La gestión documental en Cumplimiento HIPAA

La ley de Responsabilidad y Portabilidad de Seguros de Salud HIPAA denominada así por sus siglas en Inglés (Health Insurance Portability and Accountability Act) fue promulgada por el Congreso de los Estados Unidos de Norteamérica el 21 de agosto de 1996, convirtiéndose en el primer acto de defensa de los derechos de los afiliados y sus familias; con el objetivo principal de facilitar la portabilidad de coberturas de los seguros médicos y ejercer un control estricto sobre la confidencialidad e integridad de la información de los usuarios.

La ley HIPAA tiene 5 principios básicos:

• Seguridad.- los prestadores de servicios son responsables de la protección y divulgación no autorizada de la información médica de sus pacientes.
• Control del consumidor.- otorga al consumidor el control sobre la divulgación de su historial médico.
• Límites.- el uso de la información está limitada a los tratamientos y pagos.
• Responsabilidad pública.- equilibra la protección privada y la responsabilidad pública, haciendo énfasis en la lucha contra el fraude y posibles abusos de los prestadores de servicios médicos y sus aliados.
• Sanciones.- incluye sanciones federales que incluyen desde multas y hasta prisión.

La aplicación de la ley HIPAA es extensa; aplica a médicos, enfermeros, laboratorios, farmacias, clínicas, centros de rehabilitación de todas las condiciones médicas, centros geriátricos, aseguradoras de salud, planes de salud generales de patronos, programas gubernamentales como Medicare y Medicaid y en general a cualquier prestador de servicios médicos.

La ley HIPAA tiene una regla general de privacidad que permite a las organizaciones de salud y prestadores relacionados, a utilizar la información de los usuarios únicamente para temas relacionados directamente con el tratamiento médico y los pagos del mismo. Para el resto de usos se requiere una autorización escrita que levante la protección de los datos otorgados por la ley.

Esta ley obliga a las compañías y personal relacionados con servicios de salud en el territorio americano, a cumplir eficazmente con los estándares técnicos especificados por HIPAA, que aseguran la protección de la información de sus clientes, cubriendo tres aspectos indivisibles de garantías: administrativas, físicas y técnicas. Las garantías administrativas se relacionan con el cumplimiento normativo, diseñado para controlar la conducta y carácter ético del personal que ingresa y procesa la información en los sistemas de gestión; así como la distribución electrónica de ésta información. Las garantías físicas están relacionadas con los procesos técnicos establecidos para la protección de inmuebles y equipos físicos, relacionados de alguna manera con la protección de la información ante riesgos de origen natural, ambiental o posibles intrusiones. Y finalmente, las garantías técnicas relacionadas con todos los procesos y flujos de trabajo que se diseñan para proteger, mantener el control y sobre todo monitorear el acceso a la información de los registros médicos.

Además, la ley indica que las garantías deben estar respaldadas por procesos documentados que se deben difundir con todos los asociados y relacionados con el proveedor médico, quien debe garantizar el cumplimiento de las políticas de privacidad de la información médica de sus usuarios. Y dependiendo del tamaño del prestador de servicios médicos, la ley exige la existencia de un oficial de privacidad que es responsable del control del cumplimento de las políticas de privacidad.

HIPAA otorga derechos a los usuarios del sistema de salud que les permite solicitar acceso a su historial médico; conocer cómo y con quién ha sido compartida su información médica, con fechas exactas de la entrega de información, solicitar informes detallados de los motivos por los que se ha compartido su información médica (estos informes se deben entregar a los usuarios de manera gratuita una vez al año). Solicitar revisión y correcciones en sus historias médicas siguiendo un protocolo ya establecido en la ley; presentar quejas e inclusive, solicitar que no se comparta la información médica con destinatarios específicos como empleadores, vendedores u otros, sin la autorización expresa y escrita del usuario.

Los derechos otorgados a los usuarios a través de los estándares de la ley HIPAA, obligan a los prestadores de servicios médicos, personas y empresas relacionadas con los mismos, a mantener gestores documentales confiables que les permitan acceder a la información del historial médico con una recuperación rápida de la misma; mediante el uso de palabras clave, códigos y otros elementos con capacidad detallada de búsqueda.

El acceso a los registros médicos electrónicos en casos de emergencia, pueden significar la diferencia entre la vida y la muerte, por lo que su acceso oportuno se convierte en una prioridad. Estos gestores, además deben contar con una excelente capacidad de transformación digital de toda la información física que se genera en los registros médicos, no solamente por su acceso electrónico, sino como una medida de seguridad frente a amenazas externas que puedan vulnerar los documentos en papel. Los prestadores de servicios médicos están obligados a mantener un registro de control de versiones del historial médico de sus usuarios, de manera especial cuando se realizan solicitudes de corrección de información en los historiales y también cuando se va añadiendo información a cada historial; es decir la seguridad de las historias médicas electrónicas debe mantenerse en las historias estáticas, en tránsito y en uso. Para los prestadores der servicios médicos que utilicen firmas electrónicas, la ley HIPAA les obliga a mantener un sistema que cumpla un estándar que garantice la autenticación del usuario y la integridad del mensaje; si bien la ley no obliga el uso de firmas electrónicas. Así mismo en los casos que aplique, los sistemas utilizados deben tener la capacidad de realizar la destrucción segura de la información médica, de manera que ésta no pueda ser recuperada por terceros con fines no autorizados. La ley HIPAA no obliga al uso de ningún sistema o tecnología específica y su aplicación puede variar en función del tamaño de la organización, las necesidades de cada ubicación y el tipo de servicios médicos que se prestan.

La aparición de registros médicos electrónicos obliga a los prestadores de servicios médicos a blindar la seguridad de la información, y reforzar el control de los procesos de ingreso y divulgación de la información de los pacientes, en especial porque la mayoría de los casos de reclamo de vulneración de la información de pacientes, se producen por errores cometidos por el personal de los servicios médicos. Por lo que los gestores documentales deben ser dinámicos y ofrecer una amplia variedad de opciones que permitan filtrar y detectar errores que puedan generar violaciones en la privacidad de la información de los pacientes; tales como divulgación, modificación, alteración, o destrucción no autorizada de información médica.

Las sanciones por las violaciones a la privacidad de la información médica de pacientes en Estados Unidos establecidas en la ley HIPAA, son de carácter civil y penal, que van desde multas económicas de hasta 25.000 usd por violaciones reiteradas en un mismo año; multas de 250.000 usd o hasta 10 años de prisión por mal uso consciente de la información médica - por lo que el manejo de la información médica debe ser tomada muy en serio -.

La ley HIPAA fue reforzada con la ley HITECH - Health Information Technology for Economic and Clinical Health Act promulgada en febrero de 2009, que promueve el endurecimiento de las sanciones ya establecidas en HIPAA. Adicionalmente HITECH incorporó incentivos económicos a los proveedores de servicios médicos que incorporen las tecnologías de acuerdo a la regulaciones en los tiempos establecidos.

Es importante resaltar que en México el Reglamento de la LFPDPPP, así como los Lineamientos del Aviso de Privacidad, establecen requisitos adicionales para cumplir con la materialización del principio de información.

Es importante hacer la distinción entre el expediente clínico en papel y el expediente clínico electrónico, el cual se registra en un formato digital, permitiendo un registro de salud longitudinal. Al respecto, en aras de apoyar la adopción e interoperabilidad de sistemas de expediente clínico electrónico a nivel nacional, así como simplificar la evaluación de los mismos, el 8 de septiembre de 2010 se publicó en el Diario Oficial de la Federación, la NOM-024-SSA3-2010, que establece los objetivos funcionales y funcionalidades que deberán observar los productos de sistemas de expediente clínico electrónico para garantizar la interoperabilidad, procesamiento, interpretación, confidencialidad, seguridad y uso de estándares y catálogos de la información de los registros electrónicos en salud.

Al respecto, el Reglamento de la LGS en Materia de Investigación para la Salud, en su artículo 21, fracción VIII, señala que para que el consentimiento informado se considere existente, se debe recibir una explicación que comprenda, entre otros aspectos, por lo menos, la explicación de la seguridad de que no se identificará al titular de los datos y que se mantendrá la confidencialidad de la información relacionada con su privacidad.