¿Cuándo se estableció la HIPAA?
Nuestra lección de historia de la HIPAA comienza el 21 de agosto de 1996, cuando se promulgó la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA), pero ¿por qué se creó la ley HIPAA? La HIPAA se creó para «mejorar la portabilidad y la responsabilidad de la cobertura del seguro médico» para los empleados que cambian de trabajo. Otros objetivos de la ley eran combatir el despilfarro, el fraude y el abuso en los seguros médicos y la prestación de asistencia sanitaria. La Ley también contenía pasajes para promover el uso de las cuentas de ahorro médico mediante la introducción de exenciones fiscales, proporciona cobertura para los empleados con condiciones médicas preexistentes y simplifica la administración del seguro de salud.
Los procedimientos para simplificar la administración del seguro de salud se convirtieron en un vehículo para alentar a la industria de la salud a informatizar los registros médicos de los pacientes. Esta parte concreta de la Ley dio lugar a la Ley de Tecnologías de la Información Sanitaria para la Salud Económica y Clínica (HITECH) en 2009, que a su vez condujo a la introducción del programa de incentivos Meaningful Use, descrito por los líderes del sector sanitario como «la pieza más importante de la legislación sanitaria que se ha aprobado en los últimos 20 o 30 años».
Las normas de privacidad y seguridad de la HIPAA toman forma
Una vez promulgada la HIPAA, el Departamento de Salud y Servicios Humanos de EE.UU. se dispuso a crear las primeras normas de privacidad y seguridad de la HIPAA. La Regla de Privacidad entró en vigor el 14 de abril de 2003 y definió la Información Sanitaria Protegida (ISP) como «cualquier información en poder de una entidad cubierta que se refiera al estado de salud, a la prestación de asistencia sanitaria o al pago de la misma y que pueda relacionarse con una persona».
Se dictaron instrucciones sobre cómo debía revelarse la ISP y que debía solicitarse el permiso de los pacientes antes de utilizar su información personal para marketing, recaudación de fondos o investigación. También otorgaba a los pacientes el derecho a ocultar información sobre su asistencia sanitaria a los proveedores de seguros médicos cuando su tratamiento se financiara de forma privada.
La regla de seguridad de la HIPAA entró en vigor dos años después de la legislación original, el 21 de abril de 2005. La regla de seguridad, que se refiere específicamente a la información médica protegida almacenada electrónicamente (ePHI), establece tres salvaguardias de seguridad -administrativa, física y técnica- que deben cumplirse en su totalidad para cumplir con la HIPAA. Las salvaguardas tenían los siguientes objetivos:
- Administrativos – crear políticas y procedimientos diseñados para mostrar claramente cómo la entidad cumplirá con la ley.
- Físicas – controlar el acceso físico a las áreas de almacenamiento de datos para protegerlas contra el acceso inapropiado
- Técnicas – proteger las comunicaciones que contienen PHI cuando se transmiten electrónicamente a través de redes abiertas
¿Cuándo entró en vigor la HIPAA?
¿En qué año se promulgó la HIPAA? La HIPAA se convirtió en ley el 21 de agosto de 1996, pero en los últimos 20 años ha habido importantes adiciones a la HIPAA: La introducción de la Regla de Privacidad, la Regla de Seguridad, la Regla de Notificación de Incumplimiento y la Regla Final Omnibus.
Las fechas de vigencia más importantes son: El 14 de abril de 2003 para la Regla de Privacidad de la HIPAA, aunque hubo una prórroga de un año para los pequeños planes de salud, que debían cumplir con las disposiciones de la Regla de Privacidad de la HIPAA antes del 14 de abril de 2004.
La fecha de cumplimiento efectivo de la Regla de Seguridad de la HIPAA fue el 21 de abril de 2005. Al igual que en el caso de la Regla de Privacidad de la HIPAA, a los pequeños planes de salud se les concedió un año adicional para cumplir con las disposiciones de la Regla de Seguridad de la HIPAA y su fecha de cumplimiento efectivo fue el 21 de abril de 2006.
La Regla de Notificación de Incumplimiento de la HIPAA entró en vigor el 23 de septiembre de 2009 y la Regla Final Omnibus entró en vigor el 26 de marzo de 2013.
La introducción de la Regla de Ejecución
El fracaso de muchas entidades cubiertas para cumplir plenamente con las Reglas de Privacidad y Seguridad de la HIPAA dio lugar a la introducción de la Regla de Ejecución en marzo de 2006. La Norma de Ejecución otorgó al Departamento de Salud y Servicios Humanos la facultad de investigar las denuncias contra las entidades cubiertas por incumplimiento de la Norma de Privacidad, y de multar a las entidades cubiertas por violaciones evitables de la ePHI debido al incumplimiento de las salvaguardias establecidas en la Norma de Seguridad.
La Oficina de Derechos Civiles del Departamento también recibió la facultad de presentar cargos penales contra los infractores persistentes que no introduzcan medidas correctivas en un plazo de 30 días. Las personas también tienen derecho a emprender acciones legales civiles contra la entidad cubierta si su información sanitaria personal ha sido divulgada sin su permiso, si les causa un «daño grave».
HITECH 2009 y la Regla de Notificación de Infracciones
La historia de la HIPAA continuó en 2009 con la introducción de la Ley de Tecnologías de la Información Sanitaria para la Salud Económica y Clínica (HITECH). HITECH tenía el objetivo principal de obligar a las autoridades sanitarias a implantar el uso de historias clínicas electrónicas (HCE) e introdujo el programa de incentivos Meaningful Use. La primera fase del programa Meaningful Use se puso en marcha al año siguiente, incentivando a las organizaciones sanitarias para que mantuvieran la información sanitaria protegida de los pacientes en formato electrónico, en lugar de en archivos de papel.
Con el programa de incentivos también se produjo una ampliación de las normas de la HIPAA a los asociados comerciales y a los proveedores externos del sector sanitario, y la introducción de la norma de notificación de infracciones, que estipulaba que todas las infracciones de la información sanitaria electrónica que afectaran a más de 500 personas debían notificarse a la Oficina de Derechos Civiles del Departamento de Salud y Servicios Humanos. Los criterios para notificar las violaciones de la ePHI se ampliaron posteriormente en la Regla Ómnibus Final de marzo de 2013.
La Regla Ómnibus Final de 2013
El acto legislativo más reciente en la historia de la HIPAA fue la Regla Ómnibus Final de 2013. La regla apenas introdujo ninguna legislación nueva, pero llenó las lagunas de las regulaciones existentes de HIPAA y HITECH – por ejemplo, especificando los estándares de encriptación que deben aplicarse para hacer que la ePHI sea inutilizable, indescifrable e ilegible en caso de una violación.
Se modificaron o agregaron muchas definiciones para aclarar las áreas grises – por ejemplo, la definición de «fuerza de trabajo» se modificó para dejar en claro que el término incluye a los empleados, voluntarios, aprendices y otras personas cuya conducta, en el desempeño del trabajo para una entidad cubierta o un asociado comercial, está bajo el control directo de la entidad cubierta o el asociado comercial.
También se modificaron las normas de privacidad y seguridad para permitir que la información sanitaria de los pacientes se conserve indefinidamente (la legislación anterior estipulaba que se conservara durante cincuenta años), mientras que se incluyeron nuevos procedimientos en la norma de notificación de infracciones. También se aplicaron nuevas sanciones -según lo dictado por HITECH- a las entidades cubiertas que incumplan la norma de aplicación de la HIPAA.
También se incluyeron modificaciones para tener en cuenta los cambios en las prácticas de trabajo provocados por los avances tecnológicos, que abarcan en particular el uso de dispositivos móviles. Un número significativo de profesionales de la salud utilizan ahora sus propios dispositivos móviles para acceder y comunicar la ePHI, y la Regla Omnibus Final incluyó nuevos procedimientos y políticas administrativas para tener en cuenta esto, y para cubrir escenarios que no podrían haber sido previstos en 1996. El texto completo de la Regla Omnibus Final puede encontrarse aquí.
Después de múltiples retrasos, la fecha límite para que los Estados Unidos utilicen la Modificación Clínica ICD-10-CM para la codificación de diagnósticos y el Sistema de Codificación de Procedimientos ICD-10-PCA para la codificación de procedimientos de pacientes hospitalizados se fijó finalmente en el 1 de octubre de 2015. Todas las entidades cubiertas por la HIPAA deben utilizar la CIE-10-CM. Otro requisito son estos de la versión 5010 de EDI.
Fechas clave en la historia de la HIPAA
- Agosto de 1996 – HIPAA firmada como ley por el presidente Bill Clinton.
- Abril de 2003 – Fecha de entrada en vigor de la regla de privacidad de la HIPAA.
- Abril de 2005 – Fecha de entrada en vigor de la regla de seguridad de la HIPAA.
- Marzo de 2006 – Fecha de entrada en vigor de la Regla de Cumplimiento de la HIPAA.
- Septiembre de 2009 – Fecha de entrada en vigor de HITECH y de la Regla de Notificación de Cumplimiento.
- Marzo de 2013 – Fecha de entrada en vigor de la Regla Omnibus Final.
En determinadas circunstancias, se concedió a los EC y BA un período de tiempo para cumplir con las disposiciones de cada Regla. Por ejemplo, aunque la fecha de entrada en vigor de la Regla Omnibus Final era marzo de 2013, los CE y BA disponían de 180 días para cumplirla. Otras fechas clave en la historia de la HIPAA se pueden encontrar en nuestra infografía a continuación.
Consecuencias de la Regla Ómnibus Final
Lo que la Regla Ómnibus Final logró más que cualquier legislación anterior fue hacer que las entidades cubiertas fueran más conscientes de las salvaguardas de la HIPAA que debían cumplir. Muchas organizaciones sanitarias -que habían incumplido la HIPAA durante casi dos décadas- aplicaron una serie de medidas para cumplir la normativa, como el uso de la encriptación de datos en dispositivos portátiles y redes informáticas, la implantación de soluciones de mensajería segura para las comunicaciones internas con los equipos asistenciales, la instalación de filtros web y un mayor cuidado en el archivo de los correos electrónicos de forma segura.
Las sanciones económicas que se imponen ahora por las filtraciones de datos, junto con los colosales costes de emisión de notificaciones de infracción, prestación de servicios de control de crédito y realización de la mitigación de daños, hacen que la inversión en nuevas tecnologías para proteger los datos parezca barata en comparación.
El Programa de Auditoría de Cumplimiento de la HIPAA
En 2011, la Oficina de Derechos Civiles inició una serie de auditorías piloto de cumplimiento para evaluar el grado de aplicación de las normas de privacidad y seguridad de la HIPAA por parte de los proveedores de atención sanitaria. El primer hallazgo de las auditorías se completó en 2012 y puso de manifiesto el pésimo estado del cumplimiento de la asistencia sanitaria.
Las organizaciones auditadas registraron numerosas infracciones de la Regla de Notificación de Infracciones de la HIPAA, la Regla de Privacidad y la Regla de Seguridad, siendo esta última la que dio lugar al mayor número de infracciones. La OCR emitió planes de acción para ayudar a esas organizaciones a lograr el cumplimiento; sin embargo, para la segunda ronda de auditorías no se espera que sea tan indulgente.
Se espera que las auditorías se centren en las áreas específicas que resultaron problemáticas para tantos proveedores de atención médica, mientras que se está planificando un plan de auditoría permanente para garantizar el cumplimiento continuo de la HIPAA. La era de las normas de seguridad laxas ya ha pasado y el sector sanitario, al igual que el financiero antes, debe elevar los estándares para garantizar que los datos confidenciales sigan siendo privados.
Cualquier entidad cubierta que no implemente los controles requeridos se enfrenta a penalizaciones financieras, sanciones, posible pérdida de la licencia e incluso procedimientos penales por no asegurar la ePHI.
Cómo lograr el pleno cumplimiento de la HIPAA
Nuestra «Lista de comprobación del cumplimiento de la HIPAA» abarca los elementos de la Ley de Portabilidad y Responsabilidad de los Seguros Médicos relacionados con el almacenamiento, la transmisión y la eliminación de la información médica electrónica protegida, las medidas que deben tomar las organizaciones en respuesta a una infracción y las políticas y procedimientos que deben adoptarse para lograr el pleno cumplimiento.
La normativa de la HIPAA puede ser estricta, pero las organizaciones cubiertas tienen cierta flexibilidad en cuanto a las salvaguardias de privacidad y seguridad utilizadas para proteger los datos. El cifrado de datos, por ejemplo, debe abordarse pero no necesariamente implementarse si otros controles proporcionan la protección necesaria.
Algunas de las principales salvaguardias técnicas utilizadas para proteger y controlar la ePHI en realidad ayudan a agilizar la comunicación y el flujo de información, y las organizaciones que han adoptado canales de comunicación seguros y han implementado controles de datos se han beneficiado de una mayor eficiencia, tiempos de respuesta más rápidos y han mejorado los resultados de los pacientes, garantizando al mismo tiempo que los datos de salud de los pacientes permanecen totalmente protegidos en todo momento.
Protecciones técnicas para asegurar la ePHI y los identificadores personales
Cifrado de datos
El uso de ordenadores portátiles y otros dispositivos móviles para almacenar o acceder a la ePHI resulta inevitablemente en una infracción de la HIPAA si esos dispositivos se pierden, se roban o se reciclan inadecuadamente. La protección con contraseña de los dispositivos -y de los datos que contienen- es una medida razonable para evitar el acceso no autorizado, pero por sí sola es insuficiente para proporcionar la protección necesaria a los datos sanitarios. Las contraseñas pueden ser fácilmente descifradas por los piratas informáticos y no proporcionan un nivel de seguridad suficientemente alto.
El cifrado de datos implica la conversión de los datos en símbolos indescifrables -denominados texto cifrado- mediante complejos algoritmos, que requieren una clave de seguridad para volver a convertir los datos en su forma original. El cifrado de datos garantiza la privacidad, pero puede ofrecer otras ventajas de seguridad, como la verificación de usuarios, el registro de accesos, la prevención de cambios en los registros y el no repudio de accesos y/o robos.
El nivel de seguridad puede ajustarse según convenga en función de la sensibilidad de los datos que se utiliza para proteger. Los datos pueden encriptarse con una única clave de seguridad de acceso o con claves separadas para el cifrado y el descifrado (cifrado de datos simétrico y asimétrico).
Si se pierde o se roba un dispositivo móvil o si se piratean las redes informáticas, aunque esto se considerará una violación de la seguridad, no sería una infracción de la HIPAA a menos que también se revele la clave de acceso.
Mensajería segura
La industria sanitaria y el localizador parecen casi inseparables, aunque esto está a punto de cambiar. El enfoque en el cumplimiento de la HIPAA se centra actualmente en los teléfonos inteligentes y la tecnología portátil, pero el localizador no cumple con la HIPAA. Todos los dispositivos móviles transmiten datos a través de redes no seguras y, por lo tanto, dependen de que los usuarios no envíen ePHI.
Los esquemas BYOD han sido introducidos ahora por muchos proveedores de atención médica, aunque los dispositivos móviles modernos tienen un potencial aún mayor para causar violaciones de la HIPAA debido a la facilidad con la que se pueden enviar identificadores personales y ePHI. Pueden establecerse políticas y procedimientos para controlar el uso de estos dispositivos, aunque las encuestas sugieren que, en la práctica, muchos profesionales médicos siguen utilizando los dispositivos para comunicar la ePHI.
Las soluciones de mensajería segura evitan esto. Funcionan manteniendo la ePHI en una base de datos segura y permitiendo a los profesionales médicos autorizados acceder a los datos a través de aplicaciones de mensajería segura descargables. Las comunicaciones se canalizan a través de una plataforma de mensajería segura que cuenta con controles administrativos para supervisar la actividad del personal autorizado. También cuentan con oficiales de cumplimiento para elaborar evaluaciones de riesgo, tal y como exigen los auditores de la HIPAA y la Oficina de Derechos Civiles.
Muchas organizaciones sanitarias han informado de que la implantación de soluciones de mensajería segura ha aumentado la productividad al agilizar las comunicaciones, aumentar la responsabilidad de los mensajes y acelerar los tiempos de respuesta. Según estudios realizados en centros médicos que cumplen con la HIPAA, la eficiencia también ha aumentado, lo que ha dado como resultado un mayor nivel de atención sanitaria a los pacientes.
Almacenamiento en la nube conforme
El paso de los registros sanitarios físicos a los formatos de datos electrónicos ha requerido una inversión considerable en infraestructura de TI. Las exigencias impuestas a las organizaciones sanitarias para actualizar continuamente los servidores y las redes, y emplear al personal para gestionar los centros de datos, pueden ser considerables. Además del hardware, hay que dedicar espacio a almacenar el equipo y utilizar controles físicos para controlar el acceso.
El equipo informático que se necesita ahora para hacer funcionar grandes redes y almacenar datos sanitarios requiere la instalación de sistemas de refrigeración para disipar el calor que genera el equipo. La solución más rentable para muchos proveedores de servicios sanitarios es externalizar el almacenamiento de datos y aprovechar la nube para almacenarlos. El alojamiento en la nube que cumple con la HIPAA emplea los controles adecuados para asegurar todos los datos almacenados con encriptación. Mediante la externalización, las organizaciones sanitarias pueden cumplir con la normativa HIPAA sin tener que invertir tanto en infraestructura informática.
Plataformas móviles que cumplen con la normativa (desarrollo de aplicaciones)
Las aplicaciones sanitarias para móviles son muy populares entre los pacientes para el seguimiento y la monitorización de la salud y el estado físico, y los dispositivos wearables tienen potencial para revolucionar la asistencia sanitaria a domicilio. Pueden utilizarse junto con las visitas electrónicas para proporcionar servicios de atención domiciliaria a los pacientes a una fracción de las visitas a los centros de salud.
Los portales de pacientes también tienen un gran potencial y mejoran la interacción entre los proveedores de atención y los pacientes, y reducen los costes innecesarios al tiempo que ayudan a mejorar los resultados de los pacientes. El desarrollo de marcos de aplicaciones móviles que cumplen con la HIPAA, el almacenamiento que cumple con la HIPAA y las soluciones web que cumplen con la HIPAA significa que los proveedores de atención médica pueden aprovechar los beneficios de la nueva tecnología sin poner en peligro la privacidad y la seguridad de los datos de los pacientes.
Sin duda, ahora se están planificando más salvaguardias técnicas para asegurar la ePHI y los identificadores personales, que afectarán a la historia de la HIPAA en el futuro. Mientras tanto, he aquí una breve cronología de la historia de la HIPAA.