La Ley HITECH y la implementación de las historias clínicas electrónicas
La Ley de Tecnología de la Información Sanitaria para la Salud Económica y Clínica o Ley HITECH, por sus siglas, es una ley federal que fue aprobada para promover la adopción de la tecnología de la información sanitaria, en particular el uso de EHRs o historias clínicas electrónicas por parte de los proveedores de atención sanitaria. Introducida como parte de la Ley de Recuperación y Reinversión de Estados Unidos, un paquete de estímulo económico aprobado por el gobierno de Obama en 2009, la Ley HITECH eliminó ciertas lagunas contenidas en la Ley de Portabilidad y Responsabilidad de la Información Sanitaria de 1996 (HIPAA). La Ley HITECH se aprobó para contribuir al avance del sector sanitario mediante la mejora de la eficiencia y la coordinación de la atención, facilitando el intercambio de información sanitaria entre los pacientes y sus respectivos proveedores de atención médica.
¿Qué es la tecnología de la información sanitaria?
La tecnología de la información sanitaria se define como el almacenamiento, recuperación, uso e intercambio de todos los datos relacionados con la atención sanitaria de un paciente. Algunos ejemplos comunes de tecnología de la información sanitaria son los sistemas de historias clínicas electrónicas, la telesalud, el apoyo a la toma de decisiones clínicas y la informatización de los pedidos de los proveedores, entre otros. Aunque históricamente esta información se anotaba a mano, los avances tecnológicos han permitido que estos datos se almacenen electrónicamente en los últimos años. Mediante el uso del procesamiento y almacenamiento electrónico de la información sanitaria los profesionales de la salud pueden reducir sus errores médicos, disminuir el papeleo repetitivo, proporcionar una asistencia sanitaria más asequible y de mayor calidad y ofrecer un mayor nivel de atención individual a sus pacientes.
¿Qué importancia tuvo la Ley HITECH?
Antes de la aprobación de la Ley HITECH en 2008 por parte de la administración Obama, sólo el diez por ciento de los médicos y profesionales de la salud de Estados Unidos utilizaban historias clínicas electrónicas en sus operaciones diarias. Muchos profesionales de la salud deseaban actualizar sus historias clínicas, utilizando la tecnología digital, pero el coste monetario de dicha operación era muy alto. Por ello, la Ley HITECH introdujo tanto incentivos financieros como elementos disuasorios, diseñados para ayudar a mitigar los costes asociados a la transición de las historias clínicas manuscritas a su versión electrónica.
Un ejemplo de esta política es que los profesionales sanitarios que demostraran un “uso significativo de las historias clínicas electrónicas” tenían derecho a recibir incentivos de 18 000 dólares durante el primer año de implantación (15 000 dólares a partir del año 2012), 12 000 dólares durante el segundo año, 8 000 dólares durante el tercer año, 4 000 dólares durante el cuarto año y 2 000 dólares durante el quinto año. Por otra parte, a partir del año 2015, los médicos que no hicieran un “uso significativo de las historias clínicas electrónicas” estaban sujetos a reducciones significativas de la financiación del Medicaid y Medicare.
Como resultado de esta política, la adopción de historias clínicas electrónicas en los centros sanitarios de todo el país aumentó del 3,2% en 2008 al 14,2% en 2015. Para ilustrar aún más el punto, el 86% de los médicos que trabajan en consultorios habían adoptado alguna forma de historia clínica electrónica en 2017, mientras que el 96% de los hospitales no federales de cuidados intensivos habían implementado, en alguna forma, las prácticas de tecnología de información sanitaria certificada.
Además de incentivar a los profesionales de la salud a adoptar el uso de historias clínicas electrónicas, la Ley HITECH también se interesó en los derechos de privacidad del paciente, que habían sido establecidos previamente por la HIPAA en 1996. En virtud de la HIPAA, los asociados comerciales, que manejaban y realizaban tareas necesarias para la accesibilidad de la información sanitaria de los pacientes en nombre de los proveedores de asistencia sanitaria, sólo estaban regulados por acuerdos escritos entre ellos y los proveedores de asistencia sanitaria en cuestión. Por el contrario, la Ley HITECH exige que estos asociados comerciales se adhieran a las mismas normas de privacidad y seguridad que deben cumplir los proveedores de asistencia sanitaria de acuerdo con la HIPAA.
Notificación de violaciones de las políticas de privacidad de datos
La Ley HITECH también exige a los profesionales sanitarios que notifiquen públicamente las violaciones de seguridad cuando estas den lugar a la divulgación de información sanitaria de los pacientes con fines no autorizados. Estos requisitos de notificación son de naturaleza similar a las leyes estatales y federales referidas a la divulgación no autorizada de información financiera. En general, la Ley HITECH exige que se notifique a los pacientes cuya información sanitaria se haya filtrado, debido a una violación de las políticas de privacidad de datos, independientemente de que la violación se haya producido interna o externamente.
En los casos en que dichas violaciones afecten a más de quinientos pacientes, los proveedores de asistencia sanitaria también están obligados a notificar al HHS (Departamento de Salud y Servicios Humanos de los Estados Unidos). En dichos casos, la información relacionada con la violación se publicará en el sitio web del HHS y en determinadas ocasiones será necesario notificar además a los medios de comunicación locales. Estas disposiciones son un ejemplo más del énfasis que pone la Ley HITECH en el aumento de la privacidad y la protección de datos.
¿Cuáles son las sanciones por infringir la Ley HITECH?
Antes de la aprobación de la Ley HITECH en 2008, muchos proveedores de servicios sanitarios eludían las sanciones de la HIPAA a través de una laguna jurídica que les permitía culpar a los socios comerciales que manejaban la información sanitaria de los pacientes, ya que dichos socios no estaban regulados directamente por la HIPAA. En ese tiempo, las multas de la HIPAA podían ser de tan sólo 100 dólares por infracción, mientras que la sanción máxima impuesta ascendía a 25 000 dólares. En cambio, con la Ley HITECH se introdujo el siguiente sistema de niveles para las sanciones:
Nivel 1 – “Actuando en desconocimiento de la infracción y aún actuado con la debida diligencia, no habría sabido que se habían infringido las normas de la HIPAA. Multa de 100 a 50 000 dólares por cada infracción, con una sanción máxima de 1.5 millones de dólares en un período anual.”
Nivel 2 – “Causa razonable de que la entidad conocía o debería haber conocido sobre la infracción ejerciendo la debida diligencia. Multa de entre 1000 y 50 000 dólares por infracción, con una sanción máxima de 1.5 millones de dólares en un período anual.”
Nivel 3 – “Incumplimiento intencionado de las normas de la HIPAA. Si la infracción se corrige en los 30 días siguientes al descubrimiento, multa de entre 10 000 y 50 000 dólares por infracción, con una sanción máxima de 1.5 millones de dólares en un período anual.”
Nivel 4 – “Incumplimiento intencionado de las normas de la HIPAA. Si no se ha hecho ningún esfuerzo por corregir la infracción en los 30 días siguientes al descubrimiento, multa de 50 000 dólares por infracción, con una sanción máxima de 1.5 millones de dólares en un período anual.”
La Ley HITECH es aplicada por la fiscalía del estado en que se produce cada violación. Dicha ley no permite a un paciente presentar una demanda privada contra un proveedor de servicios sanitarios. El Departamento de Salud y Servicios Humanos de los Estados Unidos periódicamente realiza auditorías a los centros sanitarios y sus asociados comerciales para garantizar que cumplan con la ley HITECH en todo momento.
La Ley HITECH se aprobó para poner al día a un sistema sanitario anticuado, que había fallado en incluir la evolución de la tecnología en sus funciones cotidianas. Además, la Ley HITECH erradicó las lagunas jurídicas que habían permitido a los proveedores de atención sanitaria evitar cuantiosas multas por las infracciones a la HIPAA. Gracias a los incentivos financieros y medidas disuasorias, así como al riesgo de grandes multas impuestas a los infractores por la fiscalía de cada estado, muchos proveedores y centros sanitarios han adoptado gradualmente el uso de historias clínicas electrónicas en la última década. De este modo, los pacientes pueden estar seguros de que los profesionales de la salud están haciendo todo lo que está en sus manos para proporcionar una atención sanitaria con la mayor calidad posible.