Otros títulos cortos | Ley Kassebaum-Kennedy, Ley Kennedy-Kassebaum |
---|---|
Título largo | Una ley para modificar el Código de Rentas Internas de 1986 para mejorar la portabilidad y continuidad de la cobertura del seguro de salud en los mercados grupales e individuales, para combatir el desperdicio, el fraude y el abuso en el seguro de salud y la prestación de atención médica, para promover el uso de cuentas de ahorro médico, para mejorar el acceso a los servicios y la cobertura de atención a largo plazo, para simplificar la administración del seguro de salud y para otros fines. |
Acrónimos (coloquial) | HIPAA ( pronunciado / ˈhɪpə / HIP - uh ) |
Promulgado por | el 104º Congreso de los Estados Unidos |
Citas | |
Derecho público | Pub.L.Tooltip Derecho público (Estados Unidos) 104–191 (texto) (PDF) |
Estatutos en general | 110 Estatuto 1936 |
Historial legislativo | |
|
La Ley de Portabilidad y Responsabilidad del Seguro Médico de 1996 ( HIPAA o Ley Kennedy - Kassebaum [1] [2] ) es una ley del Congreso de los Estados Unidos promulgada por el 104.º Congreso de los Estados Unidos y firmada por el presidente Bill Clinton el 21 de agosto de 1996. [3] Su objetivo era alterar la transferencia de información sanitaria, estipulaba las directrices por las que la información de identificación personal mantenida por las industrias de la atención sanitaria y de los seguros sanitarios debía protegerse del fraude y el robo, [4] y abordaba algunas limitaciones a la cobertura del seguro sanitario . En general, prohíbe a los proveedores de atención sanitaria y a las empresas denominadas entidades cubiertas divulgar información protegida a cualquier persona que no sea un paciente y los representantes autorizados del paciente sin su consentimiento. El proyecto de ley no restringe a los pacientes recibir información sobre sí mismos (con excepciones limitadas). [5] Además, no prohíbe a los pacientes compartir voluntariamente su información sanitaria de la forma que elijan, ni exige confidencialidad cuando un paciente divulga información médica a familiares, amigos u otras personas que no sean empleados de una entidad cubierta.
La ley consta de 5 títulos:
La ley consta de cinco secciones, conocidas como títulos.
El Título I de la HIPAA regula la disponibilidad y amplitud de los planes de salud grupales y ciertas pólizas de seguro de salud individuales. Modificó la Ley de Seguridad de Ingresos de Jubilación de Empleados, la Ley del Servicio de Salud Pública y el Código de Rentas Internas. Además, el Título I aborda la cuestión del "bloqueo laboral", que es la incapacidad de un empleado para dejar su trabajo porque perdería su cobertura de salud. [8] Para combatir el problema del bloqueo laboral, el Título protege la cobertura de seguro de salud para los trabajadores y sus familias si pierden o cambian de trabajo. [9]
El Título I exige la cobertura de condiciones preexistentes y también limita las restricciones que un plan de salud grupal puede imponer a los beneficios por condiciones preexistentes. Los planes de salud grupales pueden negarse a proporcionar beneficios en relación con condiciones preexistentes durante los 12 meses posteriores a la inscripción en el plan o 18 meses en el caso de inscripción tardía. [10] El Título I permite a las personas reducir el período de exclusión por la cantidad de tiempo que hayan tenido una "cobertura acreditable" antes de inscribirse en el plan y después de cualquier "interrupción significativa" en la cobertura. [11] La "cobertura acreditable" se define de manera bastante amplia e incluye casi todos los planes de salud grupales e individuales, Medicare y Medicaid. [12] Una "interrupción significativa" en la cobertura se define como cualquier período de 63 días sin ninguna cobertura acreditable. [13] Junto con una excepción, permite a los empleadores vincular las primas o copagos al consumo de tabaco o al índice de masa corporal.
El Título I exige que los proveedores de seguros emitan pólizas sin exclusiones a las personas que abandonen los planes de salud grupales, siempre que hayan mantenido una cobertura continua y creíble (ver arriba) por más de 18 meses, y [14] renovar las pólizas individuales mientras se ofrezcan o brindar alternativas a los planes discontinuados mientras la aseguradora permanezca en el mercado sin exclusiones, independientemente del estado de salud.
Algunos planes de atención médica están exentos de los requisitos del Título I, como los planes de salud a largo plazo y los planes de alcance limitado, como los planes dentales o de la vista que se ofrecen por separado del plan de salud general. Sin embargo, si dichos beneficios son parte del plan de salud general, entonces la HIPAA aún se aplica a dichos beneficios. Por ejemplo, si el nuevo plan ofrece beneficios dentales, entonces debe computar la cobertura continua acreditable bajo el plan de salud anterior para cualquiera de sus períodos de exclusión para los beneficios dentales.
El plan de salud de acuerdo con el Título I dispone de un método alternativo para calcular la cobertura continua acreditable. Es decir, se pueden considerar por separado 5 categorías de cobertura de salud, incluidas la cobertura dental y de la vista. Todo lo que no esté incluido en esas 5 categorías debe utilizar el cálculo general (por ejemplo, el beneficiario puede contarse con 18 meses de cobertura general, pero solo 6 meses de cobertura dental, porque el beneficiario no tenía un plan de salud general que cubriera la cobertura dental hasta 6 meses antes de la fecha de solicitud). Dado que los planes de cobertura limitada están exentos de los requisitos de HIPAA, existe el caso extraño en el que el solicitante de un plan de salud grupal general no puede obtener certificados de cobertura continua acreditable para planes independientes de alcance limitado, como la cobertura dental, para aplicarlos a los períodos de exclusión del nuevo plan que sí incluye esas coberturas.
Los períodos de exclusión ocultos no son válidos según el Título I (por ejemplo, "El accidente, para que esté cubierto, debe haber ocurrido mientras el beneficiario estaba cubierto por este mismo contrato de seguro médico"). El plan de salud no debe aplicar dichas cláusulas. Además, deben reescribirse para que cumplan con la HIPAA. [15]
Esta sección necesita citas adicionales para su verificación . ( Abril de 2010 ) |
El Título II de la HIPAA establece políticas y procedimientos para mantener la privacidad y la seguridad de la información de salud que permite la identificación individual, describe numerosos delitos relacionados con la atención médica y establece sanciones civiles y penales para las violaciones. También crea varios programas para controlar el fraude y el abuso dentro del sistema de atención médica. [16] [17] [18] [19] Sin embargo, las disposiciones más importantes del Título II son sus reglas de simplificación administrativa. El Título II requiere que el Departamento de Salud y Servicios Humanos (HHS) aumente la eficiencia del sistema de atención médica mediante la creación de estándares para el uso y la difusión de la información sobre atención médica. [19]
Estas normas se aplican a las "entidades cubiertas", según la definición de la HIPAA y el HHS. Las entidades cubiertas incluyen planes de salud, centros de intercambio de información sobre atención médica (como servicios de facturación y sistemas de información de salud comunitarios) y proveedores de atención médica que transmiten datos de atención médica de una manera regulada por la HIPAA. [20]
De acuerdo con los requisitos del Título II, el HHS ha promulgado cinco reglas sobre simplificación administrativa: la regla de privacidad, la regla de transacciones y conjuntos de códigos, la regla de seguridad, la regla de identificadores únicos y la regla de cumplimiento. [21]
La Norma de Privacidad de HIPAA se compone de regulaciones nacionales para el uso y la divulgación de Información de Salud Protegida (PHI) en el tratamiento, pago y operaciones de atención médica por parte de "entidades cubiertas" (generalmente, centros de intercambio de información de atención médica, planes de salud patrocinados por empleadores, aseguradoras de salud y proveedores de servicios médicos que participan en ciertas transacciones). [22]
La regla de privacidad entró en vigor el 14 de abril de 2003, con una prórroga de un año para determinados "planes pequeños". Mediante una reglamentación, el HHS extendió la regla de privacidad HIPAA a los contratistas independientes de las entidades cubiertas que se ajusten a la definición de "socios comerciales". [23] La PHI es cualquier información que tenga una entidad cubierta sobre el estado de salud, la prestación de atención médica o el pago de la atención médica que pueda vincularse a cualquier individuo. [20] Esto se interpreta de manera bastante amplia e incluye cualquier parte del historial médico o el historial de pagos de un individuo. Las entidades cubiertas deben divulgar la PHI al individuo dentro de los 30 días posteriores a la solicitud. [24] También deben divulgar la PHI cuando lo exija la ley, como informar sobre un presunto abuso infantil a las agencias estatales de bienestar infantil. [25]
Las entidades cubiertas pueden divulgar información médica protegida a funcionarios encargados de hacer cumplir la ley para fines de aplicación de la ley según lo requiera la ley (incluidas órdenes judiciales, órdenes judiciales, citaciones) y solicitudes administrativas; o para identificar o localizar a un sospechoso, un fugitivo, un testigo material o una persona desaparecida. [26]
Una entidad cubierta puede divulgar PHI a ciertas partes para facilitar el tratamiento, el pago o las operaciones de atención médica sin la autorización escrita expresa del paciente. [27] Cualquier otra divulgación de PHI requiere que la entidad cubierta obtenga la autorización escrita del individuo para la divulgación. [28] En cualquier caso, cuando una entidad cubierta divulga cualquier PHI, debe hacer un esfuerzo razonable para divulgar solo la información mínima necesaria requerida para lograr su propósito. [29]
La regla de privacidad otorga a las personas el derecho de solicitar a una entidad cubierta que corrija cualquier PHI inexacta. [30] Además, requiere que las entidades cubiertas tomen algunas medidas razonables para garantizar la confidencialidad de las comunicaciones con las personas. [31] Por ejemplo, una persona puede solicitar que la llamen a su número de trabajo en lugar de a su número de teléfono de casa o celular.
La regla de privacidad exige que las entidades cubiertas notifiquen a las personas sobre el uso de su PHI. [32] Las entidades cubiertas también deben llevar un registro de las divulgaciones de PHI y documentar las políticas y procedimientos de privacidad. [33] Deben designar un Funcionario de Privacidad y una persona de contacto [34] responsable de recibir quejas y capacitar a todos los miembros de su fuerza laboral en los procedimientos relacionados con la PHI. [35]
Cualquier persona que considere que no se está respetando la Norma de Privacidad puede presentar una queja ante la Oficina de Derechos Civiles (OCR) del Departamento de Salud y Servicios Humanos. [36] [37] En 2006, el Wall Street Journal informó que la OCR tenía una larga lista de espera y que ignoraba la mayoría de las quejas. "Las quejas por violaciones de la privacidad se han ido acumulando en el Departamento de Salud y Servicios Humanos. Entre abril de 2003 y noviembre de 2006, la agencia recibió 23.886 quejas relacionadas con las normas de privacidad médica, pero todavía no ha tomado ninguna medida de cumplimiento contra hospitales, médicos, aseguradoras o cualquier otra persona por violaciones de las normas. Un portavoz de la agencia dice que ha cerrado tres cuartas partes de las quejas, normalmente porque no encontró ninguna violación o después de proporcionar orientación informal a las partes implicadas". [38] Sin embargo, en julio de 2011, la Universidad de California en Los Ángeles acordó pagar 865.500 dólares en un acuerdo relacionado con posibles violaciones de la HIPAA. Una investigación de la Oficina de Derechos Civiles del HHS mostró que entre 2005 y 2008, empleados no autorizados revisaron repetidamente y sin causa legítima la información médica electrónica protegida de numerosos pacientes de UCLAHS. [39]
Es un error pensar que la Regla de Privacidad crea un derecho para que cualquier persona se niegue a revelar cualquier información de salud (como enfermedades crónicas o registros de vacunación) si así lo solicita un empleador o una empresa. Los requisitos de la Regla de Privacidad de HIPAA simplemente imponen restricciones a la divulgación por parte de las entidades cubiertas y sus socios comerciales sin el consentimiento de la persona cuyos registros se solicitan; no imponen ninguna restricción a la solicitud de información de salud directamente al sujeto de esa información. [40] [41] [42]
En enero de 2013, la HIPAA se actualizó a través de la Norma Ómnibus Final. [43] Las actualizaciones incluyeron cambios en las secciones de la Ley HITECH sobre Normas de Seguridad y Notificación de Infracciones. Los cambios más significativos se relacionaron con la ampliación de los requisitos para incluir a los socios comerciales, cuando originalmente solo las entidades cubiertas debían cumplir con estas secciones de la ley. [ cita requerida ]
Además, se actualizó la definición de "daño significativo" a una persona en el análisis de una infracción para brindar un mayor escrutinio a las entidades cubiertas con la intención de revelar infracciones que anteriormente no se informaban. Anteriormente, una organización necesitaba una prueba de que se había producido un daño, mientras que ahora las organizaciones deben demostrar que no se había producido ningún daño.
La protección de la PHI pasó de ser indefinida a ser de 50 años después de la muerte. También se aprobaron sanciones más severas por la violación de los requisitos de privacidad de la PHI. [44]
La regla de privacidad de HIPAA puede no aplicarse en caso de desastres. Se han emitido exenciones limitadas en casos como el huracán Harvey en 2017. [45]
Consulte la sección de Privacidad de la Ley de Tecnología de la Información de Salud para la Salud Económica y Clínica ( Ley HITECH ).
La regla de privacidad exige que los proveedores médicos brinden a las personas acceso a su PHI. [46] Después de que una persona solicita información por escrito (normalmente utilizando el formulario del proveedor para este propósito), un proveedor tiene hasta 30 días para proporcionar una copia de la información a la persona. Una persona puede solicitar la información en formato electrónico o en papel, y el proveedor está obligado a intentar cumplir con el formato solicitado. Para los proveedores que utilizan un sistema de registro médico electrónico ( EHR ) que está certificado utilizando los criterios de CEHRT (Tecnología de registro médico electrónico certificado), las personas deben tener permitido obtener la PHI en formato electrónico. Se alienta a los proveedores a proporcionar la información de manera expedita, especialmente en el caso de solicitudes de registros electrónicos.
Las personas tienen el amplio derecho de acceder a la información relacionada con su salud, incluidos los registros médicos, notas, imágenes, resultados de laboratorio e información de seguros y facturación. [47] Se excluyen explícitamente las notas de psicoterapia privadas de un proveedor y la información recopilada por un proveedor para defenderse de una demanda. [48]
Los proveedores pueden cobrar una cantidad razonable relacionada con el costo de proporcionar la copia; sin embargo, no se permite ningún cargo cuando se proporcionan datos electrónicamente desde un EHR certificado utilizando la función "ver, descargar y transferir" que se requiere para la certificación. Cuando se entrega al individuo en forma electrónica, el individuo puede autorizar la entrega utilizando correo electrónico cifrado o no cifrado, la entrega mediante medios (unidad USB, CD, etc., que pueden implicar un cargo), mensajería directa (una tecnología de correo electrónico seguro de uso común en la industria de la atención médica) o posiblemente otros métodos. Cuando se utiliza correo electrónico no cifrado, el individuo debe comprender y aceptar los riesgos para la privacidad utilizando esta tecnología (la información puede ser interceptada y examinada por otros). Independientemente de la tecnología de entrega, un proveedor debe continuar protegiendo completamente la PHI mientras se encuentra en su sistema y puede rechazar el método de entrega si representa un riesgo adicional para la PHI mientras se encuentra en su sistema. [49]
Una persona también puede solicitar (por escrito) que su PHI se entregue a un tercero designado, como un proveedor de atención familiar.
Una persona también puede solicitar (por escrito) que el proveedor envíe su PHI a un servicio designado que se utilice para recopilar o gestionar sus registros, como una aplicación de Historial Médico Personal. Por ejemplo, una paciente puede solicitar por escrito que su obstetra-ginecólogo transmita digitalmente los registros de su última visita prenatal a una aplicación de autocuidado durante el embarazo que tenga en su teléfono móvil.
Según sus interpretaciones de la HIPAA, los hospitales no revelarán información por teléfono a los familiares de los pacientes ingresados. Esto, en algunos casos, ha impedido la localización de personas desaparecidas. Después del accidente del vuelo 214 de Asiana Airlines en San Francisco, algunos hospitales se mostraron reacios a revelar la identidad de los pasajeros que estaban tratando, lo que dificultó a Asiana y a los familiares localizarlos. [50] En un caso, un hombre del estado de Washington no pudo obtener información sobre su madre herida. [51]
Janlori Goldman, directora del grupo de defensa Health Privacy Project, dijo que algunos hospitales están siendo "excesivamente cautelosos" y están aplicando mal la ley, según informa el Times. El Hospital Suburban de Bethesda, Maryland, ha interpretado una normativa federal que exige que los hospitales permitan a los pacientes optar por no ser incluidos en el directorio del hospital como que los pacientes quieren que se les mantenga fuera del directorio a menos que digan específicamente lo contrario. Como resultado, si un paciente está inconsciente o no puede elegir ser incluido en el directorio, sus familiares y amigos podrían no ser capaces de encontrarlo, dijo Goldman. [52]
La HIPAA tenía como objetivo hacer más eficiente el sistema de atención médica en los Estados Unidos mediante la estandarización de las transacciones de atención médica. La HIPAA agregó una nueva Parte C titulada "Simplificación administrativa" al Título XI de la Ley de Seguridad Social. [53] Se supone que esto simplifica las transacciones de atención médica al exigir que todos los planes de salud realicen transacciones de atención médica de manera estandarizada.
La disposición HIPAA/EDI ( intercambio electrónico de datos ) estaba programada para entrar en vigor el 16 de octubre de 2003, con una extensión de un año para ciertos "planes pequeños". Sin embargo, debido a la confusión generalizada y la dificultad para implementar la regla, los Centros de Servicios de Medicare y Medicaid (CMS) otorgaron una extensión de un año a todas las partes. [54] El 1 de enero de 2012, las versiones más nuevas, ASC X12 005010 y NCPDP D.0 entran en vigencia, reemplazando el mandato anterior ASC X12 004010 y NCPDP 5.1. [55] La versión ASC X12 005010 proporciona un mecanismo que permite el uso de ICD-10-CM, así como otras mejoras.
Según la HIPAA, los planes de salud cubiertos por la HIPAA ahora deben utilizar transacciones electrónicas estandarizadas de la HIPAA. Consulte 42 USC § 1320d-2 y 45 CFR Parte 162. Puede encontrar información sobre esto en la regla final para las normas de transacciones electrónicas de la HIPAA (74 Fed. Reg. 3296, publicada en el Registro Federal el 16 de enero de 2009) y en el sitio web de CMS. [56]
El conjunto de transacciones de reclamaciones de atención médica EDI (837) se utiliza para enviar información de facturación de reclamaciones de atención médica, información de encuentros o ambas, excepto las reclamaciones de farmacias minoristas (consulte Transacción de reclamación de farmacia minorista EDI). Puede enviarse desde los proveedores de servicios de atención médica a los pagadores, ya sea directamente o a través de facturadores intermediarios y cámaras de compensación de reclamaciones. También se puede utilizar para transmitir reclamaciones de atención médica e información de pago de facturación entre pagadores con diferentes responsabilidades de pago donde se requiere la coordinación de beneficios o entre pagadores y agencias regulatorias para monitorear la prestación, facturación y/o pago de servicios de atención médica dentro de un segmento específico de la industria de atención médica/seguros.
Por ejemplo, una agencia estatal de salud mental puede exigir que todos los reclamos de atención médica, proveedores y planes de salud que comercializan reclamos de atención médica (médica) profesional de forma electrónica deben usar el estándar 837 Health Care Claim: Professional para enviar los reclamos. Como existen muchas aplicaciones comerciales diferentes para el reclamo de atención médica, puede haber pequeñas derivaciones para cubrir reclamos que involucran reclamos únicos, como para instituciones, profesionales, quiroprácticos, dentistas, etc.
La transacción de reclamos de farmacias minoristas EDI ( NCPDP Telecommunications) se utiliza para enviar reclamos de farmacias minoristas a los pagadores por parte de profesionales de la salud que dispensan medicamentos, ya sea directamente o a través de facturadores intermediarios y cámaras de compensación de reclamos. También se puede utilizar para transmitir reclamos por servicios de farmacias minoristas e información de pago de facturación entre pagadores con diferentes responsabilidades de pago donde se requiere la coordinación de beneficios o entre pagadores y agencias reguladoras para monitorear la prestación, facturación y/o pago de servicios de farmacias minoristas dentro del segmento de la industria de seguros/atención médica farmacéutica.
El conjunto de transacciones de aviso/pago de reclamo de atención médica EDI (835) se puede utilizar para realizar un pago, enviar una Explicación de beneficios (EOB), enviar un aviso de remesa de Explicación de pagos (EOP) o realizar un pago y enviar un aviso de remesa de EOP únicamente desde una aseguradora de salud a un proveedor de atención médica, ya sea directamente o a través de una institución financiera.
Los empleadores, sindicatos, agencias gubernamentales, asociaciones o agencias de seguros pueden utilizar el conjunto de inscripción y mantenimiento de beneficios EDI (834) para inscribir a los miembros en un pagador. El pagador es una organización de atención médica que paga reclamos, administra seguros, beneficios o productos. Algunos ejemplos de pagadores incluyen una compañía de seguros, un profesional de la salud (HMO), una organización de proveedores preferidos (PPO), una agencia gubernamental (Medicaid, Medicare, etc.) o cualquier organización que pueda tener un contrato con uno de estos grupos anteriores.
La nómina deducida por EDI y otro grupo, Pago de primas por productos de seguros (820), es un conjunto de transacciones para realizar un pago de primas por productos de seguros. Se puede utilizar para ordenar a una institución financiera que realice un pago a un beneficiario.
La consulta de elegibilidad/beneficios de atención médica EDI (270) se utiliza para consultar sobre los beneficios y la elegibilidad de atención médica asociados con un suscriptor o dependiente.
La respuesta sobre elegibilidad/beneficios de atención médica EDI (271) se utiliza para responder a una consulta de solicitud sobre los beneficios y la elegibilidad de atención médica asociados con un suscriptor o dependiente.
La solicitud de estado de reclamo de atención médica EDI (276) es un conjunto de transacciones que puede utilizar un proveedor, un receptor de productos o servicios de atención médica o su agente autorizado para solicitar el estado de un reclamo de atención médica.
La notificación del estado de una reclamación de atención médica mediante EDI (277) es un conjunto de transacciones que puede utilizar un pagador de atención médica o un agente autorizado para notificar a un proveedor, destinatario o agente autorizado sobre el estado de una reclamación o un encuentro de atención médica, o para solicitar información adicional al proveedor sobre una reclamación o un encuentro de atención médica. Este conjunto de transacciones no tiene como objetivo reemplazar el conjunto de transacciones de aviso/pago de reclamación de atención médica (835) y, por lo tanto, no se utiliza para la contabilización de pagos de cuentas. La notificación se encuentra en un nivel de resumen o de detalle de línea de servicio. La notificación puede ser solicitada o no solicitada.
La información de revisión de servicios de atención médica EDI (278) es un conjunto de transacciones que se puede utilizar para transmitir información de servicios de atención médica, como datos de suscriptores, pacientes, demográficos, de diagnóstico o tratamiento con el propósito de solicitar revisión, certificación, notificación o informar el resultado de una revisión de servicios de atención médica.
El conjunto de transacciones de acuse de recibo funcional EDI (997) es un conjunto de transacciones que se puede utilizar para definir las estructuras de control de un conjunto de acuses de recibo para indicar los resultados del análisis sintáctico de los documentos codificados electrónicamente. Aunque no se menciona específicamente en la legislación HIPAA o la regla final, es necesario para el procesamiento de conjuntos de transacciones X12. Los documentos codificados son los conjuntos de transacciones, que se agrupan en grupos funcionales, que se utilizan para definir transacciones para el intercambio de datos comerciales. Esta norma no cubre el significado semántico de la información codificada en los conjuntos de transacciones.
La regla final sobre estándares de seguridad se emitió el 20 de febrero de 2003. La regla de seguridad complementa la regla de privacidad. Mientras que la regla de privacidad se aplica a toda la información sanitaria protegida (PHI), incluida la información en papel y la electrónica, la regla de seguridad se ocupa específicamente de la información sanitaria protegida electrónica (EPHI). Establece tres tipos de salvaguardas de seguridad necesarias para el cumplimiento: administrativas, físicas y técnicas. [59] Para cada uno de estos tipos, la regla identifica varios estándares de seguridad y, para cada estándar, nombra especificaciones de implementación requeridas y abordables. Las especificaciones requeridas deben adoptarse y administrarse según lo dicta la regla. Las especificaciones abordables son más flexibles. Las entidades cubiertas individuales pueden evaluar su propia situación y determinar la mejor manera de implementar especificaciones abordables. Algunos defensores de la privacidad han argumentado que esta "flexibilidad" puede brindar demasiada libertad a las entidades cubiertas. [60] Se han desarrollado herramientas de software para ayudar a las entidades cubiertas en el análisis de riesgos y el seguimiento de las remediaciones. Los estándares y especificaciones son los siguientes:
Las entidades cubiertas por la HIPAA, como los proveedores que realizan transacciones electrónicas, los centros de intercambio de información sanitaria y los grandes planes sanitarios, deben utilizar únicamente el Identificador Nacional de Proveedor (NPI) para identificar a los proveedores sanitarios cubiertos en las transacciones estándar antes del 23 de mayo de 2007. Los planes sanitarios pequeños deben utilizar únicamente el NPI antes del 23 de mayo de 2008. A partir de mayo de 2006 (mayo de 2007 para los planes sanitarios pequeños), todas las entidades cubiertas que utilicen comunicaciones electrónicas (por ejemplo, médicos, hospitales, compañías de seguros sanitarios, etc.) deben utilizar un único NPI nuevo. El NPI sustituye a todos los demás identificadores utilizados por los planes sanitarios, Medicare, Medicaid y otros programas gubernamentales. [61] Sin embargo, el NPI no sustituye al número DEA de un proveedor, al número de licencia estatal o al número de identificación fiscal. El NPI tiene 10 dígitos (puede ser alfanumérico), y el último dígito es una suma de comprobación. El NPI no puede contener ninguna inteligencia incorporada; en otras palabras, el NPI es simplemente un número que en sí mismo no tiene ningún significado adicional. El NPI es único y nacional, nunca se reutiliza y, a excepción de las instituciones, un proveedor generalmente solo puede tener uno. Una institución puede obtener múltiples NPI para diferentes "subpartes", como un centro oncológico independiente o un centro de rehabilitación.
El 16 de febrero de 2006, el Departamento de Salud y Servicios Humanos (HHS) emitió la Norma Final sobre la aplicación de la HIPAA, que entró en vigor el 16 de marzo de 2006. La Norma de Aplicación establece sanciones civiles monetarias por infringir las normas de la HIPAA y establece procedimientos para las investigaciones y audiencias por infracciones de la HIPAA. Durante muchos años hubo pocos procesos judiciales por infracciones. [62]
Esto puede haber cambiado con la multa de $50,000 impuesta al Hospice of North Idaho (HONI), la primera entidad multada por una posible infracción de la Norma de Seguridad de la HIPAA que afectó a menos de 500 personas. Rachel Seeger, portavoz del HHS, declaró: "HONI no realizó un análisis de riesgo preciso y exhaustivo de la confidencialidad de la ePHI [Información Médica Protegida electrónica] como parte de su proceso de gestión de seguridad desde 2005 hasta el 17 de enero de 2012". Esta investigación se inició con el robo del vehículo de un empleado de un ordenador portátil sin cifrar que contenía 441 registros de pacientes. [63]
Hasta marzo de 2013, el Departamento de Salud y Servicios Humanos de los Estados Unidos (HHS) ha investigado más de 19.306 casos que se han resuelto exigiendo cambios en las prácticas de privacidad o mediante acciones correctivas. Si el HHS determina que se ha producido un incumplimiento, las entidades deben aplicar medidas correctivas. Se han investigado denuncias contra muchos tipos diferentes de empresas, como cadenas nacionales de farmacias, grandes centros de atención médica, grupos de seguros, cadenas de hospitales y otros pequeños proveedores. Hubo 9.146 casos en los que la investigación del HHS determinó que se había seguido correctamente la HIPAA. Hubo 44.118 casos en los que el HHS no encontró una causa que justificara la aplicación de la ley; por ejemplo, una infracción que comenzó antes de que comenzara la HIPAA; casos retirados por el demandante; o una actividad que en realidad no infringe las Normas.
El Título III estandariza la cantidad que se puede ahorrar por persona en una cuenta de ahorros médicos antes de impuestos . A partir de 1997, una cuenta de ahorros médicos ("MSA") se puso a disposición de los empleados cubiertos por un plan con deducible alto patrocinado por el empleador, ya sean pequeños empleadores o trabajadores autónomos.
El Título IV especifica las condiciones de los planes de salud grupales en relación con la cobertura de personas con enfermedades preexistentes y modifica los requisitos de continuación de la cobertura. También aclara los requisitos de continuación de la cobertura e incluye una aclaración sobre COBRA .
El Título V incluye disposiciones relacionadas con el seguro de vida de propiedad de la empresa para los empleadores que ofrecen primas de seguro de vida de propiedad de la empresa, prohibiendo la deducción fiscal de los intereses sobre préstamos de seguros de vida, dotaciones de la empresa o contratos relacionados con la empresa. También deroga la regla de la institución financiera sobre las reglas de asignación de intereses. Finalmente, modifica las disposiciones de la ley relacionadas con las personas que renuncian a la ciudadanía estadounidense o la residencia permanente, ampliando el impuesto de expatriación que se aplica a quienes se considera que renuncian a su estatus estadounidense por razones fiscales y haciendo que los nombres de los ex ciudadanos formen parte del registro público mediante la creación de la Publicación trimestral de personas que han optado por expatriarse . [64]
La promulgación de las Normas de Privacidad y Seguridad ha provocado cambios importantes en la forma en que operan los médicos y los centros médicos. Las complejas cuestiones legales y las sanciones potencialmente severas asociadas con la HIPAA, así como el aumento del papeleo y el costo de su implementación, fueron motivos de preocupación entre los médicos y los centros médicos. Un artículo de agosto de 2006 en la revista Annals of Internal Medicine detallaba algunas de esas preocupaciones sobre la implementación y los efectos de la HIPAA. [65]
Las restricciones de la HIPAA a los investigadores han afectado su capacidad para realizar investigaciones retrospectivas basadas en historias clínicas, así como su capacidad para evaluar prospectivamente a los pacientes contactándolos para realizar un seguimiento. Un estudio de la Universidad de Michigan demostró que la implementación de la regla de privacidad de la HIPAA resultó en una caída del 96% al 34% en la proporción de encuestas de seguimiento completadas por los pacientes del estudio que fueron seguidos después de un ataque cardíaco . [66] Otro estudio, que detalla los efectos de la HIPAA en el reclutamiento para un estudio sobre la prevención del cáncer, demostró que los cambios exigidos por la HIPAA llevaron a una disminución del 73% en la acumulación de pacientes, una triplicación del tiempo dedicado al reclutamiento de pacientes y una triplicación de los costos medios de reclutamiento. [67]
Según la HIPAA, los formularios de consentimiento informado para estudios de investigación deben documentar cómo se mantendrá privada la información de salud protegida, lo que potencialmente aumenta las barreras a la participación. [65]
Estos datos sugieren que las normas de privacidad de la HIPAA pueden tener efectos negativos en el costo y la calidad de la investigación médica . El Dr. Kim Eagle, profesor de medicina interna de la Universidad de Michigan, fue citado en el artículo de Annals diciendo: "La privacidad es importante, pero la investigación también es importante para mejorar la atención. Esperamos que podamos resolver esto y hacerlo bien". [65]
La complejidad de la HIPAA, combinada con las sanciones potencialmente severas para los infractores, puede llevar a los médicos y centros médicos a retener información a quienes podrían tener derecho a ella. Una revisión de la implementación de la Norma de Privacidad de la HIPAA realizada por la Oficina de Responsabilidad Gubernamental de los Estados Unidos concluyó que los proveedores de atención médica "no estaban seguros de sus responsabilidades legales en materia de privacidad y a menudo respondían con un enfoque excesivamente cauteloso a la hora de divulgar información... de lo necesario para garantizar el cumplimiento de la norma de privacidad". [65] Siguen surgiendo informes sobre esta incertidumbre. [68]
En el período inmediatamente anterior a la promulgación de las Leyes de Privacidad y Seguridad de la HIPAA, los centros y consultorios médicos se encargaron de cumplir con los nuevos requisitos. Muchos de ellos recurrieron a consultores privados para obtener asistencia en materia de cumplimiento. [ cita requerida ]
La educación y la capacitación de los proveedores de atención médica es un requisito para la correcta implementación tanto de la Regla de Privacidad como de la Regla de Seguridad de HIPAA. [69] [70]
"La gente inventa lo que significa ese acrónimo".
Deven McGraw, ex subdirector del HHS , citado en Vox [71]
Aunque el acrónimo HIPAA coincide con el título de la Ley Pública 104-191 de 1996, Ley de Portabilidad y Responsabilidad del Seguro Médico , a veces se hace referencia incorrectamente a HIPAA como HIPPA , y se dice que hace referencia a la "Ley de Portabilidad y Privacidad de la Información de Salud", [72] [73] "Ley de Protección de la Privacidad de la Información de Salud", [71] o "Ley de Privacidad y Protección del Seguro Médico". [74] Se ha observado el error ortográfico de HIPPA entre los estafadores de COVID-19 . [75]
Según la Oficina de Derechos Civiles del Departamento de Salud y Servicios Humanos de los Estados Unidos, entre abril de 2003 y enero de 2013, recibió 91.000 denuncias de violaciones de la HIPAA, de las cuales 22.000 dieron lugar a acciones de cumplimiento de diversos tipos (desde acuerdos hasta multas) y 521 dieron lugar a remisiones al Departamento de Justicia de los Estados Unidos como acciones penales. [76] Algunos ejemplos de infracciones significativas de información protegida y otras violaciones de la HIPAA incluyen:
Según Koczkodaj et al., 2018, [79] el número total de personas afectadas desde octubre de 2009 es 173.398.820.
Las diferencias entre las sanciones civiles y penales se resumen en la siguiente tabla:
Tipo de infracción | Sanción CIVIL (min) | Sanción CIVIL (máxima) |
---|---|---|
El individuo no sabía (y al ejercer una diligencia razonable no habría sabido) que había violado la HIPAA. | $100 por infracción, con un máximo anual de $25,000 por infracciones reiteradas | $50,000 por infracción, con un máximo anual de $1.5 millones |
Violación de HIPAA debido a una causa razonable y no debido a negligencia intencional | $1,000 por infracción, con un máximo anual de $100,000 por infracciones reiteradas | $50,000 por infracción, con un máximo anual de $1.5 millones |
Violación de HIPAA debido a negligencia intencional, pero la violación se corrige dentro del período de tiempo requerido | $10,000 por infracción, con un máximo anual de $250,000 por infracciones reiteradas | $50,000 por infracción, con un máximo anual de $1.5 millones |
La violación de HIPAA se debe a una negligencia intencional y no se corrige | $50,000 por infracción, con un máximo anual de $1,000,000 | $50,000 por infracción, con un máximo anual de $1.5 millones |
Tipo de infracción | Sanción PENAL | |
Entidades cubiertas y personas específicas que "a sabiendas" obtienen o divulgan información de salud individualmente identificable | Una multa de hasta $50,000 Pena de prisión de hasta 1 año | |
Delitos cometidos bajo falsas pretensiones | Una multa de hasta $100,000 Pena de prisión de hasta 5 años | |
Delitos cometidos con la intención de vender, transferir o utilizar información de salud individualmente identificable para obtener ventajas comerciales, ganancias personales o daños maliciosos. | Una multa de hasta $250,000 Pena de prisión de hasta 10 años |
En 1994, el presidente Clinton expresó sus objetivos de mejorar el sistema de salud. Sin embargo, sus reformas no tuvieron éxito, muy probablemente debido a la falta de apoyo. [80] El Almanaque Trimestral del Congreso de 1996 explica cómo dos senadores, Nancy Kassebaum (Republicana de Kansas) y Ted Kennedy (Demócrata de Massachusetts) se unieron y crearon un proyecto de ley llamado Ley de Reforma del Seguro Médico de 1995 o más comúnmente conocido como el Proyecto de Ley Kassebaum-Kennedy. [81] Este proyecto de ley se estancó a pesar de haber salido del Senado. En el discurso sobre el Estado de la Unión de 1996, Clinton presionó sobre el tema, y resultó en una cooperación bipartidista. [80] Después de mucho debate y negociación, hubo un cambio en el impulso una vez que se aceptó un compromiso entre Kennedy y el presidente del Comité de Medios y Arbitrios, Bill Archer , después de que se hicieran modificaciones al Proyecto de Ley Kassebaum-Kennedy original. [82] Poco después, el proyecto de ley fue firmado por el presidente Clinton y recibió el nombre de Ley de Portabilidad y Responsabilidad del Seguro Médico de 1996 (HIPAA).
{{cite journal}}
: Requiere citar revista |journal=
( ayuda )Violación de la Ley de Privacidad y Portabilidad de la Información de Salud ("HIPPA")
La Ley de Privacidad y Portabilidad del Seguro Médico (HIPPA) estipula que...