La norma final relativa a la norma de privacidad de la HIPAA fomentará la privacidad en la atención médica reproductiva: Hoja informativa

La administración Biden-Harris, a través de la Oficina de Derechos Civiles (OCR) del Departamento de Salud y Servicios Humanos de los EE. UU. (HHS), ha publicado una norma final para modificar la norma de privacidad de Ley de Portabilidad y Responsabilidad de los Seguros Médicos de 1996 (HIPAA), con el fin de fomentar la privacidad en la atención médica reproductiva. Esta norma final forma parte de las numerosas medidas adoptadas por el HHS para proteger el acceso a la atención médica reproductiva y la privacidad al recibirla tras la sentencia emitida por la Corte Suprema en el caso Dobbs contra Jackson Women's Health Organization, que ha dado lugar a prohibiciones extremas del aborto en algunos estados y a otras restricciones de la libertad reproductiva en 21 estados. La norma final también secunda las órdenes ejecutivas (OE) del presidente Biden sobre la protección del acceso a la atención médica reproductiva. En particular, en virtud de la OE 14076, el presidente Biden ordenó al HHS que considerara adoptar medidas adicionales, también en el marco de la HIPAA, para proteger más eficazmente la información relacionada con la atención médica reproductiva y reforzar la confidencialidad entre pacientes y proveedores.

Prohibición

La norma final refuerza la protección de la privacidad al prohibir que un proveedor de atención médica, un plan médico o un centro de intercambio de información sobre atención médica, o sus socios comerciales, utilicen o divulguen información de salud protegida (PHI) para cualquiera de las siguientes actividades:

• Llevar a cabo una investigación penal, civil o administrativa sobre una persona o imponerle una responsabilidad penal, civil o administrativa por el mero hecho de buscar, obtener, proporcionar o facilitar atención médica reproductiva, cuando dicha atención médica sea legal dadas las circunstancias en las que se brinda.
• La identificación de cualquier persona con el fin de llevar a cabo dicha investigación o imponer dicha responsabilidad.

En virtud de la norma final, la prohibición se aplica cuando un proveedor de atención médica, un plan médico o un centro de intercambio de información sobre atención médica cubiertos (entidades cubiertas) o un socio comercial (colectivamente, "entidades reguladas") hayan determinado razonablemente que se cumplen una o más de las siguientes condiciones:

• La atención médica reproductiva es legal de conformidad con la legislación del estado en el que se presta dicha atención médica y bajo las circunstancias en las que se presta.
  • Por ejemplo, si un residente de un estado viaja a otro para recibir atención médica reproductiva, como un aborto, dicha acción es legal en el estado en el que se prestó dicha atención médica.
• La atención médica reproductiva está protegida, exigida o autorizada por la legislación federal, incluida la Constitución de EE. UU., al margen del estado en el que se preste dicha atención médica.
  • Por ejemplo, si el recurso a la atención médica reproductiva, como los anticonceptivos, está amparado por la Constitución.
• La atención médica reproductiva fue prestada por una persona que no es el proveedor de atención médica, el plan de salud o el centro de intercambio de información sobre atención médica (o asociados comerciales) cubiertos que reciben la solicitud de PHI, por lo que se aplica la presunción descrita a continuación.

La norma final sigue permitiendo que los proveedores de atención médica, los planes de salud o los centros de intercambio de información sobre atención médica (o los asociados comerciales) cubiertos utilicen o divulguen la PHI para fines permitidos de otro modo en virtud de la norma de privacidad en los casos en que la solicitud de uso o divulgación de la PHI no se haga para investigar o imponer responsabilidad a alguna persona por el mero hecho de buscar, obtener, proporcionar o facilitar atención médica reproductiva. Por ejemplo:

• Un proveedor de atención médica cubierto podría seguir utilizando o divulgando la PHI para defenderse en una investigación o un proceso relacionados con una conducta indebida o una negligencia en el ámbito profesional cuando la presunta conducta indebida o la negligencia en el ámbito profesional estén relacionadas con la prestación de atención médica reproductiva.
• Un proveedor de atención médica, un plan médico o un centro de intercambio de información sobre atención médica (o asociados comerciales) cubiertos podrían seguir utilizando o divulgando la PHI para defender a cualquier persona ante un proceso penal, civil o administrativo en el que se pudiera imponer responsabilidad a dicha persona por la prestación de atención médica reproductiva.
• Un proveedor de atención médica, un plan médico o un centro de intercambio de información (o asociados comerciales) cubiertos podrían seguir utilizando o divulgando la PHI a un inspector general cuando la PHI se solicite para realizar una auditoría con fines de supervisión médica.

Presunción

La norma final incluye la presunción de que la atención médica reproductiva prestada por una persona que no es el proveedor de atención médica, el plan médico o el centro de intercambio de información sobre atención médica (o asociados comerciales) cubiertos que reciben la solicitud fue lícita. En tales casos, se presupone que la atención médica reproductiva fue lícita en las circunstancias en las que se prestó, a menos que se cumpla una de las siguientes condiciones:

• El proveedor de atención médica, el plan médico o el centro de intercambio de información (o asociados comerciales) cubiertos tienen conocimiento concreto de que la atención médica reproductiva no fue lícita en las circunstancias en las que se prestó.
  • Por ejemplo, una persona le informa a su médico que recibió atención médica reproductiva de una persona no autorizada y el médico sabe que un proveedor de atención médica autorizado debe proporcionar la atención médica reproductiva específica.
• El proveedor de atención médica, el plan médico o el centro de intercambio de información sobre atención médica (o asociados comerciales) cubiertos reciben información fáctica de la persona que solicita el uso o la divulgación de la PHI en la que se demuestra, sobre una base fáctica sólida, que la atención médica reproductiva no fue lícita en las circunstancias en las que se proporcionó.

Por ejemplo, un agente encargado de la aplicación de la ley presenta a un plan médico pruebas de que la información solicitada corresponde a atención médica reproductiva prestada por una persona no autorizada, en circunstancias en que la ley exige que un proveedor de atención médica autorizado preste dicha atención médica.

Declaración

Para aplicar la prohibición, la norma final exige que, cuando un proveedor de atención médica, un plan médico o un centro de intercambio de información sobre atención médica (o asociados comerciales) cubiertos reciban una solicitud de información de salud protegida posiblemente relacionada con la atención médica reproductiva, estos obtengan una declaración firmada en la que se certifique que el uso o la divulgación no tienen una finalidad prohibida. El requisito de la declaración se aplica cuando la solicitud de PHI es para cualquiera de los siguientes fines:

• Actividades de supervisión médica.¹
• Procesos judiciales y administrativos.²
• Fines de aplicación de la ley.³
• Divulgación a médicos forenses y peritos médicos.⁴

Con el requisito de obtener una declaración firmada, el proveedor de atención médica, el plan médico o el centro de intercambio de información sobre atención médica (o socios comerciales) cubiertos tiene un medio por el que las personas que solicitan información de salud protegida declaren por escrito que sus solicitudes no tienen fines prohibidos. Además, se advierte a las personas que solicitan el uso o la divulgación de PHI de las posibles sanciones penales para quienes, a sabiendas y en incumplimiento de la HIPAA, obtengan información médica de identificación personal (IIHI) relativa a una persona o la divulguen a otra persona. Tenemos la intención de publicar un texto modelo de la declaración antes de la fecha de cumplimiento de esta norma final.

Aviso de prácticas de privacidad (NPP)

La norma final exige que los proveedores de atención médica, los planes médicos y los centros de intercambio de información sobre atención médica cubiertos modifiquen sus avisos de prácticas de privacidad (NPP) para fomentar la privacidad de la atención médica reproductiva. La norma final también exige que se realicen modificaciones en los NPP para abordar las propuestas formuladas en el Aviso de reglamentación propuesta (NPRM) para la confidencialidad de los registros de pacientes con trastornos por consumo de sustancias (SUD) ("NPRM de la parte 2"),⁵ según lo exigido por la Ley de Ayuda, Alivio y Seguridad Económica contra el Coronavirus (CARES) de 2020 o en consonancia con ella.

Divulgación a las autoridades encargadas de la aplicación de la ley

La norma de privacidad permite el uso o la divulgación de la PHI sin la autorización de la persona solo cuando la norma de privacidad permite o exige explícitamente dicho uso o divulgación. Como se explica en la guía de la OCR, la norma de privacidad permite, pero no exige, determinadas divulgaciones a las autoridades encargadas de la aplicación de la ley y a otros, sujetas a condiciones específicas. Por lo tanto, los proveedores de atención médica, los planes médicos y los centros de intercambio de información sobre atención médica (y los socios comerciales) cubiertos, entre ellos los miembros de su personal, solo están autorizados a divulgar la PHI con fines de aplicación de la ley ante la sospecha de que una persona haya obtenido atención médica reproductiva (legal o no) si la entidad cubierta o el socio comercial están obligados por ley a hacerlo y se cumplen todas las condiciones vigentes. Por consiguiente, en virtud de la norma final, dicha divulgación solo se permite cuando se cumplen las tres condiciones siguientes:

• La divulgación no está sujeta a la prohibición. 
• La divulgación es obligatoria por ley. 
• La divulgación cumple todas las condiciones vigentes del permiso de la norma de privacidad para utilizar o divulgar la PHI tal y como exige la ley. 

Cómo presentar una reclamación

Si cree que una entidad cubierta por la HIPAA o su socio comercial ha infringido sus derechos de privacidad de la información de salud (o los de otra persona) o ha cometido otra infracción relacionada con las normas de privacidad, seguridad o notificación de vulneraciones, puede presentar una reclamación ante la Oficina de Derechos Civiles del HHS en: https://www.hhs.gov/hipaa/filing-a-complaint/index.html.  

Se puede consultar o descargar la norma final en: https://www.hhs.gov/sites/default/files/hipaa-privacy-rule-support-reproductive-health-care-privacy.pdf

Notas finales

¹  45 CFR 164.512(d).

²  45 CFR 164.512(e).

³  45 CFR 164.512(f).

⁴  45 CFR 164.512(g)(1).

⁵  87 FR 74216, 74237 (2 de dic. de 2022). La norma final de la parte 2 se publicó el 16 de febrero de 2024 y en ella se establecía que las modificaciones del NPP propuestas en el NPRM de la parte 2 se concretarían en una norma final aparte. El Departamento combinó las modificaciones del NPP de ambas reglamentaciones en una única norma final, dado que en el 45 CFR 164.104 se limita al secretario a modificar una norma o una especificación de aplicación no más de una vez cada 12 meses.