Quién hace cumplir la HIPAA: Lo que debe saber para cumplir la normativa

Cómo mantiene la Oficina de Derechos Civiles la privacidad de la PHI

La Ley de Portabilidad y Responsabilidad de los Seguros Sanitarios (HIPAA, por sus siglas en inglés) ha tenido un enorme impacto en el sector sanitario estadounidense desde que se convirtió en ley en 1996. Aunque muchos profesionales sanitarios la conocen, muchos necesitan aprender o no están seguros de quién aplica realmente la HIPAA.

Hoy tratamos este tema, desde los departamentos gubernamentales implicados hasta las diversas sanciones que pueden imponerse a las empresas que no cumplan la ley.

¿Quién es responsable de hacer cumplir las normas de la HIPAA?

Sencillamente, la Oficina de Derechos Civiles (Office of Civil Rights, OCR). Este departamento depende del Departamento de Salud y Servicios Humanos de EE.UU. (HHS).

La OCR tiene la responsabilidad de hacer cumplir la HIPAA. Proporciona información a los particulares en el marco de la HIPAA y normas para las entidades cubiertas y los asociados comerciales.

Como ya se ha dicho, las "entidades cubiertas" son básicamente cualquiera que tenga información electrónica protegida sobre la salud (PHI) según la definición del HHS. Normalmente se dividen en:

Planes de salud como las compañías de seguros médicos, programas gubernamentales que pagan por la atención médica (ejemplo: Medicare) y programas de salud militares y de veteranos (ejemplo: el VA).

Centros de intercambio de información sanitaria, como los servicios de facturación médica, las empresas de retarificación o los sistemas comunitarios de información sobre gestión sanitaria (HMI).

Médicos, farmacias y residencias de ancianos

La OCR también se ocupa de la crisis de sobredosis de opiáceos que azota Estados Unidos.

Recientemente, el departamento anunció que está ampliando sus responsabilidades para incluir la ciberseguridad.

Además de la HIPAA, la OCR también es responsable de:

Hacer cumplir las leyes federales de derechos civiles que protegen los derechos de las personas y entidades contra la discriminación ilegal por motivos de raza, color, origen nacional, discapacidad, edad o sexo en los servicios sanitarios y humanos.

Aplicar las leyes federales que protegen la conciencia y el libre ejercicio de la religión en los servicios sanitarios y humanos. Esto incluye la prohibición de la coacción y la discriminación religiosa.

La OCR: lista de sus funciones

La HIPAA establece tres normas principales para la protección de la PHI. Éstas son:

La Regla de Privacidad

Regla de seguridad

Regla de notificación de infracciones

Regla de confidencialidad

La Regla de Privacidad está diseñada para proteger la PHI. Puede verse en dos partes:

Las entidades cubiertas deben establecer protecciones para proteger la información de los pacientes, que van desde el establecimiento de límites y condiciones en el uso de la información hasta la forma de acceder a ella.

Los pacientes tienen ciertos derechos para acceder a su PHI.

La norma de seguridad

Estas normas y requisitos deben utilizarse para proteger la PHI cuando la almacenan las entidades cubiertas y los asociados comerciales o en su transmisión. Un ejemplo de esto último sería el intercambio entre la tableta médica de un enfermero y el teléfono inteligente de un médico.

Las salvaguardias son una forma de cumplir esta norma, como el uso de lectores RFID integrados y software de inicio de sesión único como Imprivata en una tableta médica de este tipo.

Norma de notificación de infracciones

Esta norma establece lo que ocurre cuando la entidad cubierta y cualquier asociado comercial sufren una violación de datos.

¿Se notifica primero al paciente? ¿O al director de la OCR? ¿Y al HHS o incluso a los medios de comunicación?

Esta norma responde a esas preguntas y a otras más.

La OCR también hace cumplir otras normas más específicas de la HIPAA, como la Regla de Transacciones, la Regla de Identificadores y la Regla de Aplicación,

Cómo hace cumplir las normas la OCR

La OCR hace cumplir la HIPAA de varias maneras.

Una de ellas consiste en investigar las denuncias. Cada una de ellas debe seguir unas directrices estrictas para que el departamento las tenga en cuenta.

La posible infracción debe haberse producido en los últimos seis años.

La entidad o empresa asociada implicada debe estar sujeta a las normas de la HIPAA.

La acción cometida por la entidad o el asociado comercial infringió las normas de la HIPAA.

La persona que presente la denuncia debe hacerlo en un plazo de 180 días tras descubrir la posible infracción.

Las revisiones o auditorías de cumplimiento son otra forma que tiene la OCR de hacer cumplir la HIPAA. Se pondrá en contacto con las entidades cubiertas para asegurarse de que sus procesos son conformes. Esto puede ser como parte de una investigación de una queja o determinado al azar por el departamento.

La OCR, si determina que ha habido un incumplimiento de la HIPAA por parte de una entidad Cubierta, trabajará con ella para:

Cumplimiento voluntario por parte de la entidad Cubierta

Realización de una Acción Correctiva.

Establecimiento de un acuerdo de Resolución.

La naturaleza de la denuncia, la infracción y las entidades cubiertas afectan a la negociación de la OCR con la entidad o el asociado comercial concreto.

Sanciones pecuniarias civiles

Lamentablemente, algunas entidades cubiertas o sus socios comerciales pueden no cumplir su parte del trato con la OCR. Cuando el departamento se da cuenta de esto, puede imponer sanciones monetarias civiles (CMP):

de 100 a 50.000 dólares por cada infracción que la entidad haya cometido pero "no supiera"

de 1.000 a 50.000 dólares por cada infracción que la entidad haya cometido y para la que tuviera la llamada "causa razonable" para infringir

de 10.000 a 50.000 dólares por cada infracción que la entidad cometiera por "negligencia intencionada" con medidas correctoras.

Un conjunto de 50.000 dólares si cometen "negligencia intencionada" sin acción correctiva.

Las entidades cubiertas o los socios comerciales pueden ser multados hasta un máximo de 1.500.000 dólares por todas las infracciones de una disposición idéntica durante un año natural (antes de la inflación).

Sanciones penales

En caso de infracciones más graves, la OCR puede imponer sanciones penales:

50.000 dólares y hasta un año de prisión por el uso indebido intencionado de la PHI.

100.000 dólares y hasta cinco años de prisión si hay falsos pretextos.

250.000 dólares y hasta 10 años de prisión por infracciones cometidas en beneficio propio.

Tenga en cuenta que la OCR no trabaja sola en la aplicación de la HIPAA. En caso necesario, la OCR puede recurrir a los poderes coercitivos de:

Centros de Servicios de Medicare y Medicaid

Administración de Alimentos y Medicamentos de EE.UU

Comisión Federal de Comunicaciones

HHS

Por último, muchos fiscales generales estatales pueden hacer cumplir la HIPAA.

Reflexiones finales

La Oficina de Derechos Civiles (OCR) hace cumplir las normas de la HIPAA. La OCR, que forma parte del Ministerio de Sanidad y Servicios Sociales de EE.UU., se asegura de que las entidades cubiertas cumplan las normas y de que se les apliquen las medidas oportunas en caso contrario. Se trata de proveedores, compañías de seguros y cualquier otra entidad y sus socios comerciales que estén sujetos a la HIPAA.

Póngase en contacto con un experto de Cybernet si desea asegurarse de que sus ordenadores médicos y equipos similares cumplen la HIPAA. También podemos sugerir maneras en que pueden ayudar en sus esfuerzos de cumplimiento de HIPAA, que pueden incluir el cumplimiento de cualquier sanción ordenada por la OCR.