registros de las agencias estatales, para averiguar quién ha accedido a ella y solicitar cambios a la información inexacta o irrelevante.
- La Ley de Protección de la Privacidad en Línea se aplica a los sitios web que recopilan información de identificación personal de cualquier tipo, incluida la información médica. «Protección «es un nombre inapropiado aquí, ya que el requisito principal de la ley es que los sitios web publiquen» de manera visible » una política de privacidad que notifique a los usuarios qué datos recopila el sitio y con quién comparte datos. Leer más.
Para obtener más información sobre las leyes federales y de California relativas a la privacidad de la información médica, consulte la descripción general de CalOHII (Oficina de Integridad de la Información de Salud de California) sobre las Leyes de Salud Estatales y Federales Relacionadas con los Registros, la Privacidad, la Seguridad y el Derecho de Acceso del Paciente.
Debido a que las regulaciones que cubren la información de salud están dirigidas más a quién maneja los datos (entidades cubiertas) que a los datos en sí, los datos médicos que caen fuera de los muros de la HIPAA y otras leyes relacionadas generalmente no tienen protecciones específicas de privacidad médica.
Gran parte de la exposición proviene de las actividades en línea de las personas. Esto puede incluir información que usted mismo haga pública a través del chat o la participación en grupos de afinidad basados en enfermedades o afecciones médicas, o a través de las redes sociales. Este es un problema cada vez más grave, ya que la tecnología facilita a las personas compartir y almacenar información médica.
Muchas aplicaciones de salud y fitness (móviles y en línea) también recopilan datos médicos o de tipo médico y facilitan y fomentan su intercambio.
También existe una segmentación conductual constante y calibrada infinitesimalmente que, sin su conocimiento, puede conectar datos de clics no identificados con información médica identificable.
El resultado final? Un mosaico de leyes que con demasiada frecuencia dejan desprotegida la información médica sensible.