¿Los registros médicos son privados?

En los Estados Unidos, la mayoría de las personas cree que las leyes de la Ley de Portabilidad y Responsabilidad de los Seguros de Salud (HIPAA, por sus siglas en inglés) mantienen la privacidad de nuestros registros médicos, que solo comparten nuestros médicos, nosotros mismos y quizás un ser querido o cuidador. Pero aquellos que creen eso pueden sorprenderse al saber que otros tienen acceso a sus registros y no necesitan el consentimiento de nadie para hacerlo.

De hecho, hay docenas de personas y organizaciones que están legalmente autorizadas para acceder a nuestros registros médicos por una variedad de razones, ya sea por solicitud o por compra. En algunos casos, otorgamos permiso para su acceso. En otros, el permiso no es necesario. En otros casos, proporcionamos permiso sin siquiera darnos cuenta de que lo hemos hecho.

Y luego están aquellos que acceden ilegalmente a nuestros registros.

De acuerdo con el Departamento de Salud y Servicios Humanos de los EE. UU. , Se registraron al menos 2,181 violaciones de datos de atención médica entre 2009 y 2017, lo que dio como resultado la exposición de 176,709,305 registros médicos.

Aquí hay una lista maestra de personas y organizaciones que acceden a nuestros registros médicos de manera regular, cómo los obtienen y por qué los quieren.

Tipos de acceso a registros médicos

Hay dos tipos generales de registros médicos que se comparten o compran. El primer tipo se llama registro individual identificable , que se centra en atributos personales, como un registro con el nombre de una persona, médicos, aseguradores, diagnósticos, tratamientos y más. Este es el registro que solicitamos cuando deseamos revisar nuestros propios registros médicos.

El segundo tipo viene en un formato llamado registro médico agregado . Un registro médico agregado es una base de datos de atributos, pero no se utiliza para identificar a ningún individuo per se. En su lugar, cientos o miles de registros se compilan en varias listas para formar una lista agregada.

Ese proceso se llama “minería de datos”. Por ejemplo, un hospital puede decidir extraer datos de todos los registros de pacientes que se han sometido a una cirugía de derivación cardíaca. El registro agregado puede estar compuesto por cientos de pacientes, categorizados por tipos de seguro y subcategorizados por los médicos de atención primaria, cirujanos y muchas otras categorías posibles.

A diferencia de los registros individualmente identificables, un registro médico agregado se “desidentifica”, lo que significa que no se divulga su identidad ni ningún procedimiento médico, diagnóstico o médico en sus registros.

Derecho de acceso

Bajo HIPAA, ciertas personas y entidades tienen el derecho de acceder a sus registros médicos. Se clasifican como entidades cubiertas según HIPAA, lo que significa que tienen el derecho de acceso según las pautas reglamentarias específicas.

Las entidades cubiertas incluyen médicos y profesionales médicos aliados, instalaciones (como hospitales, laboratorios y hogares de ancianos), pagadores (como Medicare y seguro de salud), proveedores de tecnología que mantienen registros electrónicos de salud y el gobierno.

Como entidades cubiertas, tienen reglas muy estrictas que deben seguir, y eso incluye obtener su permiso por escrito para compartir sus registros. Bajo HIPAA, las pautas generales son las siguientes:

  • Usted tiene el derecho legal de obtener copias de sus propios registros médicos.
  • Un ser querido o cuidador también puede tener derecho a obtener copias de sus registros médicos, pero es posible que tenga que proporcionar un permiso por escrito.
  • Sus proveedores de atención médica tienen derecho a ver y compartir sus registros con cualquier otra persona a la que le haya otorgado permiso. Por ejemplo, si su médico de atención primaria lo remite a un especialista, es posible que se le solicite que firme un formulario que dice que él o ella puede compartir sus registros con ese especialista.
  • Sus pagadores tienen el derecho de obtener copias y usar sus registros médicos como se especifica en las leyes de HIPAA. Las compañías de seguros, Medicare, Medicaid, compensación de trabajadores, discapacidad del Seguro Social, Departamento de Asuntos de Veteranos o cualquier entidad institucional que pague por cualquier parte de sus necesidades de atención médica pueden revisar sus registros.
  • El gobierno federal y estatal puede tener derecho a sus registros médicos. Además del pago médico, otras agencias pueden tener acceso, como la policía y los servicios de protección infantil si se obtiene una citación. Si ha estado en un accidente de trabajo, la Administración de Seguridad y Salud Ocupacional (OSHA) puede participar.
  • La Oficina de Información Médica , también conocida como el Grupo MIB, puede tener un registro individual sobre usted y no está sujeta a las leyes de HIPAA. El Grupo MIB es una entidad sin fines de lucro descubierta hace más de 100 años que proporciona información a los seguros de vida para evaluar la elegibilidad para la cobertura.
  • Es muy probable que las bases de datos de recetas como IntelliScript (Milliman) y MedPoint (Ingenix) tengan registros de información sobre todos los medicamentos con receta que haya comprado durante los últimos cinco años o más. Esta información generalmente es utilizada por las compañías de seguros de vida o de discapacidad para determinar si le venderán o no un seguro.

Una entidad no cubierta por HIPAA son los empleadores. Incluso si pagan su seguro o atención médica de su bolsillo, HIPAA les prohíbe acceder a registros médicos o reclamaciones de seguros, ya que podría resultar en discriminación.

Donde ocurre la revelación ilegal

En algunos casos, el acceso no autorizado a los registros médicos es intencional y criminal. En otros casos, una divulgación puede ser el resultado de la falta de cuidado de nuestro proveedor de salud o de nosotros mismos. Ejemplo incluye.

  • Hackers:  Leemos en las noticias casi a diario sobre los hackers que han obtenido acceso a miles de registros privados, ya sean registros médicos, registros de tarjetas de crédito u otras fuentes de información. La información médica es un objetivo primordial porque los ladrones ganan mucho dinero con  el robo de identidad médica . No están buscando los registros de un individuo específico; en su lugar, buscan tantos registros como sea posible, aunque no se agregan. Es ilegal, por supuesto, pero sucede con demasiada frecuencia.
  • Acceso ilegal dirigido : otra forma ilegal de acceso podría estar dirigida a los registros de una persona específica. Una empresa puede pagarle a alguien debajo de la mesa para obtener el registro médico de un posible empleado, o un cónyuge que se divorciará pronto y buscará información sobre la persona de quien se está divorciando. Oímos en las noticias sobre celebridades cuyos registros médicos personales son robados regularmente.
  • Fugas accidentales : hay otras formas en que nuestra información médica privada podría volverse pública sin querer, aunque eso no la hace menos atroz. Una copiadora arrendada en un consultorio médico se devuelve a la compañía de arrendamiento con miles de registros médicos en papel copiados en su memoria. Lo mismo puede suceder con los discos duros de las computadoras que han fallado. Pero solo porque las unidades ya no funcionen con esa computadora no significa que alguien no pueda recuperar los datos.

A menudo permitimos que las entidades accedan a nuestros registros sin siquiera saberlo. El seguro de vida es un ejemplo en el que firmamos nuestra privacidad médica para la cobertura. Las pruebas de ADN en el hogar son una preocupación creciente ya que los proveedores pueden usar su información como lo deseen.

Cómo se utilizan los registros agregados

Cuando nuestros registros se juntan en forma agregada, se pueden usar por una variedad de razones. En cualquier caso, estas organizaciones tienen el derecho de agregar la información y compartirla o venderla, siempre que se haya desidentificado.

  • Investigación: los  datos agregados se pueden utilizar en la investigación. Las conclusiones alcanzadas mediante el uso de los datos pueden ayudar a los pacientes del futuro.
  • Venta de datos : a veces los hospitales y otras entidades cubiertas venderán sus datos agregados. Un hospital vende sus datos sobre mil pacientes que se sometieron a una cirugía de espalda a una compañía que vende sillas de ruedas. Una farmacia vende sus datos sobre sus 5,000 clientes que surtieron recetas de medicamentos para el colesterol en el centro cardíaco local. Los datos agregados se utilizan para fines de marketing en formas demasiado numerosas para enumerarlos y son una gran fuente de ingresos para muchas de las organizaciones que trabajan con pacientes.
  • Difusión y recaudación de fondos: las  organizaciones sin fines de lucro y de beneficencia pueden usar datos agregados para ayudarles a hacer una divulgación para recaudar fondos. Las organizaciones locales pueden asociarse con los hospitales u otras instalaciones que agreguen sus datos. Las organizaciones estatales, nacionales o internacionales también encuentran otras formas de acceder a estos datos agregados. Por supuesto, nos encontramos en sus listas de recaudación de fondos cuando nos interesamos en su causa, lo que significa que también pueden agregar sus propios datos para venderlos a otra organización que quiera saber que nos interesamos.

Sin duda, hay muchos más usos para los datos médicos agregados. Esta breve lista es solo un comienzo para darle una idea de las formas en que se pueden usar los datos agregados.