En los Estados Unidos, la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA, por sus siglas en inglés) establece reglas sobre quién puede ver los registros médicos de los pacientes. La mayoría de las personas creen que solo sus proveedores y las personas a las que les dan permiso (como miembros de la familia) pueden acceder a su información de salud.
Es posible que se sorprenda al saber que otras personas y organizaciones pueden ver sus registros médicos sin su permiso.
Este artículo repasa cómo funciona la privacidad de los registros médicos. Si bien no es una lista completa, conocerá algunos ejemplos comunes de quién puede acceder a sus registros. También descubrirá por qué quieren su información y para qué pueden usarla.
Docenas de personas y organizaciones tienen permiso legal para ver sus registros médicos. Pueden hacer una solicitud o comprar acceso a ellos.
En algunos casos, debe darles permiso para acceder a su registro. Sin embargo, no siempre se requiere su permiso. A veces, ha dado permiso para que alguien acceda a su registro sin darse cuenta, por ejemplo, al firmar un formulario de consentimiento.
Si bien existen medidas de seguridad para tratar de evitarlo, las personas o grupos a veces pueden acceder ilegalmente a los registros médicos.
De acuerdo con la Departamento de Salud y Servicios Humanos de EE. UU.hubo al menos 3.054 violaciones de datos de atención médica entre 2009 y 2019. Más de 230.954.151 registros médicos se incluyeron en estas violaciones.
Resumen
Hay muchas personas y grupos que pueden acceder a sus registros médicos. Tiene derecho a ver sus registros, al igual que las personas a las que les da permiso (como miembros de la familia). Las personas que participan en su atención, como los proveedores y las compañías de seguros de salud, también pueden ver sus registros.
Tipos de acceso a registros médicos
Hay dos tipos generales de registros médicos que se comparten o compran: registros identificables individualmente y registros agregados.
- Registro identificable individualmente: Este tipo de registro tiene datos personales, como el nombre de una persona, médicos, aseguradoras, diagnósticos, tratamientos y más. Este es el registro que solicita para revisar sus registros médicos. Esta información también puede denominarse información de salud protegida (PHI).
- Expediente médico agregado: Este tipo de registro es una base de datos que incluye muchos datos diferentes llamados atributos. Este tipo de registro no se utiliza para identificar a una persona. En su lugar, se colocan en listas cientos o incluso miles de registros. Todas esas listas juntas forman una gran lista agregada. Este proceso se llama «minería de datos».
He aquí un ejemplo de extracción de datos: un hospital puede decidir extraer los datos de todos los registros de pacientes que se han sometido a una cirugía de derivación cardíaca.
El registro agregado podría tener cientos de pacientes. Todos se clasifican según diferentes factores, como el tipo de seguro que tienen o quiénes son sus proveedores de atención médica.
Resumen
Un registro de identificación individual tiene información como su nombre y fecha de nacimiento que se puede usar para identificarlo. Un registro médico agregado está «desidentificado». Eso significa que no lo identifica a usted ni incluye ningún procedimiento médico, diagnóstico o profesional en sus registros.
Derecho de Acceso
Ciertas personas y organizaciones tienen derecho a acceder a sus registros médicos. Están clasificados como entidades cubiertas por HIPAA. Esto significa que tienen derecho a acceder a sus registros bajo pautas regulatorias específicas.
Las entidades cubiertas incluyen:
- Médicos y profesionales médicos afines
- Instalaciones de atención médica (por ejemplo, hospitales, laboratorios, hogares de ancianos)
- Pagadores (por ejemplo, Medicare, compañías de seguros de salud)
- Proveedores de tecnología que mantienen registros de salud electrónicos
- El Gobierno
Como entidades cubiertas, tienen reglas muy estrictas que deben seguir. Una de las reglas más importantes establece cuándo deben tener un permiso por escrito de usted para compartir sus registros. Sin embargo, las entidades cubiertas no están obligadas a obtener un permiso por escrito para compartir sus registros si realizan actividades relacionadas con el tratamiento, el pago o las operaciones de atención médica.
Aquí están las otras reglas establecidas por HIPAA:
- Tú tiene derecho legal a obtener copias de sus propios registros médicos.
- Un ser querido o cuidador puede tener derecho a obtener copias de sus registros médicos si usted les da permiso para hacerlo.
- Sus proveedores de atención médica tiene derecho a ver y compartir sus registros con cualquier persona a la que haya dado permiso. Por ejemplo, si su médico de atención primaria lo remite a un especialista, es posible que le pidan que firme un formulario que dice que pueden compartir sus registros con ese especialista.
- Sus pagadores de atención médica tiene derecho a obtener copias y utilizar sus registros médicos de acuerdo con las leyes de HIPAA. Es posible que las compañías de seguros, Medicare, Medicaid, compensación laboral, discapacidad del Seguro Social, el Departamento de Asuntos de Veteranos o cualquier entidad institucional que pague cualquier parte de su atención médica necesiten revisar sus registros.
- Gobiernos federal y estatal puede tener derecho a sus registros médicos. Además del pago médico, otras agencias también pueden tener acceso a sus registros. Por ejemplo, los servicios policiales y de protección infantil podrían ver sus registros si se obtiene una citación. Si tiene un accidente en el lugar de trabajo, es posible que la Administración de Salud y Seguridad Ocupacional (OSHA, por sus siglas en inglés) federal necesite revisar sus registros.
- Oficina de información médica (el Grupo MIB) es una entidad sin ánimo de lucro fundada hace más de 125 años. Proporciona información a las compañías de seguros de vida para evaluar la elegibilidad de una persona para la cobertura. El Grupo MIB puede tener un registro individual sobre usted que no está sujeto a las leyes HIPAA.
- Bases de datos de recetas como IntelliScript (Milliman) y MedPoint (Ingenix) muy probablemente tengan registros extraídos de datos de todos los medicamentos recetados que ha comprado en los últimos 5 años o más. Esta información es utilizada por las compañías de seguros de vida o de discapacidad para determinar si le venderán o no un seguro.
¿Quién no está cubierto por HIPAA?
Los empleadores no están cubiertos por HIPAA. Incluso si pagan su seguro o atención médica de su bolsillo, HIPAA no permite que su empleador acceda a sus registros médicos o reclamos de seguro porque podría generar discriminación.
Resumen
Además de usted y las personas que dan permiso, hay otras personas que legalmente pueden solicitar sus registros médicos. Algunos ejemplos son los proveedores de seguros de salud, la policía y el gobierno.
Sin embargo, los empleadores no pueden acceder a sus registros incluso si pagan parte de su atención médica.
Divulgación ilegal
En algunos casos, el acceso no autorizado a los registros médicos es intencional y delictivo. En otros casos, la divulgación es el resultado del descuido de alguien, incluso el suyo.
piratas informáticos
Con frecuencia escucha sobre piratas informáticos que han obtenido acceso ilegalmente a miles de registros privados, ya sean registros de salud, registros de tarjetas de crédito u otras fuentes de información.
La información médica es un objetivo principal para los piratas informáticos porque los ladrones ganan mucho dinero con el robo de identidad médica.
Sin embargo, los piratas informáticos no buscan los registros de un individuo específico. En cambio, solo quieren obtener tantos registros que no estén agregados como sea posible.
Acceso ilegal dirigido
Otra forma ilegal de acceso involucra los registros de un paciente individual.
Por ejemplo, una empresa podría pagarle a alguien para obtener el registro médico de un posible empleado. En otra situación, un cónyuge podría buscar los registros de una persona de la que se está divorciando. A veces, se roban los registros médicos de las celebridades.
Fugas accidentales
Hay otras formas en que su información médica privada podría hacerse pública sin querer.
Por ejemplo, si el consultorio de su médico alquila una fotocopiadora, miles de registros médicos en papel copiados se almacenan en su memoria. Cuando la máquina regrese a la empresa, los registros podrían irse con ella.
Lo mismo puede suceder cuando fallan los discos duros de la computadora. Puede suponer que si la computadora no funciona, no se podrá acceder a los registros.
Sin embargo, el hecho de que las unidades ya no funcionen con una computadora no significa que alguien no pueda obtener los datos que contienen.
Cuando firmas tu privacidad
A menudo otorga permiso a las entidades para acceder a sus registros sin siquiera saberlo. Aquí hay algunos ejemplos comunes en los que quizás no hayas pensado antes:
- Seguro de vida: Los formularios que firma cuando obtiene cobertura de seguro de vida generalmente le dan permiso a la compañía para acceder a sus registros.
- Pruebas caseras de ADN o de salud: Cuando usa los servicios de pruebas de salud en el hogar, las compañías pueden usar su información de salud de la forma en que lo deseen. elegir.
Resumen
Las personas pueden acceder ilegalmente a los registros médicos. Por ejemplo, los piratas informáticos pueden intentar obtener miles de registros de un sistema de atención médica o una persona puede intentar obtener los registros de su cónyuge sin permiso.
A veces, las personas son descuidadas con la información confidencial y sus errores conducen a infracciones. Si no tiene cuidado, puede firmar papeles dando acceso a sus registros sin darse cuenta.
Registros agregados
Los registros médicos en forma agregada se utilizan por muchas razones diferentes. Una vez que la información ha sido anonimizada (lo que significa que ningún paciente es identificable), las organizaciones tienen derecho a agregar la información y luego compartirla o venderla.
Investigación
Los datos agregados se utilizan a menudo en la investigación. Los estudios que utilizan los datos pueden ayudar a los pacientes en el futuro.
Venta de datos
A veces, los hospitales y otras entidades cubiertas venderán datos agregados.
Por ejemplo, un hospital podría vender sus datos sobre 1000 pacientes que se sometieron a una cirugía de espalda a una empresa que vende sillas de ruedas.
En otro ejemplo, una farmacia podría vender sus datos sobre 5000 clientes que surtieron recetas de medicamentos para el colesterol al centro cardíaco local.
Los datos agregados también se pueden utilizar con fines de marketing. Es una gran fuente de ingresos para muchas organizaciones que trabajan con pacientes.
Alcance y recaudación de fondos
Las organizaciones benéficas y sin fines de lucro pueden usar datos agregados para ayudarlos a realizar actividades de divulgación para la recaudación de fondos.
Las organizaciones locales pueden asociarse con hospitales u otras instalaciones que agregan datos de pacientes. Las organizaciones estatales, nacionales o internacionales encuentran otras formas de acceder a los datos.
Si te interesa la causa de una organización, es posible que estés en sus listas de recaudación de fondos. Luego, se le incluirá cuando agreguen sus datos para venderlos a otra organización que quiera saber quién está interesado en la organización.
Resumen
Los datos de registros médicos agregados se pueden usar para muchos propósitos, como investigación, marketing y recaudación de fondos.
Resumen
En los EE. UU., existen leyes que controlan quién puede ver su información de salud. También hay reglas sobre cómo se puede usar esa información.
Si bien sus registros médicos están protegidos y son privados, más personas o grupos pueden acceder legalmente a ellos de lo que cree. A veces se necesita su permiso, pero no siempre.
También es posible que se acceda ilegalmente a los registros médicos, como cuando los piratas informáticos violan un sistema de atención médica.
En algunos casos, se juntan datos de miles de pacientes. Cuando se hace esto, ningún paciente es fácil de identificar. Estos datos agregados están «desidentificados». Este tipo de datos se puede utilizar para muchas cosas, como marketing e investigación.
Una palabra de MEDSALUD
Como paciente, usted tiene muchos derechos y responsabilidades. Uno de sus derechos es la posibilidad de acceder a su expediente médico. También puede dar permiso a otras personas, como proveedores, familiares y compañías de seguros, para ver sus registros.
También hay momentos en los que se puede acceder a sus registros sin su permiso. Por ejemplo, las fuerzas del orden público o las agencias que manejan lesiones en el lugar de trabajo pueden solicitar ver sus registros.
A veces, es posible que ni siquiera se dé cuenta de que le ha dado permiso a un individuo o grupo para obtener sus registros y usar los datos como quiera. Por eso es importante leer siempre «la letra pequeña» cuando se suscriba a servicios como un seguro de vida o pruebas de ADN en el hogar.
Preguntas frecuentes
-
¿Cómo protege HIPAA la información médica personal?
La Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA, por sus siglas en inglés) rige cómo y con quién se puede compartir su información médica personal.
Bajo HIPAA, usted tiene el derecho legal de obtener copias de sus registros médicos. También tiene derecho a compartir sus documentos con cualquier persona que elija, siempre que firme un formulario de consentimiento o divulgación.
HIPAA también les permite a los pagadores ver sus registros médicos. Las compañías de seguros, Medicare, Medicaid, compensación de trabajadores, discapacidad, VA o cualquier institución que pague parte de su atención médica pueden solicitar sus registros.
Las bases de datos de recetas y seguros de vida también pueden acceder a sus registros. Incluso el gobierno puede ver sus registros médicos en algunas circunstancias.
-
¿Todos los registros médicos están vinculados?
En los EE. UU., los registros médicos individuales no se vinculan automáticamente. Si ve a más de un proveedor en el mismo hospital o sistema de atención médica, por lo general, todos los proveedores del sistema pueden acceder a sus registros de salud digitales.
Deberá comunicarse con el establecimiento donde se inició el registro para proveedores en diferentes sistemas de salud. El departamento de información de salud le pedirá que firme un formulario de divulgación para solicitar que se compartan sus registros con proveedores de una organización externa.
-
¿Se puede demandar a alguien por revelar información médica?
Es ilegal compartir información de salud protegida bajo HIPAA, pero la ley tampoco permite que las personas demanden por una compensación monetaria después de una infracción.
Si cree que su información de salud se compartió ilegalmente, puede presentar una queja con el Departamento de Salud y Servicios Humanos de los Estados Unidos.
-
¿Puede un padre acceder a los registros médicos de un menor bajo HIPPA?
Sí, aunque hay algunas excepciones y pueden variar según el estado. Los casos en los que los registros médicos de un menor pueden ocultarse a los padres incluyen:
- Cuando no se requiere el consentimiento de los padres según las leyes estatales u otras leyes aplicables y el menor es quien dio su consentimiento para el cuidado.
- Si un menor recibe cuidado por orden judicial o bajo la dirección de una persona designada por el tribunal.
- Cuando un padre acordó que el menor y el proveedor de atención médica pueden tener una relación confidencial.