LLa Regla de Privacidad les brinda a los individuos el derecho de controlar el uso y la divulgación de su propia información médica, salvo en los casos en que la Regla de Privacidad permita o exija específicamente lo contrario. La Regla de Privacidad también establece derechos nuevos para los individuos con respecto a su información médica protegida, incluido el derecho de acceso a su información médica protegida, el derecho a solicitar correcciones de su información médica protegida (como cuando alguien considera que su historia clínica contiene datos incorrectos), el derecho a recibir una notificación sobre las prácticas de privacidad de una entidad regida, el derecho a solicitar protección de la privacidad para su información médica protegida y el derecho a recibir una enumeración de ciertas divulgaciones realizadas. A continuación se enumeran cada uno de estos derechos de los individuos, y las responsabilidades de las entidades regidas.

En la mayor parte de los casos, los derechos concedidos por la Regla de Privacidad son ejercidos por el individuo, que es el sujeto de la información médica protegida.

Sin embargo, existen ciertas circunstancias en que un representante personal deberá ser tratado como el individuo, y goza del derecho del individuo respecto de la información médica del mismo. CRF 45 §164.502(g). En general, la Regla de Privacidad estipula que una persona autorizada por leyes estatales o de otra índole, para actuar en lugar del individuo en la toma de decisiones médicas, es el representante personal del individuo. Los representantes personales pueden ser padres, tutores, albaceas y otros. Las disposiciones de la Regla de Privacidad difieren para los representantes personales dependiendo de quién es la persona a la que representan, reflejando las diferentes circunstancias que surgen en el contexto de diversos tipos de representación.

---

¿QUIÉN EJERCE LOS DERECHOS DE PRIVACIDAD?: CIRCUNSTANCIAS ESPECIALES

Adultos y menores emancipados

Por lo general, una persona que está autorizada por una ley aplicable para actuar en lugar de un adulto o de un menor emancipado, pudiendo tomar decisiones relativas a la atención médica, se la deberá tratar como el representante personal de ese individuo. Dentro de esta categoría se encuentran los tutores designados por un tribunal y las personas con poderes de representación. La autoridad de un representante personal en virtud de esta regla puede ser limitada: sólo se deberá tratar al representante como si fuera el individuo en la medida en que la información médica protegida sea relevante para los asuntos en los cuales el representante personal está autorizado a representarlo. Por ejemplo, es probable que una persona que tiene un poder de representación con relación al tratamiento contra el cáncer de pulmón de un individuo, no esté autorizada para acceder a los registros médicos mentales de tal individuo. CFR 45 §164.502(g)(2).

Menores de edad

Generalmente, se considera que uno de los padres (o un tutor legal u otra persona que actúa in loco parentis) es el representante personal de un menor no emancipado y ejerce los derechos asociados a la información médica del menor (como el derecho a autorizar la divulgación o solicitar el acceso a la información médica). 

No obstante, en ciertas circunstancias, un menor no emancipado puede ejercer los derechos asociados con su información médica. La Regla de Privacidad le otorga derechos al menor con respecto a la información médica perteneciente a un servicio de atención médica cuando:  

• Un menor autorizado por ley para dar su consentimiento a un tratamiento así lo ha hecho (con o sin el consentimiento de sus padres);
• Un tribunal u otra persona legalmente autorizada para aprobar la atención médica; o
• Un padre accedió a un acuerdo de confidencialidad entre un proveedor y un menor con respecto a su atención médica.

En estas circunstancias, el menor tiene el derecho exclusivo para autorizar la divulgación de la información médica relacionada (con la posible excepción de comunicársela a sus padres). El menor también tiene el derecho de acceder a esta información médica.

                       

El tema de la divulgación y el acceso de los padres a la información médica de un menor es más complicado, y las leyes del estado los reglamentan en detalle. La Regla de Privacidad permite a las entidades regidas que divulguen la información médica de un menor a un padre (u otorgarle a los padres el acceso a esa información) si las leyes del estado permiten o exigen  tal divulgación (o acceso). Asimismo, está prohibido divulgar información (y permitirle el acceso) a un padre, en los casos en que la ley del estado lo prohíba.  En los casos en que la ley del estado no mencione o no sea clara con respecto al acceso de los padres, la Regla de Privacidad permite que una entidad regida provea o niegue el acceso a información a los padres, en tanto que esa acción coincida con la ley del Estado y la decisión esté tomada por un profesional médico matriculado en el ejercicio de su juicio profesional.

Normalmente, la Regla de Privacidad no afecta a las leyes estatales de notificación a los padres y el consentimiento para brindar tratamiento. CFR 45 §164.502(g)(3).

Víctimas de violencia doméstica, abuso o negligencia

Aún cuando exista un conflicto con la ley estatal o cualquiera de las disposiciones resumidas en este bloque, una entidad regida puede decidir no divulgar información médica protegida al representante legal de un individuo, si la entidad regida tiene razones para creer que el individuo ha sido o puede ser objeto de violencia doméstica, abuso o negligencia por parte de esa persona y en ciertas otras situaciones, y la organización regida por esta regla llega a la conclusión de que el tratar a la persona, como el representante personal del individuo, no es en el mejor interés del individuo. CFR 45 §164.502(g)(5).

Personas fallecidas

Si de acuerdo con la ley aplicable, un albacea, un administrador u otra persona tiene la autoridad para actuar en representación de una persona fallecida, ese representante legal puede ejercer los derechos del individuo con respecto a información médica protegida relevante. CFR 45 §164.502(g)(4).

---

Derecho de acceso

La Regla de Privacidad establece para los individuos, un nuevo derecho federal a ver y obtener copias de su información médica protegida, en un determinado grupo de registros durante el lapso en que la entidad regida conserve la información. También establece fechas límites para que las entidades regidas respondan a las solicitudes de acceso; y crea procedimientos para revisar las denegaciones de esas solicitudes.

En general, la entidad regida debe permitir que los individuos inspeccionen u obtengan copias de la información médica protegida en un determinado grupo de registros en el formato o formulario solicitado por el individuo (si se puede pasar fácilmente a ese formulario o formato) dentro de los 30 días de recibida la solicitud, y hasta dentro de los 60 días para la información que está fuera de sus instalaciones. La fecha límite podrá extenderse una vez durante 30 días más si la entidad regida no puede responder dentro de los primeros 30 días, siempre que la entidad regida explique al individuo por escrito las causas que motivaron el retraso. La entidad regida puede entregar al individuo un resumen de la información médica protegida solicitada, si la persona está de acuerdo por anticipado con el convenio y con los honorarios impuestos, si los hubiere. La entidad regida puede establecer aranceles razonables basados en los costos (que no incluyan los costos de búsqueda y recuperación) por proveer al individuo una copia o resumen de su información médica protegida.  Si la entidad regida no mantiene la información médica protegida del individuo, pero sabe dónde se conserva la información solicitada, la entidad debe informar al individuo a dónde debe dirigir su solicitud de acceso.

---

LA DENEGACIÓN DE ACCESO A LOS INDIVIDUOS A SU PROPIA INFORMACIÓN: CIRCUNSTANCIAS ESPECIALES

Una entidad regida puede denegar el acceso a un individuo a toda o parte de su información médica protegida, en un grupo de registros determinado, sin dar al individuo la oportunidad de revisar la negación, en las siguientes circunstancias [CFR 45 §§164.524(a)(1) y (2)]:

• Las notas de psicoterapia (es decir, las notas grabadas en cualquier medio por un profesional de la salud mental, que está documentando o analizando el contenido de conversaciones durante la sesión de orientación privada o de grupo, conjuntas, o en sesiones de orientación familiar y que no están incluidas en la historia clínica del individuo);
• La información recopilada con anticipación razonable, o para su uso en una acción o demanda civil, criminal o administrativa;
• La información médica protegida, mantenida por una entidad regida que es un laboratorio que, está sujeto a la CLIA (Enmiendas para la mejora de los laboratorios clínicos), o bien está exento de las reglamentaciones de la CLIA;
• La información solicitada por un recluso desde una institución correccional o un proveedor de atención médica regido que actúa bajo la dirección de una institución correccional, si al proveerle una copia al recluso podría poner en peligro la salud, la seguridad, la custodia o la rehabilitación del individuo u otros reclusos, o la seguridad de algún funcionario, empleado u otra persona dentro de la institución correccional o de las personas responsables por el transporte del recluso;
• Una investigación que incluya el tratamiento: el acceso a información puede suspenderse hasta que se complete la investigación, siempre que el individuo haya estado de acuerdo con la denegación de acceso cuando consintió a participar en la investigación, y el proveedor de atención médica regido haya informado al individuo que recobraría el derecho de acceso una vez que se completara la investigación;
• Si la información requerida forma parte de registros sujetos a la Regla de Privacidad, y la negación del acceso reuniría los requisitos de dicha regla; o
• Si la entidad regida obtiene la información de alguien que no es el proveedor de atención médica sujeto a una promesa de confidencialidad, y existe una probabilidad razonable de que el acceso revele el origen de esa información.

En las tres circunstancias siguientes, una entidad regida puede negar a un individuo el acceso a su información médica protegida, pero debe brindarle una oportunidad para que revise esa negación [CRF 45 §164.524(a)(3)]:

• Un profesional de la salud con la correspondiente licencia, en el ejercicio de su juicio profesional, determina que es razonablemente probable que el acceso a la información solicitada pueda poner en peligro la vida o la integridad física del individuo o de otra persona;
• La información solicitada hace referencia a otra persona que no es un proveedor de atención médica, y el profesional de la salud matriculado, en el ejercicio de su juicio profesional, determina que es razonablemente probable que el acceso cause un daño sustancial a esa otra persona; o
• El pedido de acceso a información está hecho por el representante personal del individuo, y el profesional de la salud matriculado, en el ejercicio de su juicio profesional, determina que es razonablemente probable que el acceso cause un daño sustancial al individuo o a un tercero.

Si la entidad regida le niega a un individuo el acceso a toda, o parte de su información médica protegida, deberá entregarle a esta persona la negativa por escrito, en lenguaje sencillo, dentro de los 30 días siguientes, o dentro de los 60 días siguientes si la información médica protegida no se encuentra en esas instalaciones. La entidad regida debe, en la medida de lo posible, darle acceso al individuo a cualquier otra información médica protegida solicitada, a la cual no se esté denegando el acceso. La negación debe contener los motivos de dicha decisión y si corresponde, una revisión de la declaración de los derechos del individuo y una descripción de cómo el individuo puede ejercer esos derechos. También debe incluir información específica sobre cómo el individuo puede presentar una queja en la entidad regida o en la Secretaría del DHHS.

Si un individuo solicita que se reconsidere la negativa, la entidad regida deberá designar un profesional de la salud matriculado que no esté directamente involucrado en la decisión inicial que denegó el acceso, para rever dicha decisión. La entidad debe entregar de inmediato al individuo una notificación escrita con la decisión. CRF 45 §164.524(d).

---

Derecho a la modificación de su información médica protegida

La Regla de Privacidad les otorga a los individuos el derecho a que las entidades regidas tengan que corregir su información médica protegida, en un grupo determinado de registros cuando esa información es incorrecta o incompleta.  CFR 45 §164.526.  Por ejemplo, un individuo que cree que la información contenida en su historia clínica es incorrecta, puede suministrar información adicional para avalar este reclamo.  Los individuos también pueden solicitar que se incluya una segunda opinión en el grupo determinado de registros. El individuo tiene el derecho de exigir a una entidad regida que modifique su información médica protegida, en tanto que la entidad regida conserve dicha información en un grupo determinado de registros. La entidad regida debe cumplir con una solicitud de corrección de un individuo dentro de los 60 días de recibida la solicitud.  La fecha límite puede extenderse 30 días más por una única vez, si la entidad regida entrega al individuo una declaración escrita con los motivos del rechazo y la fecha en la cual se dará curso a su solicitud.  Si una entidad regida acepta la solicitud deberá: (1) hacer la corrección apropiada; y (2) notificar al individuo oportunamente que la corrección se aceptó. A continuación, la entidad regida deberá realizar los esfuerzos razonables para efectuar la corrección en un plazo lógico, tanto en las entidades identificadas por el individuo como en otras entidades a las que se les hubiera enviado la información errónea.

Una entidad regida puede rechazar la solicitud de corrección que haga un individuo, si la misma determina que la información o el registro: (1) no fue creado por la entidad regida a menos que el individuo brinde fundamentos razonables para creer que la información médica protegida ya no se encuentra disponible para hacer la corrección; (2) no es parte del grupo determinado de registros; (3) no estaría disponible para su inspección; o (4) es exacta y está completa. CFR 45 §164.526(a)(2).

Si la entidad regida niega total o parcialmente una solicitud a un individuo, oportunamente deberá entregarle al individuo, un documento con la denegación, escrito en un lenguaje sencillo, que incluya los fundamentos para la negación, el derecho del individuo para presentar una declaración escrita de desacuerdo con la negación y cómo debe ejercer ese derecho; una declaración de que el individuo puede solicitar a la entidad regida que incluya la solicitud del individuo y la negación con cualquier revelación futura de la información (si el individuo no presenta la declaración de desacuerdo); y una descripción de cómo el individuo puede presentar una queja en la entidad regida o en la Secretaría del DHHS.  CFR 45 §164.526(d).

Si el individuo presenta una declaración de disconformidad, la entidad regida podrá preparar una refutación a la declaración del individuo. La entidad debe proveer una copia de la refutación al individuo.  Se deberá entregar la solicitud de corrección, la negación, la declaración de disconformidad (si se presentó) y la refutación (si hubo alguna), o un resumen de esa información, con cualquier divulgación posterior de información médica protegida.  La entidad regida puede establecer límites razonables a la longitud de la declaración de disconformidad del individuo.

Derecho a recibir avisos sobre las prácticas de privacidad de una entidad regida

La Regla de Privacidad exige que las entidades regidas envíen notificaciones describiendo las prácticas de privacidad a los individuos que son sujeto de la información médica protegida.   CFR 45 §164.520.

Se exige a los planes de salud que den aviso a los asegurados designados sobre la fecha de entrada en vigencia de la Regla de Privacidad (el 14 de abril de 2003 [planes de salud pequeños: 14 de abril de 2004]) y a los nuevos asegurados designados al momento de su inscripción. Esto significa, por ejemplo, que para las familias que reciben un seguro de salud grupal a través de un empleador, sólo el empleado deberá recibir la notificación, y no todos los miembros de la familia. A los planes de salud también se les exige que cada tres años notifiquen a los individuos sobre la disponibilidad del aviso relacionado con las prácticas de privacidad. CFR 45 §164.520(c)(1). 

A partir del 14 de abril de 2003, los proveedores de atención médica que mantienen una relación de tratamiento directa con los individuos, están obligados a notificarles cuáles son sus prácticas de privacidad, antes o durante la primera prestación de servicios. Excepto en casos de emergencia, los proveedores de atención médica con relación directa de tratamiento, también deben de buena fe, hacer todo lo posible para obtener un acuse de recibo por escrito de la notificación. Ante el pedido de cualquier persona, todas las entidades regidas deberán tener dicha notificación disponible. Si los proveedores de atención médica con relación directa de tratamiento mantienen un lugar físico para la prestación de los servicios, deberán exhibir la notificación en el edificio. CRF 45 §164.530(c)(2). 

Las entidades regidas también tienen requisitos especiales de notificación si cambian las prácticas de privacidad.  CRF 45 §§164.520(b)(1)(v)(C) y (b)(3).

• Los beneficiarios de la ley Ryan White CARE que son entidades regidas, como proveedores de atención médica, deben dar aviso por escrito al menos una vez, antes o durante la fecha de la primera prestación de servicios a partir de la fecha de entrada en vigencia.  La notificación también debe entregarse cuando se lo soliciten, y cada vez que cambien las políticas de privacidad del proveedor.  Los proveedores de atención médica también deben exhibir la notificación de las prácticas de privacidad en sus edificios.  

---

REQUISITOS SOBRE LA NOTIFICACIÓN

La notificación debe estar escrita en lenguaje sencillo. HRSA ha preparado una guía para hacer que las notificaciones de privacidad sean más fáciles de comprender. Al elaborar un aviso de privacidad, consulte en www.hrsa.gov/language.htm. Si bien los siguientes elementos son críticos, hay también otros requisitos que deben tenerse en cuenta (las entidades regidas deben revisar el CFR 45 §164.520 para asegurarse de que cumplen con todos los requisitos de aviso de la Regla de Privacidad):

• El aviso debe contener como encabezado, o mostrar en forma destacada la siguiente declaración: “ESTE AVISO DESCRIBE CÓMO SE PODRÁ USAR Y DIVULGAR SU INFORMACIÓN MÉDICA, Y CÓMO PUEDE ACCEDER A ESA INFORMACIÓN. LE AGRADECEREMOS QUE LO LEA ATENTAMENTE.”
• Una descripción de los derechos del individuo con respecto a la información médica protegida y de cómo puede ejercer esos derechos;
• Los deberes legales de las entidades regidas;
• Una descripción de los tipos de usos y divulgaciones que están permitidos, con ejemplos, incluso aquellos permitidos o exigidos sin la autorización escrita del individuo;
• Cómo un individuo puede presentar una queja en la entidad regida y una declaración de que no se tomarán represalias contra el individuo por presentar una queja;
• Una declaración de que los individuos pueden presentar una queja en la Secretaría del DHHS si ellos consideran que sus derechos de privacidad han sido violados;
• Una persona para contactar para obtener información adicional; y
• La fecha en la cual el aviso entra en vigencia.

Es importante destacar:

• Para los avisos de ciertos usos y divulgaciones, se precisarán declaraciones por separado. Por ejemplo, si una entidad regida planea usar o divulgar información médica protegida para recaudar fondos o para comunicarse con los individuos a fin de recordarles una cita, deberán indicar específicamente en el aviso que podrá hacerse uso o divulgar dicha información con ese fin específico.
• La entidad regida debe reservar expresamente sus derechos a cambiar los términos de su aviso de privacidad y debe especificar que tales cambios se aplicarán a información médica creada o recibida anteriormente. Si la entidad no se reserva el derecho de cambiar las prácticas de privacidad establecidas en el aviso, estará sujeta a las prácticas de privacidad del aviso con respecto a información médica protegida creada o recibida mientras esta notificación esté vigente.

---

Derecho a solicitar protección de la privacidad con relación a la información médica protegida

La Regla de Privacidad le otorga a los individuos el derecho de solicitar restricciones adicionales sobre el uso y la divulgación de su información médica personal.  Este derecho a solicitar restricciones adicionales y el derecho que tiene una entidad regida para denegar esa solicitud, están descriptos en la próxima sección, luego de la descripción de las reglas generales para el uso y la divulgación de información.  CRF 45 §164.522.

Derecho a recibir un registro de la información divulgada

Los individuos tienen el derecho de recibir un registo de la información médica protegida divulgada por la entidad regida,  durante los seis años previos a la fecha (comenzando en la fecha de cumplimiento) en que el individuo solicitó dicho registro, tales como la divulgación hecha por socios comerciales. CRF 45 §164.528.  El derecho a obtener un registro sólo se aplica a las divulgaciones, es decir, el compartir información médica fuera de la entidad regida.   No abarca los usos, esto es, compartir información médica dentro de la entidad regida.  Por ejemplo, un individuo no tiene derecho a recibir una lista de todos los empleados de un hospital que tuvieron acceso a su información médica. Salvo excepciones, el registro debe incluir la fecha de cada divulgación, el nombre y si se sabe, la dirección de las entidades o personas que recibieron la información; una descripción de la información divulgada, y una breve declaración del propósito de la divulgación o una copia de la solicitud escrita para la divulgación.  La Regla de Privacidad incluye otras disposiciones de responsabilidad para divulgaciones múltiples de información médica protegida, a la misma persona para ciertos propósitos y para divulgaciones múltiples para un objetivo de investigación en particular.  CFR 45 §§164.528(b)(3) y (4).

La entidad regida debe poner a disposición del individuo el registro, dentro de los 60 días contados a partir de la fecha de recepción de la solicitud. La fecha límite podrá extenderse una vez hasta por 30 días. El primer registro que se entregue a un individuo dentro de cualquier período de 12 meses es gratuito. La entidad regida podrá fijar un arancel razonable basado en los costos, para las solicitudes realizadas luego del período inicial de 12 meses. CRF 45 §164.528(c).

Hay algunas excepciones al derecho del individuo de recibir un registro de la información divulgada, el que se describe en la Regla de Privacidad. CRF 45 §164.528(a)(l)(i)-(ix).  Por ejemplo, la entidad regida no está obligada a entregar un registro de la información que se divulgó para efectuar tratamientos, pagos y transacciones de atención médica.  La Regla de Privacidad también exime de los requisitos de responsabilidad a las divulgaciones hechas de conformidad con una autorización válida y a las que son parte de un grupo limitado de datos de conformidad con un contrato válido de uso de datos. Las entidades regidas también deben suspender temporalmente el derecho del individuo de recibir un registro de la información divulgada con respecto a revelaciones hechas a un organismo de supervisión de la salud o a un funcionario encargado de hacer cumplir la ley, si el organismo o el funcionario le hace entrega a la entidad de un documento, indicando que de entregarle al individuo un registro de la información divulgada, cabría una posibilidad razonable de que cesen las actividades de dicho organismo. Este documento debe especificar el tiempo requerido de la suspensión.  CRF 45 §164.528(a)(2)(i).