HIPAA y la Ley de Privacidad
November 01, 2024 | 11 minutes read
La HIPAA protege la intimidad del paciente
El Departamento de Salud y Servicios Humanos de EE.UU. (HHS, por sus siglas en inglés) adoptó una serie de normas para el tratamiento de la información sanitaria privada (PHI, por sus siglas en inglés) con el fin de proteger a las personas del uso indebido de sus datos personales. En 1996, el Congreso adoptó la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) como política federal de privacidad. El resultado fue la protección de la información sanitaria identificable individualmente de los pacientes de todo el país. El HHS desarrolló las normas y procedimientos nacionales para gestionar las transacciones electrónicas de asistencia sanitaria, los conjuntos de códigos, los identificadores sanitarios únicos y garantizar la seguridad de los datos de los pacientes.
En los últimos 30 años, los historiales de los pacientes pasaron del papel a los formatos electrónicos y los historiales digitales. La digitalización de los historiales médicos individuales también supuso un aumento del número de personas que podían acceder a los datos sanitarios personales y utilizarlos para tratar a sus pacientes. También ha supuesto una mayor oportunidad para que los malos actores hagan un uso indebido y divulguen datos sanitarios sensibles y personales de las personas.
Los profesionales sanitarios, conscientes de la relación que mantienen con sus pacientes y de la confianza que ello requiere, siempre han mantenido una larga tradición de protección de la intimidad de los pacientes. Antes del desarrollo de la normativa HIPAA, las anteriores protecciones legales y normativas para proteger a los pacientes a nivel federal, tribal, estatal y local eran deficientes e ineficaces.
Las preocupaciones sobre la privacidad de los datos de los pacientes se abordaron con el desarrollo de la normativa HIPAA. El HHS elaboró la norma de privacidad para ofrecer protecciones básicas a los pacientes sin dejar de equilibrar las necesidades de salud y seguridad públicas. La aprobación de la normativa HIPAA también obligó a las empresas a ofrecer cobertura sanitaria (COBRA) a los empleados que dejaran voluntariamente su trabajo o incluso fueran despedidos.
La legislación desarrolló normas nacionales para las transacciones electrónicas de asistencia sanitaria. Estas normas ayudan a garantizar la privacidad del paciente, al tiempo que mejoran su acceso a una atención médica de calidad. Los historiales médicos pueden compartirse instantáneamente en caso de urgencia u otra situación sanitaria, en lugar de esperar días o incluso hasta que los médicos puedan conversar sobre sus necesidades sanitarias. Este sistema de intercambio instantáneo permite a los médicos el acceso inmediato a los historiales de sus pacientes en las salas de urgencias, facilitando así una mejor atención sanitaria.
La Ley de Privacidad – ¿Qué es?
Como parte de la HIPAA, el Congreso añadió normas adicionales en 2000 y las actualizó en 2003. El HHS elaboró normas que protegen la privacidad y seguridad de la información sanitaria específica. Se promulgaron dos normas conocidas como la Norma de Privacidad y la Norma de Seguridad. La Regla de Privacidad se conoce más formalmente como Normas de Privacidad de la Información Sanitaria Individualmente Identificable. La Regla de Privacidad establece normas nacionales para la protección de datos sanitarios específicos. La Norma de Seguridad es un conjunto de normas federales para proteger datos sanitarios detallados almacenados o transferidos en formato electrónico. Ambas normativas trabajan juntas para proteger a los pacientes. La Regla de Seguridad pone en funcionamiento las protecciones contenidas en la Regla de Privacidad definiendo los retos que deben superarse mediante la estandarización de salvaguardias técnicas y no técnicas para los datos sanitarios del paciente. Otra parte del HHS, la Oficina de Derechos Civiles u OCR, tiene la responsabilidad de hacer cumplir tanto la Regla de Privacidad como la de Seguridad mediante el cumplimiento voluntario y severas sanciones civiles y penales para aquellos que violen la seguridad del paciente.
Gestión de riesgos
En cualquier momento en que se almacenan datos personales, tanto las empresas como los proveedores sanitarios se enfrentan a procedimientos de gestión de riesgos. La gestión de riesgos implica la adopción de medidas para proteger los datos que almacenan y evitar que sean vulnerados o pirateados. Las Salvaguardias Administrativas son requisitos de la Norma de Seguridad que exigen a las entidades cubiertas o a los proveedores sanitarios que apliquen procedimientos de análisis de riesgos como parte de su gestión de la seguridad. La HIPAA aborda el análisis y la gestión de riesgos fomentando y promoviendo medidas de seguridad específicas que se consideran razonables y adecuadas. Para los proveedores de servicios sanitarios, el análisis de riesgos repercute en la aplicación de las medidas de seguridad. Los procedimientos de análisis de riesgos incluyen las siguientes actividades, pero no se limitan explícitamente a ellas.
- Los proveedores de servicios sanitarios deben dedicar tiempo a evaluar el potencial y el impacto de los riesgos potenciales.
- Los proveedores deben estar preparados para promulgar medidas de seguridad apropiadas que aborden todos los riesgos potenciales identificados en el análisis de riesgos.
- Las medidas de seguridad deben documentarse e incluir la justificación de las medidas adoptadas.
- Los proveedores no sólo deben implantar medidas de seguridad, sino proporcionar y mantener de forma continua protecciones de seguridad adecuadas para sus datos.
- El análisis de riesgos es un proceso continuo y debe hacerse con regularidad.
- Las entidades cubiertas deben revisar periódicamente los incidentes de acceso y seguridad.
- Los proveedores deben realizar periódicamente una evaluación de la eficacia de las medidas de seguridad aplicadas. Estas revisiones también deben incluir evaluaciones periódicas de los riesgos potenciales nuevos y actuales para los datos de los pacientes.
¿A quién afecta la ley?
Las normas de la HIPAA se promulgaron con el fin de mejorar el sistema de datos y seguros sanitarios. Las leyes afectan a casi todo el mundo, con normas diferentes según se esté en el extremo proveedor o receptor del sistema sanitario.
- La HIPAA ayuda a las personas que tienen planes de seguros colectivos a través de sus empresas o sindicatos.
- La normativa también ayuda a quienes están autoasegurados por las empresas.
- Las normas afectan a los trabajadores sanitarios. El cambio incluye a todos los trabajadores del sistema sanitario, desde el personal de limpieza hasta la administración y los médicos, en lo que respecta al trato con los pacientes y el tratamiento de sus datos personales.
- La HIPAA afecta a las compañías de seguros, los proveedores sanitarios, las clínicas, los terapeutas y los pacientes.
- TODOS los empleados y organizaciones sanitarias que utilicen, almacenen, mantengan o transmitan datos de pacientes deben cumplir la normativa HIPAA.
El Congreso promulgó la HIPAA para garantizar la privacidad de los pacientes, reducir el fraude y mejorar el sistema de datos sanitarios. Cada cierto tiempo se añaden nuevas normas o controles a las reglas para que sigan siendo eficaces. Siguiendo las normas, el gobierno ha calculado que podría ahorrar a los proveedores sanitarios miles de millones de dólares anuales.
Para los proveedores, saber cómo prevenir los riesgos de seguridad que podrían dar lugar a importantes sanciones por incumplimiento – la normativa HIPAA les da el incentivo para aprender más sobre el mantenimiento de sus datos. La formación y los recursos adicionales del HHS ayudan a los proveedores a aprender a mantener sus datos seguros y a ahorrar dinero. Gracias a los recursos disponibles y a la ayuda de profesionales de la privacidad, los proveedores y otras organizaciones pueden centrarse en su margen de beneficios, pues ya no tienen que temer ser auditados continuamente.
Protección de datos: las normas
La Regla de Privacidad fue creada para proteger cierta información que los proveedores utilizan y revelan a otras partes para el cuidado de la salud del paciente. Los datos que deben mantenerse a salvo de divulgaciones o infracciones se denominan Información Sanitaria Protegida o PHI (Protected Health Information). Se trata de información sanitaria identificable que se transmite, almacena o comparte a través de medios electrónicos u otras redes.
La PHI son datos que se refieren a:
- hLa salud física o mental pasada, presente o futura, el estado de salud o las condiciones de un paciente individual.
- Disposiciones para el tratamiento de la atención sanitaria de un individuo; o
- información relativa a los pagos por la prestación de asistencia sanitaria a un individuo.
Los datos almacenados en los sistemas son conjuntos de datos redactados y desidentificados. Se trata de datos estadísticos desprovistos de identificadores individuales. Los datos desidentificados no requieren protección de la privacidad, y la Norma de Privacidad no cubre estos conjuntos de datos.
Los datos desidentificados son procesados por un estadístico o profesional de la privacidad debidamente cualificado que utiliza la analítica para reducir el riesgo de los conjuntos de datos limitando sustancialmente los datos. La eliminación de datos y asegurarse de que faltan, se eliminan o se codifican detalles específicos reduce la capacidad de los malos actores o las violaciones que permitirían la recombinación de puntos de datos para determinar la identidad de una persona. Estas combinaciones se realizan generalmente a través del “método de puerto seguro” en el que la empresa o su empleado autorizado desidentifica los datos eliminando 18 identificadores. La empresa o el profesional cubierto ya no dispondrán de los datos originales. Protege tanto al proveedor de asistencia sanitaria como al paciente. En algunos casos, la investigación clínica y otras actividades pueden considerar que trabajar con datos desidentificados tiene un valor limitado.
¿Cuáles son los 18 identificadores que se eliminan para desidentificar los datos mediante el método de puerto seguro? Los 18 identificadores de la HIPAA deben eliminarse antes de almacenar los datos. Según la lista del HHS, estos datos son:
- Nombre
- Dirección (todas las subdivisiones geográficas menores que un estado, incluida la dirección, la ciudad, el condado y el código postal)
- Todos los elementos (excepto los años) de las fechas relacionadas con una persona (incluidas la fecha de nacimiento, la fecha de ingreso, la fecha de alta, la fecha de defunción y la edad exacta si es mayor de 89 años)
- Números de teléfono
- Número de fax
- Dirección de correo electrónico
- Número de la Seguridad Social
- Número de historia clínica
- Número de beneficiario del plan de salud
- Número de cuenta
- Número de certificado o licencia
- Identificadores y números de serie de vehículos, incluidos los números de matrícula
- Identificadores y números de serie de dispositivos
- URL web
- Dirección del Protocolo de Internet (IP)
- Huella dactilar o vocal
- Imagen fotográfica – Las imágenes fotográficas no se limitan a fotos de la cara.
- Cualquier otra característica que pueda identificar de forma inequívoca al individuo.
La redacción automatizada ahorra
¿Cómo pueden las empresas adelantarse a los tiempos? Eliminar, redactar o desidentificar datos puede llevar horas si se hace manualmente por humanos. Estas normas podrían poner el coste de la protección de datos fuera del alcance de la mayoría de los pequeños proveedores sanitarios o médicos. El uso de un sistema de redacción inteligente como CaseGuard puede ayudar a las empresas a cumplir todos sus objetivos de protección de la privacidad y muchos otros usos beneficiosos para hacer crecer su base de consumidores.
El software de redacción automatizada se utiliza para localizar y redactar información sensible de forma automática. CaseGuard, un software de redacción automatizada, funciona en todos los soportes digitales, incluidos documentos, bases de datos, imágenes y archivos de audio y vídeo. Funciona utilizando inteligencia artificial y aprendizaje automático para crear un proceso fluido de eliminación de identificadores restringidos en datos electrónicos. Está diseñado para adaptarse o integrarse con la mayoría de los programas informáticos, equipos y sistemas de gestión de datos de las empresas actuales. Puede automatizarse para suprimir información de identificación personal en el momento en que se crea el archivo de datos, o puede utilizarse para eliminar datos de registros, grabaciones o imágenes anteriores.
La automatización del proceso de redacción mediante inteligencia artificial hace que todo el proceso de redacción sea mucho más manejable, eficiente y preciso. La precisión es esencial, ya que un error humano al omitir un solo fotograma de un vídeo puede revelar la identidad de una persona. A la hora de ocultar datos a las fuerzas del orden, puede ser mucho más crítico que una mera violación de la identidad de alguien. Por ejemplo, la pérdida de un fotograma puede costarle la vida a un agente o a otro informador. Para todas las empresas, tener la garantía de una precisión total y un proceso completo de redacción de datos sensibles protege sus activos de datos y la bien ganada reputación de la empresa.
El ahorro de costes para las empresas viene de la mano de una menor carga de trabajo que requiere horas de personal. Lo que antes llevaba varias horas para realizar una redacción completa ahora puede hacerse en minutos. Más beneficios para la cuenta de resultados de la empresa vienen de la mano de todas las funciones adicionales incluidas en el software de redacción de CaseGuard. Los elementos que contienen traducciones, transcripción y subtitulado de datos de vídeo hacen que el sistema de redacción sea mucho más que un sistema de privacidad de datos. Imagine cuánto más lejos llegará el mensaje de su empresa si sus publicaciones en redes sociales y contenidos de vídeo pueden traducirse a 32 idiomas diferentes o subtitularse con sólo pulsar un botón. Crecimiento. Protección de datos. Seguridad. Liderazgo. Las empresas que eligen CaseGuard para proteger sus datos lideran el mercado en sus sectores. El liderazgo importa. Los beneficios proporcionados por el software de redacción inteligente de CaseGuard son características que han hecho de CaseGuard el líder número uno en sistemas de privacidad y redacción.