11 mitos sobre HIPAA y la privacidad de registros médicos para pacientes

La Ley de Responsabilidad de la Portabilidad del Seguro de Salud (HIPAA, por sus siglas en inglés) fue aprobada por el Congreso de los EE. UU. En 1996. Originalmente tenía la intención de proteger el acceso de un paciente a los seguros. Posteriormente, se agregaron políticas de seguridad para cubrir el intercambio electrónico de registros médicos. A pesar del hecho de que estas reglas han estado vigentes por más de dos décadas, todavía hay confusión sobre su aplicación.

HIPAA llama a esos registros “información de salud protegida”. Establece políticas y estándares sobre cómo se puede compartir la información del paciente, incluidas las notas de los médicos ,  los resultados de las pruebas médicas , los informes de laboratorio y la información de facturación.

Los proveedores temen las multas que se verán obligados a pagar si comparten la información con alguien o alguna entidad ajena a las reglas, por lo que a menudo protegen en exceso la información del paciente.

Los pacientes se sienten frustrados al intentar obtener información para ellos y para sus seres queridos, algunos de los cuales están excluidos de obtener acceso sin el permiso por escrito del paciente. Los pacientes a menudo se sorprenden al saber quién está autorizado por ley para acceder a sus registros.

Los pagadores, el gobierno, a veces los empleadores y muchos otros tienen acceso a los registros médicos.

Puede ser un paciente o defensor facultado al conocer los conceptos básicos de HIPAA y tener la confianza de solicitar los registros de los proveedores. Aquí hay algunos mitos sobre la HIPAA y cómo le afectan a usted, el paciente.1

Mito: HIPAA impide compartir información con miembros de la familia

Esto no es cierto. Las leyes de HIPAA son extensas y confusas. Muchos médicos no están seguros de lo que son, y no se les permite compartir con los pacientes y sus familias. En lugar de tratar de descifrar las regulaciones, algunos proveedores simplemente dicen que no, que no compartirán su información con un miembro de la familia o cualquier otra persona.

De hecho, las leyes se han aclarado y las traducciones de la ley están disponibles en el Departamento de Salud y Servicios Humanos de los EE. UU.

Mito: solo los pacientes o cuidadores pueden obtener copias de los registros de salud

Esto también es falso. De hecho, hay muchas otras personas y organizaciones que pueden acceder a los registros médicos de un paciente sin el permiso de un paciente, algunos legalmente y otros ilegalmente.

  • La información médica personal puede ser obtenida por cualquier persona que lo ayude a pagar su atención médica, desde el seguro hasta el gobierno y su empleador.
  • También puede ser obtenido por cualquier persona que quiera comprarlo, aunque se puede agregar y anular la identificación cuando se compra.
  • Y a veces es robado o regalado por error.

Obtenga más información sobre las muchas personas, entidades y organizaciones que comparten, obtienen, compran o roban los registros médicos privados de los pacientes todos los días.3

Mito: los empleadores son pagadores y pueden obtener acceso a los registros de un empleado

En la mayoría de los casos, HIPAA prohíbe a los empleadores acceder a los registros de un paciente, independientemente del hecho de que estén pagando la atención. Esto se aplica si el empleador participa en un plan de seguro externo o es autoasegurado.

Si el empleador desea acceder a sus registros, debe proporcionar su permiso, por escrito, para que lo haga. Hay algunas excepciones a la regla, especialmente para los empleadores autoasegurados .4

Mito: las leyes de HIPAA evitan que los médicos intercambien correos electrónicos con sus pacientes

No es cierto, incluso si su médico le dijo que es verdad. Es posible que su proveedor utilice HIPAA como excusa, pero HIPAA no prohíbe el uso de correo electrónico entre médicos y pacientes .

HIPAA solo requiere que la información de salud esté protegida, y el correo electrónico regular que usamos todos los días no está protegido en absoluto.

Hay programas que existen para garantizar que el correo electrónico está protegido. Por ejemplo, algunos programas de correo electrónico “cifrarán” un correo electrónico antes de que viaje a través de Internet, convirtiéndolo en un código ilegible hasta que alguien que tenga la clave para desbloquearlo lo reciba. Otros configuran sistemas que alertan a sus pacientes de que un mensaje los está esperando en el servidor seguro del médico. En ambos casos, toda la información que los pacientes necesitan para poder leer un correo electrónico seguro de su médico se proporciona con anticipación.

Sin embargo, para demasiados proveedores, y al igual que con otros aspectos de este conjunto de leyes, los requisitos de seguridad del correo electrónico pueden ser más de lo que quieren manejar, y pueden usar HIPAA como excusa para no intercambiar correo electrónico con usted.5

Mito: los proveedores están obligados por ley a proporcionarle todos los registros médicos

De hecho, algunos registros pueden ser retenidos y no proporcionados a usted.

Si solicita los registros que el proveedor o la instalación considera que pueden ser perjudiciales para usted, pueden negarle el acceso. Estos registros son a menudo registros de salud mental. No se pueden retener solo porque el proveedor cree que lo molestarán. Pero se le puede negar si el proveedor cree que se hará daño a sí mismo debido a su resultado.

Si ha solicitado sus registros, pero no se le han proporcionado, es posible que no haya seguido los pasos requeridos de ese proveedor para obtener copias de sus registros médicos . Si ha seguido esos pasos y aún no puede obtener esas copias, en la mayoría de los estados, el proveedor debe notificarle por escrito que no los recibirá.Qué hacer si se le niega el acceso a sus registros médicos6

Mito: los pacientes a los que se les negó el acceso a sus registros pueden demandar para obtener copias

Existen remedios para los pacientes a quienes se les niegan copias de sus registros médicos , pero una demanda no es una de ellas.

El Departamento de Salud y Servicios Humanos de los EE. UU. (HHS, por sus siglas en inglés) proporciona un procedimiento que los pacientes pueden seguir si creen que sus derechos han sido violados por las leyes de HIPAA. Incluye la presentación de una queja formal a través de un proceso en línea.

Si la violación es lo suficientemente atroz, el HHS, o incluso el Departamento de Justicia, pueden invocar una multa a la entidad infractora, que va desde una multa de $ 25,000 a 10 años de cárcel y una multa de $ 250,000.7

Mito: Las leyes de HIPAA cubren la privacidad y seguridad de todos los registros médicos

Esto es parcialmente cierto, pero solo bajo ciertas circunstancias.

Los proveedores de atención médica, las instalaciones de atención médica y, en ocasiones, las aseguradoras son las únicas entidades vinculadas por HIPAA.

Pero hay muchos otros que pueden tener esa información, y no están obligados o regulados por HIPAA. En los últimos años, docenas de aplicaciones web están disponibles, muchas de forma gratuita, que invitan a los pacientes a cargar su propia información médica y de salud, generalmente con fines de almacenamiento. Afirman que estos PHR (registros de salud personales) son convenientes y están disponibles en una emergencia cuando se almacenan de esta manera. Y así parece que son.

Pero estas organizaciones no tienen ninguna restricción de hacer lo que quieren con esos registros, incluso si afirman que los registros son privados y seguros.8

Mito: los proveedores deben corregir cualquier error encontrado en los registros de pacientes

De nuevo, esto es parcialmente cierto. Usted tiene derecho a solicitar cambios en sus registros , pero eso no significa que se corregirán.

Si su proveedor se niega a realizar los cambios, puede escribir una carta de disputa sobre los errores que ha encontrado. El proveedor o centro debe incluir su carta en el archivo de su paciente.9

Mito: Sus registros médicos y de salud no pueden afectar sus registros de crédito

¡Incorrecto! Cuando un proveedor o centro le ha proporcionado los servicios, tienen derecho a recibir un pago. Se les permite hacer lo que sea legal conforme a los estatutos de recolección de facturas para cobrar esa deuda, incluso entregar sus archivos a una agencia de cobranza.

Si se atrasa en el pago de sus facturas médicas, eso se informará a las agencias de crédito y sus problemas de pago se registrarán en su informe de crédito.

Su historial médico y problemas de pago también pueden ser reportados a la Oficina de Información Médica, que brinda servicios a compañías de seguros de vida, entre otros, y vincula salud y crédito.

Además, FICO, la organización que desarrolla los puntajes de crédito para uso de los prestamistas, comenzó a desarrollar los “puntajes de adherencia a la medicación” en 2011. Muchos expertos creen que eventualmente esos puntajes se juntarán con los puntajes de crédito para extraer conclusiones sobre pacientes individuales, lo que a su vez , afectan su capacidad para acceder a atención médica u otros tipos de seguro de salud (vida, discapacidad, otros).10

Mito: la información médica no puede ser vendida legalmente o utilizada para marketing

Esto también es falso, dependiendo de cómo se compartirá esa información, y a quién, y por supuesto, estas reglas también son confusas para los proveedores. Eso significa que estos derechos pueden ser violados, ya sea intencional o no intencional.

Un ejemplo de cuándo se puede compartir información con fines de marketing es cuando un hospital utiliza su lista de pacientes para informarle sobre un nuevo servicio que brinda, un nuevo médico que se ha unido al personal o un programa de recaudación de fondos.

Un ejemplo de cuándo no se puede compartir información sin una autorización adicional es cuando un asegurador que ha obtenido su información de uno de sus proveedores, luego usa o vende su información para venderle un seguro adicional u otro producto relacionado con los servicios que ya tiene recibido.

Puede ver cómo estos ejemplos son confusos, y cómo las diversas entidades que sí tienen acceso a sus registros podrían aprovechar esa confusión.

También hay muchas otras formas en que su información médica se vende y se usa con fines comerciales.11

Mito: HIPAA puede ser usada como una excusa

En general, los pacientes y los cuidadores pueden encontrar que la HIPAA se usa para prevenirlos o exigirles, que se comporten o se ajusten a las reglas de otra persona, incluso cuando no se aplica en absoluto.

Esto es mucho más fácil de entender con ejemplos:

Ejemplo: un miembro de la familia o defensor quiere quedarse junto a la cama de un paciente en el hospital después de las horas de visita. Uno de los empleados del hospital les dice que no pueden quedarse porque hacerlo violaría HIPAA porque afecta la privacidad de otro paciente.

  • No es verdad. HIPAA no dice nada sobre violar la privacidad de nadie más y no tiene nada que ver con las horas de visita al hospital. En este caso, el hospital está tratando de explicar su política inaceptable de hacer que un protector abandone la cama.

Ejemplo: un paciente anciano visita a su médico y espera en la sala de espera hasta que la llaman. Cuando finalmente la llaman, se usa su primer nombre. “¡Ana!” Ella se opone, porque no le gusta que la asistente médica de 20 años la llame por su nombre de 85 años. Le dicen que no tienen otra opción porque HIPAA significa que no pueden usar su apellido.

  • No es verdad. HIPAA publicó interpretaciones de “uso incidental” en 2002 que abordaron esta pregunta específicamente (página 7), diciendo que mientras la información que se proporciona sea limitada, no hay ningún problema para llamar a los nombres. Piénselo: cuando se llama el nombre de alguien, nadie llama su diagnóstico o sus síntomas, lo que significa que no se está utilizando información médica junto con el nombre del paciente. Usar solo un nombre, o solo un apellido (Sra. Smith) es perfectamente aceptable y no puede interpretarse como una violación de HIPAA.

Ejemplo: Un defensor del paciente publica el nombre de su paciente en un letrero sobre la cama del hospital del paciente como una forma de asegurarse de que el paciente se identifique correctamente y de prevenir errores como la administración de un medicamento incorrecto u otra terapia a su paciente. Un empleado del hospital insiste en que retire la señal porque es una violación de HIPAA identificar al paciente.

  • No es verdad. El mismo documento, en la página 9, explica que esto también es un uso incidental del nombre del paciente y el signo no es una violación de la ley HIPAA.