¿Quién debe cumplir con las Normas de Privacidad y Seguridad de HIPAA?

Las normas vinculan a las entidades cubiertas (la mayoría de los proveedores de atención médica, planes de salud y cámaras de compensación de atención médica) y a sus asociados comerciales que crean, reciben, mantienen o transmiten información de salud protegida en su nombre. No cubren directamente a todas las organizaciones que manejan datos relacionados con la salud.

¿Qué es el estándar de mínimo necesario?

Es el principio de la Norma de Privacidad según el cual, para la mayoría de los usos y divulgaciones, las entidades cubiertas deben hacer esfuerzos razonables para limitar la información de salud protegida al mínimo necesario para lograr el propósito previsto, en lugar de compartir registros completos por defecto.

Normas de Privacidad y Seguridad de HIPAA

Las Normas de Privacidad y Seguridad de HIPAA son los principales estándares federales de los Estados Unidos que rigen el uso, la divulgación y la protección de la información de salud identificable. Emitida bajo la Ley de Portabilidad y Responsabilidad del Seguro Médico de 1996 (Health Insurance Portability and Accountability Act of 1996), la Norma de Privacidad establece estándares nacionales sobre cómo la información de salud protegida puede ser utilizada y divulgada, y otorga derechos a los individuos sobre su información, mientras que la Norma de Seguridad establece estándares para salvaguardar esa información cuando se mantiene o transmite electrónicamente.

Encontrar tema con PaperMindPróximamenteFind papers & topics

Tools & resources

Descargar diapositivas

Learn & explore

VídeoPróximamente

Definition

La Norma de Privacidad de HIPAA establece estándares nacionales para la protección de la información de salud individualmente identificable mantenida o transmitida por entidades cubiertas y sus asociados comerciales, definiendo los usos y divulgaciones permitidos y los derechos individuales; la Norma de Seguridad de HIPAA establece estándares para las salvaguardias administrativas, físicas y técnicas que protegen la información de salud protegida electrónica.

Scope

Esta entrada explica la estructura y los conceptos centrales de ambas normas: la definición de información de salud protegida, las categorías de entidades cubiertas y asociados comerciales a las que vinculan, los usos y divulgaciones permitidos y el principio de mínimo necesario, los derechos individuales de acceso y modificación, y las salvaguardias administrativas, físicas y técnicas requeridas para la información electrónica. Se tratan las normas como un marco regulatorio de referencia y educación, y no se proporcionan determinaciones de cumplimiento para ninguna organización o situación específica.

Core questions

¿A qué organizaciones e información se aplican las normas?
¿Qué usos y divulgaciones de información de salud protegida están permitidos sin autorización individual?
¿Qué derechos tienen los individuos sobre su propia información de salud?
¿Qué salvaguardias deben proteger la información de salud protegida electrónica?
¿Cómo refuerzan las normas las obligaciones de cumplimiento y las relacionadas con las infracciones?

Key concepts

Información de salud protegida (PHI)
Entidades cubiertas y asociados comerciales
Usos y divulgaciones permitidos
Estándar de mínimo necesario
Derechos individuales de acceso y modificación
Salvaguardias administrativas, físicas y técnicas
Especificaciones obligatorias versus abordables de la Norma de Seguridad
Aviso de prácticas de privacidad

Mechanisms

La Norma de Privacidad funciona definiendo la información de salud protegida y luego especificando cuándo puede ser utilizada o divulgada: algunos usos (como para tratamiento, pago y operaciones de atención médica) están permitidos sin autorización, mientras que muchos otros requieren la autorización escrita del individuo, y las divulgaciones están restringidas por el principio de mínimo necesario. También confiere derechos individuales, incluyendo el acceso a los propios registros y la capacidad de solicitar modificaciones. La Norma de Seguridad complementa esto al requerir que las entidades cubiertas y los asociados comerciales que manejan información de salud protegida electrónica realicen análisis de riesgos e implementen salvaguardias en tres dominios: administrativo (políticas, capacitación del personal, gestión de acceso), físico (controles de instalaciones y dispositivos) y técnico (control de acceso, controles de auditoría, integridad y seguridad de la transmisión). Algunas especificaciones de implementación son obligatorias y otras son abordables, lo que permite una flexibilidad adaptada al tamaño y riesgo de una organización. La Oficina de Derechos Civiles (Office for Civil Rights) hace cumplir ambas normas (HHS OCR, 2013; Nass et al., 2009).

Clinical relevance

Las normas configuran el manejo diario de la información en los entornos de atención: cómo se comparten los registros para el tratamiento, a qué pueden acceder los pacientes y bajo qué capacitación y controles opera el personal clínico. Algunos comentaristas han argumentado que la Norma de Privacidad apoya, en lugar de obstruir, el intercambio apropiado de información de salud cuando se aplica correctamente (McDonald, 2009). Esta entrada es una descripción de referencia del marco regulatorio y no constituye asesoramiento legal ni una determinación de cumplimiento para ninguna entidad específica.

Evidence & guidelines

La fuente autorizada es el propio texto regulatorio (45 CFR Partes 160 y 164) y la guía de la Oficina de Derechos Civiles (Office for Civil Rights) que lo interpreta (HHS OCR, 2013). El Instituto de Medicina (Institute of Medicine) examinó cómo la Norma de Privacidad afecta la investigación en salud y recomendó reformas para equilibrar mejor la privacidad con la utilidad de la investigación (Nass et al., 2009). Dado que las normas y sus guías se modifican periódicamente, se deben consultar las fuentes oficiales actuales del HHS para conocer los requisitos específicos.

History

HIPAA fue promulgada en 1996 principalmente para abordar la portabilidad del seguro y la simplificación administrativa; sus disposiciones de privacidad y seguridad se emitieron como normas a principios de la década de 2000, entrando en vigor la Norma de Privacidad y la Norma de Seguridad en 2003 y 2005, respectivamente. La Ley HITECH de 2009 (HITECH Act of 2009) extendió las obligaciones directamente a los asociados comerciales, fortaleció la aplicación y añadió requisitos de notificación de infracciones, y la Norma Ómnibus de 2013 (2013 Omnibus Rule) consolidó estos cambios. El marco sigue siendo la base con la que se mide gran parte de la práctica de la información de salud en EE. UU. (Nass et al., 2009).

Debates

¿La Norma de Privacidad equilibra adecuadamente la protección y el uso de los datos de salud?: Algunos argumentan que la norma impide innecesariamente la coordinación de la atención y la investigación, mientras que otros la defienden como compatible con el intercambio apropiado de información de salud; el Instituto de Medicina recomendó reformas específicas para el contexto de la investigación.

Seminal works

nass-2009
mcdonald-2009

Frequently asked questions

¿Quién debe cumplir con las Normas de Privacidad y Seguridad de HIPAA?: Las normas vinculan a las entidades cubiertas (la mayoría de los proveedores de atención médica, planes de salud y cámaras de compensación de atención médica) y a sus asociados comerciales que crean, reciben, mantienen o transmiten información de salud protegida en su nombre. No cubren directamente a todas las organizaciones que manejan datos relacionados con la salud.
¿Qué es el estándar de mínimo necesario?: Es el principio de la Norma de Privacidad según el cual, para la mayoría de los usos y divulgaciones, las entidades cubiertas deben hacer esfuerzos razonables para limitar la información de salud protegida al mínimo necesario para lograr el propósito previsto, en lugar de compartir registros completos por defecto.