Molte leggi regolano la privacy delle informazioni mediche. Sebbene offrano una certa protezione, nel complesso operano più a vantaggio di garantire il flusso di informazioni in tutto il settore sanitario che garantire la privacy degli individui.
Inoltre, queste leggi di solito si applicano solo alle informazioni mediche personali nelle mani di specifici tipi di entità, come il medico o altre entità sanitarie. Pertanto, ad esempio, le informazioni fornite a un social network o motore di ricerca, una chat room o una discussione su un sito Web su una malattia, spesso non sono protette dalle leggi sulla privacy medica esistenti.
L’Health Insurance Portability and Accountability Act (HIPAA) è l’insieme di base dei regolamenti federali che disciplinano le informazioni mediche. Fa tre cose:
- Crea una struttura per il modo in cui le informazioni sulla salute personale possono essere divulgate e stabilisce i diritti che gli individui hanno riguardo alle loro informazioni sulla salute.
- Definisce gli standard di sicurezza per il mantenimento e la trasmissione di informazioni elettroniche sui pazienti.
- Richiede un formato e una struttura dati comuni per lo scambio elettronico di informazioni sanitarie.
HIPAA regola solo il settore sanitario, e quindi si applica solo a ciò che la legge considera “entità coperte” e i loro “soci in affari.”Le categorie di entità coperte sono: fornitore di assistenza sanitaria, piano sanitario (assicuratore sanitario o HMO) e clearinghouse di assistenza sanitaria. Un socio in affari (BA) gestisce le informazioni sanitarie protette (PHI) per conto di un’entità coperta. Se divulghi le tue informazioni mediche a chiunque altro, HIPAA non si applicherà.
Inoltre, ci sono numerose eccezioni per la divulgazione di informazioni mediche senza il tuo consenso, il che può anche significare a tua insaputa.
- Il requisito del consenso scritto per divulgare informazioni sulla salute mentale e sul trattamento dell’abuso di sostanze si applica solo alle strutture finanziate dal governo federale, non a quelle private.
- Le informazioni mediche personali vengono divulgate senza consenso per molti scopi di segnalazione della salute pubblica consentiti e obbligatori, come il monitoraggio delle malattie e nei casi di abusi su minori e anziani e violenza domestica.
- Le informazioni sanitarie possono essere divulgate in procedimenti giudiziari e amministrativi mediante citazione in giudizio o come parte di un processo di scoperta in contenzioso.
- Ci sono eccezioni per le forze dell’ordine, per le informazioni sanitarie richieste da citazione o ordine del tribunale, o come parte di un’indagine o segnalazione di un crimine.
- Le divulgazioni sono consentite per funzioni governative specializzate, comprese le operazioni di sicurezza nazionale e di intelligence.
- Le informazioni sanitarie possono essere divulgate a un datore di lavoro che paga per la copertura sanitaria dei dipendenti, ma devono essere rigorosamente separate da tutti gli altri record dei dipendenti.
- Le informazioni sanitarie personali non possono essere vendute senza il tuo consenso, fatte salve eccezioni che riguardano la salute pubblica, la ricerca o come parte della vendita, trasferimento, fusione o consolidamento dell’entità coperta che possiede i dati.
- Le informazioni sanitarie non carcerarie dei detenuti possono essere divulgate a una prigione in cui sono incarcerati.
- Le informazioni sanitarie personali possono essere divulgate se si applica per un beneficio pubblico.
- Le informazioni sanitarie possono essere divulgate nel processo di richiesta di risarcimento del lavoratore.
La parte di HIPAA che si occupa della privacy delle informazioni è chiamata Regola della privacy. Autorizza ampie divulgazioni non concordi di dati sanitari personali per il trattamento, il pagamento e le operazioni di assistenza sanitaria di routine, mentre richiede il consenso scritto per informazioni considerate sensibili, come le note di psicoterapia ambulatoriale. Il tuo consenso è anche necessario per le tue informazioni sulla salute da utilizzare per qualsiasi tipo di marketing diverso dai promemoria sui farmaci da prescrizione.
Hai alcuni diritti sotto HIPAA. Hai il diritto di essere informato quali sono i tuoi diritti riguardanti le tue informazioni mediche. Hai anche il diritto di accedere e ricevere copie dei tuoi record, richiedere correzioni e ricevere notifiche di violazioni dei dati. Informazioni sui trattamenti che si paga di tasca non possono essere divulgate agli assicuratori. Attualmente è possibile conoscere solo a chi sono state divulgate le informazioni sanitarie per scopi diversi dal trattamento, dal pagamento e dalle operazioni di assistenza sanitaria.
Le normative federali più severe rispetto all’HIPAA—nota come “Parte 2” —si applicano alla divulgazione e all’uso di cartelle cliniche di pazienti con abuso di alcol e droghe mantenute in relazione all’esecuzione di qualsiasi programma di abuso di alcol e droghe assistito dal governo federale.
GINA (the Genetic Information Non-Discrimination Act) vieta la discriminazione genetica in materia di salute e assicurazione sulla vita e l’occupazione. Tuttavia, GINA ha alcuni importanti loop-fori: non copre l’assistenza a lungo termine o l’assicurazione auto con benefici per la salute, per esempio. HIPAA ha recentemente designato le informazioni genetiche come PHI, quindi ora ha le protezioni aggiuntive-e le eccezioni-che HIPAA offre. Scopri di più sulla privacy delle informazioni genetiche.
La regola comune si applica alla ricerca finanziata dal governo federale su soggetti umani; gli istituti di ricerca privati possono volontariamente accettare di rispettare gli standard federali. Tra le altre cose, la Regola comune stabilisce standard espliciti per il consenso informato da parte dei soggetti di ricerca, sebbene un comitato etico possa rinunciare a questi requisiti. Fino a che punto si estende il consenso scritto di un soggetto di ricerca è confuso; il consenso può essere per un progetto specifico o abbastanza ampio da includere una serie di progetti di ricerca futuri, purché il soggetto sia” adeguatamente ” informato su tale ricerca futura.
Leggi specifiche della California
Le leggi sulla privacy medica della California, in primo luogo il Confidentiality of Medical Information Act (CMIA), le sezioni sulla violazione dei dati del Codice civile e le sezioni del Codice di salute e sicurezza, forniscono protezioni simili all’HIPAA anche se la terminologia è diversa. HIPAA crea un “piano” federale e si applica dove c’è una lacuna nella legge della California. HIPAA prevede inoltre espressamente che le leggi statali più severe sovrascriveranno o trump HIPAA.
La legge della California è più forte nel richiedere l’autorizzazione per la divulgazione di dati sulle malattie sessualmente trasmissibili (anche se i test positivi sull’AIDS devono essere segnalati), il trattamento di abuso di sostanze e le note di psicoterapia ambulatoriale.
Le leggi sulla privacy medica della California si applicano ai fornitori della cartella clinica personale di un individuo (PHR), mentre HIPAA si applica solo se il venditore è un socio in affari di un’entità coperta.
La legge federale non concede alcun diritto individuale di citare in giudizio in caso di violazione dei dati (solo un procuratore generale può presentare un’azione), ma la legge della California lo fa.
Ciò significa che la legge della California stabilisce uno standard più elevato per la privacy medica, e gli individui in California godono di protezioni legali più forti e più modi per ritenere responsabili le entità che violano la loro privacy medica.
Altre leggi della California che forniscono una protezione aggiuntiva alle informazioni mediche:
- L’Insurance Information and Privacy Protection Act (IPPA) vieta la divulgazione non autorizzata di informazioni personali, comprese le cartelle cliniche, raccolte in relazione alle domande di assicurazione e alla risoluzione dei reclami. Gli assicuratori devono fornirti un avviso sulle pratiche sulla privacy che ti indica con chi le tue informazioni possono essere condivise e i tuoi diritti di limitare la condivisione.
- L’Information Practices Act (IPA) si applica alle agenzie statali. Limita la loro raccolta, manutenzione e distribuzione di informazioni personali, che includono informazioni mediche. Dà anche agli individui il diritto di rivedere le informazioni personali detenute nei registri delle agenzie statali, per scoprire chi vi ha avuto accesso e per richiedere modifiche a informazioni inesatte o irrilevanti.
- La legge sulla protezione della privacy online si applica ai siti Web che raccolgono informazioni personali di qualsiasi tipo, comprese le informazioni mediche. “Protezione” è un termine improprio qui, dal momento che il requisito principale della legge è che i siti web “vistosamente” pubblichino una politica sulla privacy che notifica agli utenti quali dati il sito raccoglie e con chi condivide i dati. Per saperne di più.
Per ulteriori informazioni sulle leggi federali e della California riguardanti la privacy delle informazioni mediche, consultare la panoramica CalOHII (California Office of Health Information Integrity) riguardante le leggi sanitarie statali e federali relative ai record, alla privacy, alla sicurezza e al diritto di accesso del paziente.
Poiché le normative che coprono le informazioni sanitarie sono dirette più a chi gestisce i dati (entità coperte) che ai dati stessi, i dati medici che atterrano al di fuori delle mura di HIPAA e di altre leggi correlate in genere non hanno specifiche protezioni sulla privacy medica.
Una grande quantità di esposizione proviene dalle attività online degli individui. Ciò può includere informazioni rese pubbliche tramite chat o partecipazione a gruppi di affinità basati su malattie o condizioni mediche, o attraverso i social media. Questo è un problema sempre più serio in quanto la tecnologia rende più facile per gli individui condividere e archiviare informazioni mediche.
Molte applicazioni per la salute e il fitness (mobili e online) raccolgono anche dati medici o di tipo medico e facilitano e incoraggiano la condivisione.
Esiste anche un targeting comportamentale costante e calibrato all’infinito che può, a sua insaputa, collegare dati di clic non identificati con informazioni mediche identificabili.
Il risultato finale? Un mosaico di leggi che troppo spesso lasciano informazioni mediche sensibili non protette.