Capitulo 4

Guía de Recursos:

La Protección de la Privacidad de la Información Médica y el Cumplimiento de las Regulaciones Federales: Guía de recursos para proveedores de servicios de VIH y el personal de la Oficina de VIH/SIDA de la Administración de Recursos y Servicios de Salud

< Capitulo Anterior | Índice | Proximo Capitulo >

4. ¿Qué exige la Regla de Privacidad con respecto al uso y a la revelación de información médica protegida?

La Regla de Privacidad establece estándares bajo los cuales las entidades regidas pueden usar y divulgar información médica protegida, lo que incluye las divulgaciones exigidas y permitidas. Como ya se mencionó, la Regla de Privacidad exige que las entidades regidas divulguen información médica protegida a individuos que son los sujetos de esa información cuando esos individuos o sus representantes personales solicitan acceso a la información, excepto en ciertas circunstancias. El otro único caso en el cual la Regla de Privacidad exige que las entidades regidas divulguen información es a la Oficina para los Derechos Civiles del Departamento de Salud y Servicios Humanos, cuando sea necesario para determinar el cumplimiento de la Regla de Privacidad. Todos los otros usos y divulgaciones de información médica protegida son permisivos. Esto significa que la Regla de Privacidad permite a las entidades regidas divulgar información protegida según su propio criterio, pero en muchos casos, sujetas a ciertos requisitos o limitaciones. Como se explicará más adelante, otras leyes o procesos legales pueden obligar a las entidades regidas a divulgar información médica protegida. Si la Regla de Privacidad no requiere o no permite un uso o una divulgación, una entidad regida debe obtener la autorización del individuo para usar o divulgar dicha información.

Los usos y divulgaciones toleradas se clasifican en cuatro categorías:

1) Tratamiento, pago y transacciones de asistencia médica

Las entidades regidas pueden usar y divulgar información médica protegida para tratamiento y pagos, sin la autorización del individuo. CRF 45 §164.502(a)(i)(ii). La Regla de Privacidad define tratamiento como la provisión, coordinación, o administración de servicios médicos y otros servicios relacionados, por uno o más proveedores de atención médica, incluyendo la coordinación o la administración de la asistencia médica por un proveedor de atención médica con un tercero; las interconsultas entre proveedores relacionadas con el paciente; o la derivación de un paciente de un proveedor de atención médica a otro, para que le brinden asistencia médica. CRF 45 §164.501. Por pago se entienden las actividades emprendidas por un plan de salud para obtener primas o para determinar o cumplir sus responsabilidades para la cobertura y la provisión de beneficios en el plan de salud a un individuo, o actividades de un proveedor de atención médica o plan de salud para obtener o proveer un reembolso por la provisión de atención médica a un individuo. CRF 45 §164.501

La Regla de Privacidad también permite el uso y la divulgación sin autorización, si los mismos entran en una categoría de propósitos llamada transacciones de atención médica, un término que intenta abarcar las funciones administrativas de rutina de una organización de atención médica bien administrada y eficiente. Las transacciones de atención médica conforman una categoría amplia que incluye, sin que signifique una limitación: actividades de evaluación y mejora de la calidad; evaluación de competencia o calificaciones de profesionales de la salud; acuerdos para servicios legales; planificación de negocios; capacitación; servicio a clientes; resolución de quejas internas; obtención de seguros; creación de información que no identifique al individuo; y ciertas actividades de recaudación de fondos. CRF 45 §164.501.

2) Usos y divulgaciones en los que los individuos pueden brindar su consentimiento o presentar objeciones

La Regla de Privacidad crea una categoría de usos y divulgaciones para la cual no se necesita autorización, pero para los cuales los individuos deben tener la oportunidad de brindar su consentimiento o presentar objeciones. Excepto en ciertas condiciones de emergencia, a los individuos se le debe dar la oportunidad anticipada para acordar u objetar ciertos usos y divulgaciones, objetando el uso o la divulgación. Esto se aplica a los usos y las divulgaciones relativas al listado telefónico del edificio (tales como listas de nombres de pacientes y números de habitación disponibles en la mesa de informes del hospital) y las divulgaciones a ciertas personas vinculadas al individuo, o que éste identifique. CRF 45 §164.510.

En el caso de los listados telefónicos de los edificios, la información que se puede usar o divulgar se limita al nombre y a la ubicación del individuo en el edificio, su condición general y la religión que profesa. Estas disposiciones permitirían, por ejemplo, que un florista entregue flores a un paciente en un hospital. Las entidades regidas pueden divulgar esta información (excepto la religión que profesa) a personas que pregunten por el individuo dando el nombre. Adicionalmente, se podrá divulgar la información del listado telefónico, incluso de la afiliación religiosa, a miembros del clero.

Una entidad regida puede divulgar cierta información a un familiar directo o lejano, allegado, amigo íntimo, o a otras personas identificadas por el individuo. Sólo podrá compartirse información relevante directamente con la persona que está involucrada en la atención del individuo (o en el pago relacionado con la atención médica del individuo). Si el individuo objeta dicha divulgación (la que puede hacerse verbalmente), entonces la entidad regida tiene prohibido compartir esta información. Por lo general, estas disposiciones también permiten actuar en lugar de un individuo, y por ejemplo, recoger una receta.

DIVULGACIONES PERMITIDAS A FAMILIARES Y AMIGOS

Una entidad regida puede divulgar cierta información a un familiar, un allegado, un amigo cercano u otra persona identificada por el individuo. Sólo podrá compartirse la información médica protegida directamente relevante a la participación de esa persona en la salud del individuo o a pagos relativos a la atención médica del individuo. Si el individuo está presente y tiene la capacidad de tomar decisiones sobre su salud, la entidad regida puede divulgar información a aquellos involucrados en cuidar al individuo, si la entidad regida hace una de las siguientes cosas: obtiene el consentimiento del individuo; le da al individuo la oportunidad de presentar una objeción y el individuo no expresa su deseo de objetar; o razonablemente infiere de las circunstancias, basado en el ejercicio de un juicio profesional, que el individuo no objeta. Estos acuerdos pueden ser verbales. CRF 45 §164.510(b)(2).

Si un individuo presenta una objeción, la entidad regida tiene prohibido compartir información médica con un amigo o familiar del individuo. Cuando el individuo no está presente o está incapacitado, la entidad regida puede usar su mejor criterio profesional y su experiencia en la práctica diaria para decidir si la divulgación es apropiada.

En este documento no se tratan otras divulgaciones en las cuales los individuos pueden consentir u objetar. No obstante, el lector puede obtener información adicional y detalles en la Regla de Privacidad, CFR 45 §164.510. Estas divulgaciones incluyen: (1) notificación de divulgaciones (Por ejemplo: ubicación, condición general, o fallecimiento) como se indica en la CFR 45 §164.510(b)(1)(ii); (2) divulgaciones con respecto a personas incapacitadas en conformidad con la CFR 45 §164.510(b)(3); (3) divulgaciones con el individuo presente en conformidad con la CFR 45 §164.510(b)(2); y (4) divulgaciones con el propósito de aliviar situaciones después de una catástrofe en conformidad con la CFR 45 §164.510(b)(4).

3) Propósitos de prioridad pública

La Regla de Privacidad permite a las entidades regidas a usar y divulgar información médica protegida sin autorización, de acuerdo con una lista definida de propósitos de prioridad pública. Estos usos y divulgaciones están descriptos con mayor detalle en la próxima sección de la guía. El propósito de prioridad pública incluye, sin constituir una limitación, los usos y las divulgaciones exigidas por ley, para la supervisión de la salud y para fines de la salud pública. CRF 45 §164.512.

4) Se exige autorización

Todos los otros usos y divulgaciones que no están expresamente exigidos o permitidos deben contar con una autorización previa válida y escrita del individuo. CRF 45 §164.508. Una autorización deberá:

estar escrita en lenguaje sencillo;
contener la información específica que será divulgada o usada;
identificar a la(s) persona(s) a la(s) cual(es) se le(s) comunicará y recibirá(n) la información;
contener una fecha límite luego de la cual la información no podrá divulgarse o usarse;
especificar el derecho del individuo a revocar la autorización por escrito; y
ser preparada por duplicado para entregar una copia al individuo.

Con algunas excepciones, un proveedor de atención médica regido no puede negarse a brindar tratamiento y un plan de salud no puede rechazar la afiliación, a individuos que se negaron a firmar una autorización.

Los individuos tienen el derecho a solicitar limitaciones adicionales a los usos y las divulgaciones:

Un individuo tiene el derecho a solicitar que la entidad regida restrinja los usos y las divulgaciones de información médica protegida del individuo para llevar a cabo un tratamiento, los pagos o las transacciones de atención médica. La entidad regida no está obligada a concordar con tal restricción. Sin embargo, si la entidad regida celebra un convenio de restricción, deberá respetar dicho acuerdo, excepto en circunstancias de emergencia. La entidad regida podrá cancelar el convenio de restricción, pero sólo para la información médica creada o recibida después de que informó al individuo de la cancelación. Un convenio de restricción no se aplica a usos o divulgaciones a la Secretaría, a usos y divulgaciones para el listado telefónico del edificio, o a usos y divulgaciones cuando no se exige una autorización o una oportunidad para concordar o presentar objeciones. CRF 45 §164.522(a).

La Regla de Privacidad crea normas para los proveedores de atención médica y planes de salud regidos, a fin de adaptar las solicitudes de los individuos que resulten razonables, para recibir comunicaciones confidenciales de información médica protegida de la entidad regida por medios o en lugares alternativos. Un proveedor de atención médica regido debe permitir que los individuos soliciten, y debe adaptar las solicitudes razonables para que el individuo reciba las comunicaciones de información médica protegida por medios o en lugares alternativos. La misma norma se aplica a los planes de salud si el individuo “claramente establece que la divulgación total o parcial de aquella información podría poner en peligro al individuo”. CRF 45 §164.522(b)(1).

Las entidades regidas pueden exigirle a los individuos que presenten sus solicitudes de comunicaciones confidenciales por escrito, y pueden estipular la entrega de un acuerdo razonable, cuando resulte apropiado, para obtener información de cómo se manejará el pago y especificaciones de una dirección alternativa u otro método de contacto. Además, un proveedor de atención médica regido, podrá no exigirle al individuo que le brinde una explicación de los fundamentos de la solicitud como una condición para proporcionarle comunicaciones de carácter confidencial. Sin embargo, un plan de salud puede exigir que una solicitud contenga una declaración de que la divulgación total o parcial de la información a la que hace referencia la solicitud, podría poner en peligro al individuo. CRF 45 §164.522(b)(2).

EL PACIENTE SOLICITA RESTRICCIONES ADICIONALES: ESCENARIOS POSIBLES

A continuación se describen las dos maneras que pueden tomar las entidades regidas para dar curso al pedido de un paciente, en relación a fijar restricciones adicionales al uso y a la divulgación de la información médica protegida. La Regla de Privacidad admite ambas respuestas de las entidades regidas. En estas situaciones, ambos médicos son entidades regidas.

Rubén García, que es paciente del Dr. Rivera, no quiere que su vecino, el Dr. Jones, tenga acceso a su información médica protegida y sepa que él es VIH positivo. Por lo tanto, el Sr. García habla sobre la situación con el Dr. Rivera quien está de acuerdo en restringir el acceso a la historia clínica del Sr. García. Debido a que los Dres. Rivera y Jones trabajan en una gran organización de servicios para el SIDA que ya tiene muchos controles sobre quiénes pueden acceder a la información, el Dr. Rivera cree que puede cumplir con este pedido sin demasiada dificultad. Aún más, él considera que si rechaza la solicitud del Sr. García, podría entorpecer la confianza establecida entre los dos, y podría causar que el Sr. García deje de procurar asistencia médica. Por lo tanto, celebró un acuerdo escrito con el Sr. García comprometiéndose a restringir el acceso a la historia clínica del Sr. García, mediante el cual sólo aquellos proveedores específicamente identificados podrán acceder a la misma.

Maya Jonson oyó que la Dra. Baker tiene fama de ser particularmente sensible a las necesidades de las mujeres con VIH. En su primera visita, sin embargo, vio que alguien que conocía de la iglesia, Penny Schmidt, era gerente administrativo y manejaba el proceso de facturación. La Sra. Johnson desea consultar a la Dra. Baker, pero no quiere que la Sra. Schmidt vea los detalles del tipo de asistencia médica que está recibiendo. Le pidió a la Dra. Baker que limite el acceso para evitar que la Sra. Schmidt vea su información médica protegida. Debido a que la Dra. Baker está en un consultorio pequeño, todas las historias clínicas de los pacientes se mantienen en archivos de papel, y la Sra. Schmidt es la única persona responsable por la facturación. Si bien ella desearía cumplir con la solicitud de la Sra. Jonson, no cree que pueda hacerlo. Por lo tanto, rechaza la solicitud de la Sra. Johnson para restringir el acceso.

Las entidades regidas pueden intentar obtener un consentimiento para usar y divulgar información médica protegida con fines del tratamiento, el pago y las transacciones de atención médica.

Consentir en el uso o la divulgación de información médica protegida para el tratamiento, el pago y las transacciones de asistencia médica no es lo mismo que otorgar una autorización para usar y divulgar información médica protegida con otros fines. Una entidad regida puede, según su propio criterio, obtener el consentimiento del individuo para usar y divulgar información médica protegida para tratamientos, pagos y transacciones de asistencia médica, aún cuando la Regla de Privacidad no le exige a una entidad regida que obtenga un consentimiento para estos fines. Las entidades regidas que escojan obtener un consentimiento pueden diseñar el formulario de consentimiento y elaborar un procedimiento para obtenerlo, según su criterio. Si la entidad regida quiere usar o divulgar información para un fin distinto del tratamiento, del pago o de las transacciones de asistencia médica, y la reglamentación no brinda otras bases para esos usos o divulgaciones, el consentimiento antes mencionado resulta inadecuado. La entidad debe obtener una autorización que reúna los requisitos de la Regla de Privacidad. Más aún, este consentimiento no es lo mismo que proveer un consentimiento informado para tratamiento. CRF 45 §164.506(b).

Interacción de la Regla de Privacidad con las leyes y las reglamentaciones estatales

La Regla de Privacidad establece un piso para la protección legal de la información médica a escala federal, que deja a otras protecciones más fuertes de la ley estatal en total vigencia. Las protecciones son acumulativas, por lo que el individuo obtiene la protección y los beneficios más altos de cada ley. CRF 45 §160.203. Las leyes estatales que no se contradicen con la Regla de Privacidad se mantienen en vigencia. Las leyes estatales que se contradicen con la Regla de Privacidad y que son menos rigurosas, quedan relegadas. Las leyes estatales relativas a la privacidad de la información médica que son más rigurosas que la Regla de Privacidad se mantendrán vigentes, aún cuando se contradigan con la Regla de Privacidad. En general, una ley estatal es más exigente cuando otorga mayores derechos de privacidad para el individuo que es el sujeto de la información. CRF 45 §160.202 y CRF 45 §160.203.

Los beneficiarios ya están familiarizados con la gran cantidad de leyes estatales que prevén protecciones especiales para los resultados de pruebas del VIH/SIDA y otras informaciones relativas al VIH/SIDA, y con frecuencia esas leyes son más proteccionistas que la Regla de Privacidad. Por ejemplo, pueden exigir una autorización por separado para divulgar tal información. O bien, tanto la Regla de Privacidad como la ley estatal pueden permitir una divulgación particular sin autorización, pero la ley estatal puede imponer algunas condiciones para la divulgación, o limitar a quiénes podrá comunicarse la información.

Es importante que los beneficiarios conozcan tanto la Regla de Privacidad como la ley estatal aplicable a sus actividades, y que elaboren políticas y procedimientos que aseguren que sus clientes reciban todas las protecciones previstas por ambas fuentes. Es posible que sea necesario consultar con un asesor legal para resolver asuntos particulares sobre la relación entre la Regla de Privacidad y las leyes del estado.

Muchas leyes estatales exigen un informe u otra divulgación de información sobre los pacientes. La Regla de Privacidad admite algunas de las divulgaciones exigidas por ley. CRF 45 §164.512(a). De ese modo, de acuerdo con la Regla de Privacidad, tanto comunicar enfermedades y lesiones, como reportar eventos vitales e informar sobre el maltrato a alguna persona, son todas divulgaciones permitidas. De la misma manera, la Regla de Privacidad permite que los planes de salud cumplan con las leyes que exigen reportar o garantizar el acceso de la información a los organismos estatales para auditorías, evaluación o matriculación.

En este aspecto cabe destacar que muchas de las divulgaciones a las que se hace referencia en este documento están permitidas por la Regla de Privacidad, incluso sin una obligación real de reportar o divulgar según las leyes estatales. Por ejemplo, las disposiciones relativas a la divulgación con fines de supervisión y de la salud pública, como se explicara anteriormente en la sección 5, permiten muchas de estas divulgaciones. Ni la ley estatal precisa exigir la divulgación ni el funcionario estatal necesita obtener una orden judicial para que una entidad regida pueda divulgar adecuadamente información para este propósito, en tanto se cumplan las condiciones de la Regla de Privacidad para la divulgación en particular.

RECOMENDACIONES

1.	Efectúe una auditoría de todas las formas en que rutinariamente se usa o divulga la información médica protegida, para determinar en qué categoría entra el uso o la divulgación.
2.	Desarrolle políticas y procedimientos para manejar divulgaciones a familiares, amigos íntimos y asociados.
3.	Designe a una persona para que asuma la responsabilidad de garantizar el cumplimiento de la Regla de Privacidad.
4.	Desarrolle políticas y procedimientos para evaluar e implementar las solicitudes de los individuos para fijar restricciones adicionales en el uso y la divulgación de su información médica protegida.
5.	Determine si usted o su organización obtendrán un consentimiento para usar y divulgar información médica protegida para tratamiento, pago o transacciones de asistencia médica. Establezca políticas y procedimientos para implementar la decisión de su organización.
6.	Revise las leyes estatales y otras leyes federales aplicables a su programa para determinar si contienen requisitos adicionales o restricciones en el uso y la divulgación, o mayores derechos de acceso a información médica protegida. El despacho del Fiscal General en su estado puede ser un buen recurso para determinar cuáles son las leyes estatales que interactúan con la Regla de Privacidad.