La Ley de Portabilidad y Responsabilidad de los Seguros Sanitarios (HIPAA) de 1996 es complicada. Su texto consolidado tiene más de cien páginas y abarca muchos temas. Por supuesto, la privacidad es uno de ellos, pero no el único: hay normas sobre estándares técnicos para historiales médicos, derechos a la portabilidad de datos, etcétera.
Como el texto es tan complicado, puede resultar difícil entender algunas de las normas básicas establecidas en la HIPAA. Esto incluye la propia definición de información sanitaria protegida (PHI). Estamos aquí para ayudarle.
¿Qué es la PHI?
La información sanitariaprotegida -típicamente denominada PHI- es exactamente lo que pone en la lata: información sanitaria protegida por la HIPAA.
Esto puede parecer trivial, pero no lo es. La HIPAA es una ley sectorial que regula a los proveedores sanitarios y a intermediarios como los proveedores de pago. Indica a estas entidades lo que pueden y no pueden hacer con la información médica, pero no ofrece una protección general de los datos médicos, lo que significa que otras entidades pueden procesar dicha información sin estar obligadas por la HIPAA.
En otras palabras, la HIPAA sólo se aplica a determinados datos y empresas. Esto se refleja en la forma tan complicada en que se define legalmente la PHI.
¿Cómo se define la PHI?
La definición de PHI combina tres requisitos distintos y acumulativos:
- se refiere al estado de salud de una persona o a la prestación de asistencia sanitaria (= es información sanitaria)
- se refiere a una persona identificable (= es información de identificación personal)
- ha sido creada por un proveedor de asistencia sanitaria u otra entidad cubierta por la HIPAA.
Primer requisito: información sanitaria
La HIPAA sólo cubre la información relacionada con el estado de salud de una persona o la prestación de asistencia sanitaria. Por ejemplo, podría tratarse del diagnóstico de una enfermedad, de un tratamiento médico que se ha dispensado o del hecho de que se ha concertado una cita con un profesional médico.
Segundo requisito: relativa a una persona identificada
Toda la PHI es información identificable. Es decir: identifica directamente a una persona o puede utilizarse razonablemente para identificarla. Esto significa que incluye identificadores como el nombre, la dirección, el correo electrónico o identificadores únicos (como los que suelen encontrarse en las cookies de seguimiento).
El tercer requisito: recogidos por una entidad cubierta por la HIPAA
Los datos sólo entran en el ámbito de aplicación de la HIPAA cuando los recoge una entidad que a su vez está cubierta por la ley. Aunque resulte contraintuitivo, exactamente los mismos datos pueden ser PHI o no, dependiendo de su procedencia.
Entonces, ¿quién está cubierto por la HIPAA?
- los proveedores de asistencia sanitaria, como hospitales, médicos individuales y farmacias
- planes de seguro médico
- centros de intercambio de datos sanitarios, es decir, intermediarios de datos sanitarios. En ocasiones, esto incluye también a los proveedores de servicios de pago.
¿Por qué es importante?
La HIPAA contiene un conjunto de normas denominadas colectivamente " Regla de Privacidad". Estas reglas establecen normas de privacidad y seguridad relativas a la PHI, incluidas estrictas limitaciones de divulgación.
Las normas sobre limitación de la divulgación son bastante complejas, pero simplificando mucho:
- las entidades cubiertas por la HIPAA siempre pueden divulgar la PHI cuando sea necesario para prestar asistencia, para el funcionamiento del sistema sanitario o en otros supuestos específicos (por ejemplo, porque una ley les obligue a hacerlo)
- todas las demás divulgaciones requieren la autorización por escrito del interesado.
Por ejemplo, un hospital puede remitir la información sobre el tratamiento a su plan de seguros con fines de facturación o enviarla a su nuevo hospital para que los profesionales médicos puedan evaluar mejor el tratamiento posterior. Por otro lado, no pueden vender sus datos a intermediarios de datos ni divulgarlos a terceros con fines de marketing a menos que usted les autorice a hacerlo.
Entender qué datos son y qué datos no son PHI es crucial. Si usted está cubierto por la HIPAA, esto no significa que todos los datos que controla sean PHI. Así que el primer paso para cumplir con la HIPAA es entender exactamente a qué datos se aplica la PHI y a cuáles no.
Por ejemplo, los hospitales necesitan procesar información de identificación personal sobre sus empleados para pagar salarios, pero la HIPAA no cubre estos datos porque no están relacionados con la asistencia sanitaria.
No todos los casos son claros, pero siempre se aplican las mismas reglas: la información sólo es PHI si es personalmente identificable, está relacionada con la salud o la asistencia sanitaria y ha sido recopilada por una entidad cubierta por la HIPAA.
¿Es importante la HIPAA para la analítica web?
Sí, es importante. Los servicios de análisis web que se basan en cookies y otros mecanismos de seguimiento pueden dar lugar a la divulgación involuntaria de PHI, por lo que una entidad cubierta por la HIPAA puede ser considerada responsable. El HHS también establece claramente que los banners de cookies no cuentan como una autorización válida en virtud de la HIPAA.
Esto no significa que no pueda implantar herramientas analíticas basadas en el seguimiento de una forma que cumpla la HIPAA. Todavía puede hacerlo si evalúa cuidadosamente el contenido de sus páginas web y desactiva cualquier forma de seguimiento siempre que pueda dar lugar a una divulgación no autorizada de PHI.
Pero esto es engorroso, requiere cierto grado de conocimientos jurídicos y puede dar lugar a que numerosas páginas de su sitio web queden totalmente excluidas de sus análisis.
Reflexiones finales
Es importante saber si está o no cubierto por la HIPAA y si maneja información médica protegida. Si es así, debe tomar las medidas adecuadas para cumplirla, lo que también afecta a prácticas empresariales como el seguimiento de sitios web.
¿Por qué nos importa? Hemos creado Simple Analy tics precisamente por este motivo. Se trata de una alternativa a Google Analytics respetuosa con la privacidad que se basa exclusivamente en datos no personales para proporcionarle toda la información que necesita sobre el rendimiento de sus sitios web y campañas de marketing.
Creemos en un Internet respetuoso con la privacidad y no utilizamos cookies, huellas digitales ni ninguna otra tecnología de seguimiento para espiar a sus visitantes.
Si usted también cree en un Internet respetuoso con la privacidad, o si simplemente está cansado de lidiar con la HIPAA y sus quebraderos de cabeza en materia de cumplimiento, ¡no dude en darnos una oportunidad!