Algunos de los datos más delicados del mundo -nuestro historial de recetas, registros médicos, historial sexual, información sobre el uso de medicamentos, etc.- están entrando en el mundo digital. La digitalización de los historiales médicos se vende como una oportunidad para revolucionar la asistencia sanitaria. Pero aunque los historiales médicos digitales tienen seguramente ventajas especiales, esta innovación tecnológica también tiene enormes ramificaciones para nuestra privacidad.
El proyecto de privacidad médica de la FEF examina los problemas emergentes de la privacidad médica, analizando cómo el retraso de las leyes de privacidad médica y el rápido avance de la innovación tecnológica dejan a los pacientes vulnerables a que sus datos médicos sean expuestos, abusados o malinterpretados.
Todos queremos que nuestra información médica sea privada, porque creemos que debe ser algo que quede entre nosotros y nuestros proveedores de atención médica. Por desgracia, a menudo no es así.
Muchos datos sanitarios personales circulan sólo en el proceso de proporcionar y pagar tratamientos y recetas. Los informes obligatorios -por ejemplo, con fines de salud pública- acumulan un enorme volumen de información sanitaria identificable. Y todos, sin pensarlo, damos mucha información sobre nuestra salud de forma voluntaria o para recibir un beneficio percibido: publicando en Internet sobre una enfermedad o dolencia, utilizando un motor de búsqueda para buscar información sobre la gripe, solicitando un trabajo, apuntándose a un gimnasio y actuando de muchas otras formas.
Las leyes de privacidad de la salud
Estados Unidos no tiene una ley universal de privacidad de la información que sea comparable, por ejemplo, a la Directiva de Protección de Datos de la UE. Las leyes que existen son específicas de cada sector y varían considerablemente. La ley de referencia para la información sanitaria es la Health Insurance Portability and Accountability Act (HIPAA). La HIPAA ofrece algunos derechos a los pacientes, pero está muy limitada porque sólo se aplica a una entidad si es lo que la ley considera una «entidad cubierta» -es decir, un proveedor de servicios sanitarios, un plan de salud o un centro de intercambio de información sanitaria- o un asociado comercial relevante (BA). Esto significa que la HIPAA no se aplica a muchas entidades que pueden recibir información médica, como una aplicación en su teléfono móvil o un servicio de pruebas genéticas como 23andme.
En realidad, la HIPAA es una ley de regulación de la divulgación, no una ley de privacidad: Regula cómo se puede revelar su información médica, tanto con como sin su consentimiento. No es necesario el consentimiento para el tratamiento, el pago o las operaciones de atención sanitaria. Por ejemplo, su médico puede consultar con otro médico sobre su última lesión sin obtener su consentimiento porque eso forma parte del tratamiento de su lesión.
La información médica individual también puede ser revelada sin su consentimiento para la presentación de informes de salud pública, para ayudar a la aplicación de la ley, y para fines judiciales y administrativos, o para determinar su elegibilidad para los beneficios y servicios. También puede divulgarse de manera que usted no pueda enterarse con fines de seguridad nacional.
Los estados también pueden proteger la privacidad médica. Como ley federal, la HIPAA establece un «piso» nacional, pero permite a los estados tener protecciones más fuertes de la privacidad del paciente. La ley de California en algunas áreas es más fuerte que la HIPAA.
Para entender temas específicos relacionados con la privacidad médica, es útil conocer el mosaico de leyes estatales y federales que se aplican a la información médica. Lea nuestra guía sobre la ley de privacidad médica.
¿Qué información hay en los registros médicos?
La información médica y no médica que se recoge y comparte en los registros médicos incluye:
- Datos demográficos básicos como dirección, número(s) de teléfono, dirección de correo electrónico, edad, sexo y raza.
- Nombre completo y número de cuenta y, a veces, número de la Seguridad Social. El uso de los números de la Seguridad Social está desaconsejado por el riesgo de robo de identidad. Por ello, algunos proveedores de servicios sanitarios, aunque no todos, utilizan ahora un número de identificación asignado al paciente, en lugar de un número de la Seguridad Social.
- Historia médica: diagnósticos, tratamientos, resultados de pruebas diagnósticas y recetas, junto con afecciones médicas conocidas, alergias y hábitos de consumo de drogas/alcohol/tabaco.
- Información sobre la facturación y los pagos.
- Información que proporciona en los formularios de admisión sobre sus familiares directos, incluidos los antecedentes de ciertas enfermedades, como el cáncer o la diabetes.
¿Cuándo la información médica no está cubierta por la HIPAA?
En muchas situaciones, las entidades que no están cubiertas por la HIPAA tienen información médica. A veces se aplican otras leyes de privacidad a esas entidades, otras veces no.
La información médica, si no se trata de registros completos, llega a los registros financieros; por ejemplo, cuando se pagan las recetas o el tratamiento psiquiátrico con una tarjeta de crédito. Los expedientes escolares pueden contener registros de exámenes físicos, evaluaciones de comportamiento o tratamiento de lesiones deportivas; esta información suele estar cubierta por la ley FERPA (Family Educational Rights and Privacy Act). Los registros laborales también pueden contener información sobre la salud.
También está el sumidero digital de información que cedemos voluntariamente. Puede tratarse de información identificable en las redes sociales, sitios web y grupos de chat relacionados con la salud, o aplicaciones móviles de salud y fitness. También puede ser información de seguimiento desidentificada que todos los sitios web recogen y que pueden combinar con otros datos para hacerlos identificables.
¿Quién tiene acceso a su historial médico?
Muchos organismos y organizaciones tienen acceso legal a la información médica en virtud de la HIPAA y muchas otras leyes. Para empezar, las aseguradoras suelen tener acceso, no sólo a los planes de salud, sino a los seguros de vida, de asistencia a largo plazo y a los seguros de automóviles con reembolso médico por lesiones. Numerosas agencias gubernamentales también tienen acceso, incluyendo Medicare, Medicaid, Seguridad Social por Incapacidad, Compensación Laboral, departamentos de salud pública estatales y federales… la lista continúa.
Además, la Oficina de Información Médica (MIB) recopila todos los registros médicos que usted debe entregar cuando solicita un seguro. Sin embargo, a partir de 2014, la Ley de Asistencia Asequible (ACA) eliminará el uso de las condiciones preexistentes como factor para obtener un seguro de salud, por lo que los pacientes no tendrán que entregar los registros médicos como parte del proceso de solicitud. Estos registros ayudan a las aseguradoras a verificar que se ha rellenado la solicitud con veracidad.
También existen los Gestores de Beneficios Farmacéuticos (PBM), que administran los programas de beneficios de medicamentos para los planes de salud. Los PBM tienen todo su historial de prescripción -medicamentos, fechas, dosis y quién los recetó- porque parte de su función es comprobar su elegibilidad y obtener la aprobación de su medicación. También venden información desidentificada (no cubierta por la HIPAA porque se ha eliminado la información personal identificable) a los mineros de datos, que la revenden empaquetada como diferentes tipos de informes.
Los empleadores tienen acceso a la información de salud en las verificaciones de antecedentes cuando usted solicita un trabajo, aunque se supone que primero deben obtener su permiso por escrito. Si gestionan o contratan programas de bienestar para los empleados, pueden tener acceso a información sobre si haces ejercicio o pierdes peso, si realmente has dejado de fumar o si estás consiguiendo controlar tu problema de control de la ira.
Como se mencionó anteriormente, existen excepciones estándar al consentimiento para acceder a los registros médicos para la aplicación de la ley, así como excepciones para los procesos judiciales y administrativos. La información obtenida con fines de seguridad nacional es más misteriosa, y es poco probable que usted sepa que sus registros han sido revelados a menos que sea lo suficientemente desafortunado como para encontrarse sujeto a un proceso gubernamental.
Otra área fuera de los límites de la normativa en la que la gente da información médica es en los exámenes de salud informales, en las ferias de salud, y a través de los programas de vacunas administrados comercialmente (como las vacunas contra la gripe en Costco o las vacunas contra el herpes zóster en Walgreen’s).
Resumen: ¿Quién puede tener acceso a su información médica?
Seguro de vida
Seguro de coche
Seguro de incapacidad a largo plazo
Empresas
Oficina de información médica
Administradores de beneficios farmacéuticos
Agencias gubernamentales, como Medicare, Medicaid, Seguridad Social por incapacidad, Workers Comp
Departamento de salud pública estatal y federal
Entidades de seguridad nacional
¿Qué derechos o control tiene usted sobre su información médica?
Usted está al final de la fila cuando se trata de opinar sobre lo que ocurre con su información médica personal, pero tiene algunos derechos.
Debe recibir un aviso de prácticas de privacidad (NPP) que le informe de cómo los proveedores utilizan su información (lo que significa que no tiene elección) y cuáles son sus derechos. Un proveedor necesita su autorización por escrito para divulgar información sobre ETS, tratamiento de abuso de sustancias y notas de psicoterapia. También es necesaria la autorización por escrito para cualquier tipo de marketing que no sea el de los recordatorios de recetas. Puede pedir y recibir copias de sus registros y solicitar correcciones. Si usted paga su propio tratamiento y pide a un proveedor que no revele la información a una aseguradora, ésta no puede ser revelada.
Además, la información médica puede quedar expuesta en una filtración de datos, ya sea por la negligencia de un proveedor de servicios sanitarios, por los actos de un hacker malintencionado o por algún otro medio. Entre 2005 y 2013, la Privacy Rights Clearinghouse recopiló informes de 1.118 violaciones de datos médicos que potencialmente expusieron más de 29.000.000 de registros sensibles. En algunos casos, las violaciones de los registros médicos también pueden dar lugar a importantes multas. El gobierno federal también publica ahora información sobre la violación de datos médicos, que incluye una estimación del número de personas afectadas.
Las políticas para compartir la información sanitaria por vía electrónica aún no están establecidas, pero la norma parece ser que no se requiere ningún consentimiento adicional más allá del supuesto consentimiento de la HIPAA para el tratamiento, el pago y las operaciones de atención médica para poner sus registros médicos en el flujo de datos digitales.
Lea más sobre la ley de privacidad médica.
Recursos y blogs:
CalOHII (California Office of Health Information Integrity) tiene una sección útil y bien organizada sobre las leyes y reglamentos federales y de California relativos a la privacidad de la información médica.
California Health Information Law Identification (CHILI) CHILI es una herramienta de búsqueda que ayuda a identificar los estatutos y reglamentos de California relacionados con la privacidad, el acceso y la seguridad de la información sanitaria identificable individualmente.
Oficina del Fiscal General de California (para acceder a todos los enlaces de las leyes de privacidad de California)
Proyecto de Privacidad Sanitaria del Centro para la Democracia y la Tecnología
Consejo de Ciudadanos para la Libertad Sanitaria
Consejo para la Genética Responsable
Departamento de Salud y Servicios Humanos y Departamento de Educación: Guía conjunta sobre la aplicación de la Ley de Derechos Educativos y Privacidad de la Familia (FERPA) y la Ley de Portabilidad y Responsabilidad del Seguro Médico de 1996 (HIPAA) a los registros de salud de los estudiantes. (para saber cómo interactúan la FERPA y la HIPAA)
Genetic Alliance
GeneWatch UK
Genomic Law Report
HealthLawProf Blog
Indiana University Center for Bioethics Newborn Blood Spot Banking: Aproximaciones al consentimiento – PredictER Law and Policy Update
Base de datos del estatuto y la legislación sobre el genoma del Instituto Nacional de Investigación del Genoma Humano
Derechos de privacidad del paciente
Proyecto de privacidad médica del Centro de Intercambio de Derechos de Privacidad
La Oficina del Canciller de la UC Berkeley tiene un buen resumen de la Ley de prácticas de información.
Guía del paciente de la HIPAA del Foro Mundial de la Privacidad