Nuestra revisión de la historia de la HIPAA comienza el 21 de agosto de 1996, cuando se promulgó la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA), pero ¿por qué se formuló la Ley HIPAA?

La Ley HIPAA se formuló para «mejorar la portabilidad y la responsabilidad de la cobertura del seguro médico» para los trabajadores que cambian de trabajo. Otros objetivos de la ley eran abordar el despilfarro, el fraude y el abuso en los seguros médicos y la prestación de asistencia sanitaria. La Ley también incluía pasajes para fomentar el uso de las cuentas de ahorro médico mediante la creación de exenciones fiscales, proporcionaba cobertura a los empleados con enfermedades preexistentes y agilizaba la administración del seguro médico.

Los procesos para simplificar la administración del seguro médico se convirtieron en una forma de animar a la industria sanitaria a informatizar los historiales médicos de los pacientes. Esta parte específica de la Ley dio lugar a la Ley de Tecnologías de la Información Sanitaria para la Salud Económica y Clínica (HITECH) en 2009, que luego dio lugar a la introducción del programa de incentivos Meaningful Use – descrito por los líderes del sector sanitario como «la pieza más importante de la legislación sanitaria que se ha aprobado en los últimos 20 a 30 años».

Las normas de privacidad y seguridad de la HIPAA comienzan a evolucionar

Una vez promulgada la HIPAA, el Departamento de Salud y Servicios Humanos de EE.UU. se puso a desarrollar las primeras normas de privacidad y seguridad de la HIPAA. La Regla de Privacidad tenía como fecha de cumplimiento real el 14 de abril de 2003, y se refería a la Información Sanitaria Protegida (IPS) como «cualquier información en poder de una entidad cubierta que esté relacionada con el estado de salud, la prestación de asistencia sanitaria o el pago de la misma que pueda vincularse a una persona».

Se facilitaron instrucciones sobre cómo debía compartirse la IPS y que debía recibirse el permiso de los pacientes antes de utilizar sus datos personales para marketing, recaudación de fondos o investigación. También se concedió a los pacientes el permiso para ocultar la información sobre su asistencia sanitaria a los proveedores de seguros médicos cuando su tratamiento se financie de forma privada.

La regla de seguridad de la HIPAA entró en vigor dos años después de la legislación original, el 21 de abril de 2005. Refiriéndose específicamente a la PHI almacenada electrónicamente (ePHI), la Regla de Seguridad establecía tres medidas de seguridad -administrativas, físicas y técnicas- que debían cumplirse en su totalidad para cumplir con la HIPAA. Las medidas de seguridad tenían estos objetivos:

• Administrativas – desarrollar políticas y procesos establecidos para indicar claramente cómo la entidad cumplirá con la ley.
• Físicas – gestionar el acceso físico a las áreas de almacenamiento de datos para protegerlas contra el acceso indebido
• Técnicas – salvaguardar las comunicaciones, incluida la PHI, cuando se envían electrónicamente a través de redes abiertas

¿Cuándo entró en vigor la HIPAA?

¿En qué año se promulgó la HIPAA? La HIPAA fue promulgada como ley el 21 de agosto de 1996, pero en los últimos 20 años se han producido importantes modificaciones de la HIPAA: La introducción de la Regla de Privacidad, la Regla de Seguridad, la Regla de Notificación de Violación y la Regla Final Omnibus.

Las fechas de vigencia más significativas son: El 14 de abril de 2003 para la Regla de Privacidad de la HIPAA, aunque hubo una prórroga de 12 meses para los pequeños planes de salud, que debían adherirse a las disposiciones de la Regla de Privacidad de la HIPAA antes del 14 de abril de 2004.

La fecha de cumplimiento efectivo de la Regla de Seguridad de la HIPAA fue el 21 de abril de 2005. Al igual que en el caso de la Regla de Privacidad de la HIPAA, a los pequeños planes de salud se les concedió un año más para adherirse a las disposiciones de la Regla de Seguridad de la HIPAA y su fecha de cumplimiento efectivo fue el 21 de abril de 2006.

La Regla de Notificación de Incumplimiento de la HIPAA entró en vigor el 23 de septiembre de 2009 y la Regla Final Omnibus entró en vigor el 26 de marzo de 2013.

La promulgación de la Regla de Ejecución

El incumplimiento de las normas de privacidad y seguridad de la HIPAA por parte de muchos de los sujetos cubiertos condujo a la introducción de la Regla de Ejecución en marzo de 2006. La Norma de Ejecución otorgó al Departamento de Salud y Servicios Humanos la facultad de examinar las quejas contra las entidades cubiertas por no cumplir la Norma de Privacidad, y de multar a los conjuntos cubiertos por infracciones evitables de la ePHI debidas al incumplimiento de las medidas de seguridad establecidas en la Norma de Seguridad.

La Oficina de Derechos Civiles del Departamento también recibió la autoridad para presentar cargos penales contra los infractores reincidentes que no introduzcan medidas correctivas en un plazo de 30 días. Las personas también tienen derecho a emprender una acción legal civil contra la entidad cubierta si su información sanitaria personal se ha compartido sin su permiso si les causa un «daño grave».

HITECH 2009 y la Regla de Notificación de Infracciones

La historia de la HIPAA se aceleró en 2009 con la introducción de la Ley de Tecnología de la Información Sanitaria para la Salud Económica y Clínica (HITECH). HITECH tenía como objetivo principal obligar a las autoridades sanitarias a poner en marcha el uso de registros sanitarios electrónicos (EHR) y promulgó el programa de incentivos Meaningful Use. La primera fase del programa Meaningful Use se introdujo al año siguiente, incentivando a los grupos sanitarios para que mantuvieran la información sanitaria protegida de los pacientes en formato electrónico, en lugar de en archivos de papel.

Con el programa de incentivos también llegó una ampliación de las normas de la HIPAA a los asociados comerciales y a los proveedores externos del sector sanitario, y la introducción de la Regla de Notificación de Infracciones, que establecía que todas las infracciones de la información sanitaria electrónica que afectaran a más de 500 personas debían ponerse en conocimiento de la Oficina de Derechos Civiles del Departamento de Salud y Servicios Humanos. Los criterios para notificar las violaciones de la ePHI se ampliaron después en la Regla Ómnibus Final de marzo de 2013.

La Regla Ómnibus Final de 2013

El último acto legislativo en la historia de la HIPAA fue la Regla Ómnibus Final de 2013. La regla no introdujo realmente ninguna legislación nueva, sino que abordó lagunas en las regulaciones existentes de la HIPAA y la HITECH, por ejemplo, especificando los estándares de cifrado que deben aplicarse para que la ePHI sea inutilizable, indescifrable e ilegible en caso de que se produzca una infracción.

Se modificaron o ampliaron muchas definiciones para abordar áreas grises – por ejemplo, se modificó la definición de «fuerza de trabajo» para dejar claro que el término incluye a los empleados, voluntarios, aprendices y otras personas cuya conducta, en el desempeño de un trabajo para una entidad cubierta o un asociado comercial, está bajo la gestión directa de la entidad cubierta o el asociado comercial.

También se modificaron las normas de privacidad y seguridad para permitir que la información sanitaria del paciente se conserve indefinidamente (la legislación anterior establecía que se conservara durante 50 años), mientras que se añadieron nuevos procedimientos a la norma de notificación de infracciones. También se aplicaron nuevas sanciones -según lo dictado por HITECH- a los conjuntos cubiertos que incumplan la norma de aplicación de la HIPAA.

También se incluyeron modificaciones para tener en cuenta los cambios en las prácticas de trabajo provocados por los avances tecnológicos, que abarcan en particular el uso de dispositivos móviles. Un gran número de profesionales de la salud utilizan ahora sus propios dispositivos móviles para ver y compartir la ePHI, y la Regla Omnibus Final incluyó nuevos procedimientos y políticas administrativas para tener en cuenta esto, e incluir escenarios que no podrían haberse previsto en 1996. El texto completo de la Regla Omnibus Final puede encontrarse aquí.

Después de varios retrasos, la fecha límite para que los Estados Unidos utilicen la Modificación Clínica ICD-10-CM para la codificación de diagnósticos y el Sistema de Codificación de Procedimientos ICD-10-PCA para la codificación de procedimientos de pacientes hospitalizados se estableció finalmente el 1 de octubre de 2015. Todos los conjuntos cubiertos por la HIPAA deben utilizar la CIE-10-CM. Otro requisito es el de la versión 5010 de EDI.

Fechas significativas de la historia de la HIPAA

• Agosto de 1996 – HIPAA promulgada por el presidente Bill Clinton.
• Abril de 2003 – Fecha de entrada en vigor de la regla de privacidad de la HIPAA.
• Abril de 2005 – Fecha de entrada en vigor de la regla de seguridad de la HIPAA.
• Marzo de 2006 – Fecha de entrada en vigor de la Regla de Cumplimiento de la HIPAA.
• Septiembre de 2009 – Fecha de entrada en vigor de HITECH y de la Regla de Notificación de Cumplimiento.
• Marzo de 2013 – Fecha de entrada en vigor de la Regla Omnibus Final.

A algunos CEs y BAs se les dio un período de tiempo para adherirse a las disposiciones de cada Regla. Por ejemplo, a pesar de que la fecha de entrada en vigor de la Regla Ómnibus Final era marzo de 2013, a los CE y BA se les dio 180 días para cumplirla.

Impacto de la Regla Ómnibus Final

Lo que la Regla Ómnibus Final logró más que cualquier legislación anterior fue hacer que las entidades cubiertas fueran más conscientes de las salvaguardias de la HIPAA que tenían que cumplir. Muchas entidades sanitarias -que llevaban casi 20 años incumpliendo la HIPAA- pusieron en marcha una serie de medidas para cumplir la normativa, como el uso de la encriptación de datos en dispositivos portátiles y redes informáticas, la utilización de soluciones de mensajería segura para las comunicaciones internas con los equipos asistenciales, el establecimiento de filtros web y un mayor cuidado en el archivo de los correos electrónicos de forma segura.

Las sanciones económicas que ahora se sancionan por las filtraciones de datos, junto con los enormes costes de emitir notificaciones de infracción, proporcionar servicios de control de crédito y llevar a cabo la mitigación de los daños, hacen que la inversión en nuevas tecnologías para salvaguardar los datos parezca barata en comparación.

El Programa de Auditoría de Cumplimiento de la HIPAA

En 2011, la Oficina de Derechos Civiles comenzó una serie de auditorías de cumplimiento piloto para revisar en qué medida los proveedores de atención sanitaria cumplían las normas de privacidad y seguridad de la HIPAA. El primer hallazgo de las auditorías finalizó en 2012 y puso de manifiesto el escandaloso estado del cumplimiento de la asistencia sanitaria.

Los grupos auditados registraron muchas infracciones de la Regla de Notificación de Infracciones de la HIPAA, la Regla de Privacidad y la Regla de Seguridad, siendo esta última la que más infracciones provocó. La OCR emitió planes de acción para ayudar a esas organizaciones a lograr el cumplimiento; sin embargo, para la segunda fase de las auditorías no se espera que sea tan indulgente.

Se prevé que las auditorías se centren en las áreas específicas que resultaron problemáticas para tantos proveedores de atención sanitaria, mientras se planifica un plan de auditoría permanente para garantizar el cumplimiento continuo de la HIPAA. La era de las normas de seguridad laxas ya ha pasado y el ámbito sanitario, al igual que el sector financiero anteriormente, debe mejorar las normas para garantizar que los datos confidenciales sigan siendo privados.

Cualquier entidad cubierta que no adapte los controles necesarios se enfrenta a penalizaciones financieras, sanciones, posible pérdida de la licencia e incluso condenas penales por no asegurar la ePHI.

Cómo garantizar el pleno cumplimiento de la HIPAA

Nuestra «Lista de comprobación del cumplimiento de la HIPAA» cubre las facetas de la Ley de Portabilidad y Responsabilidad de los Seguros Médicos relacionadas con el almacenamiento, la transmisión y la eliminación de la Información Médica Protegida electrónica, las medidas que deben tomar los conjuntos para hacer frente a una infracción y las políticas y procedimientos que deben utilizarse para lograr el pleno cumplimiento.

Las normas de la HIPAA pueden ser estrictas, pero los conjuntos cubiertos tienen cierta flexibilidad en cuanto a las medidas de privacidad y seguridad utilizadas para proteger los datos. La encriptación de datos, por ejemplo, debe ser abordada pero no necesariamente implementada si otros controles permiten la protección requerida.