mbre y mujer sonriente

Ley de Portabilidad y Responsabilidad del Seguro Médico

(HIPAA, por sus siglas en inglés)

¿Qué es la HIPAA?

La Ley de portabilidad y responsabilidad de los seguros médicos de 1996 (21 de agosto), Ley pública 104-191, enmienda el Código del Servicio de Rentas Internas de 1986. También es conocida como la ley Kennedy-Kassebaum.

El Título II incluye la sección "simplificación administrativa", que exige:

  • Mayor eficiencia para dar atención médica mediante la normalización del intercambio de datos electrónicos.
  • La protección de la confidencialidad y la seguridad de los datos de salud mediante el establecimiento y cumplimiento de normas.

La HIPAA exige

  • La normalización de los datos electrónicos financieros, administrativos y de salud del paciente.
  • Identificadores únicos de salud para individuos, empleadores, planes de salud y proveedores de atención médica.
  • Normas de seguridad para proteger la confidencialidad y la integridad de la "información de salud individualmente identificable" pasada, actual o futura.

Resultado: extensos cambios en la mayoría de los sistemas de información administrativa y transacciones de atención médica.

¿A quiénes afecta?

A todas las organizaciones de salud. Esto incluye a todos los proveedores de salud, incluso consultorios de un solo médico, planes de salud, empleadores, autoridades públicas de salud, aseguradoras de vida, centros de intercambio de información, agencias de facturación, proveedores de sistemas de información, organizaciones de servicios y universidades.

¿Cómo seremos afectados?

Amplia y profundamente. Las respuestas de acatamiento no son estándar porque las organizaciones no lo son. Por ejemplo, una organización con una red de computadoras deberá implementar uno o más mecanismos de seguridad de autenticación de accesos—en base al uso, en base al puesto, en base al contexto—dependiendo del tipo de red.

El cumplimiento efectivo exige la implementación en toda la organización.

Los pasos incluyen

  • Crear conciencia inicialmente en la organización sobre la HIPAA.
  • Realizar una evaluación integral de los sistemas de información y de seguridad, las políticas y procedimientos de la organización.
  • Desarrollar un plan de acción con fechas límite y calendarios.
  • Desarrollar una infraestructura técnica y de gestión para implementar el plan.
  • Implementar un plan integral de acción, que incluya desarrollar nuevos procedimientos, procesos y políticas.
  • Establecer acuerdos de "cadena de confianza" con la organización de servicios.
  • Rediseñar la información técnica para que cumpla los requisitos.
  • Adaptar los sistemas de información, o comprarlos nuevos.
  • Desarrollar nuevas comunicaciones internas.
  • Entrenamiento y ejecución.

El próximo nivel de HIPAA, simplificado

Para muchos de nosotros, los detalles específicos pueden causar más confusión que aclaración. Intentemos que la simplificación administrativa, ¡sea simple!

La disposición de simplificación administrativa de la HIPAA consta de cuatro partes, cada una de las cuales ha generado diversas reglas y normas. A finales del año 2000 el VVRMC concretó todas las reglas y normas.

Las cuatro partes de la simplificación administrativa son:

  • Normas para transacciones electrónicas de salud.
  • Identificadores únicos.
  • Normas para firmas electrónicas y de seguridad.
  • Normas de privacidad y confidencialidad.

Normas para las transacciones electrónicas de salud

Las transacciones electrónicas de salud incluyen reclamaciones de salud, elegibilidad, inscripción y baja de planes de salud, pagos por atención y primas de planes de salud, estado de las reclamaciones, primeros informes de lesión, coordinación de beneficios y transacciones relacionadas.

Hoy día los proveedores y planes de salud utilizan muchos formatos electrónicos diferentes. Al implementar un estándar nacional, todos utilizaremos un solo formato, lo cual simplificará y mejorará la eficiencia de las transacciones a nivel nacional. La regla propuesta requiere el uso de formatos electrónicos específicos desarrollados por el Instituto Nacional de Normalización Estadounidense, ANSI (por sus siglas en inglés) para la mayoría de las transacciones excepto los adjuntos de reclamaciones y los primeros informes de lesión. Las regulaciones propuestas para estas excepciones aún no han salido.

Casi todos los planes de salud tendrán que adoptar estas normas, aun si la transacción es en papel o se envía por teléfono o fax. Los proveedores que utilizan transacciones no electrónicas no están obligados a adoptar las normas, aunque, si no lo hacen, deberán contratar los servicios de traducción de un centro de intercambio de información.

Las organizaciones de salud además deben adoptar series de códigos estándar, a usarse en todas las transacciones de salud. Por ejemplo, los sistemas de codificación que describen las enfermedades, lesiones y otros problemas de salud—así como también sus causas, síntomas y acciones realizadas—deberán ser uniformes. Todos los que tomen parte en cualquier transacción deberán utilizar y aceptar la misma codificación. De nuevo, a la larga, con esto se pretende reducir errores, duplicaciones de esfuerzo y costos. Afortunadamente, los conjuntos de códigos propuestos como normas de HIPAA ya los utilizan muchos planes de salud, centros de intercambio de información y proveedores, lo cual debería facilitar la transición.

Identificadores únicos para proveedores, empleadores, planes de salud y pacientes

El sistema actual nos permite tener múltiples números de identificación al tratar entre nosotros, lo cual la HIPAA considera confuso, conducente a errores y costoso. Se espera que los identificadores estándar reduzcan estos problemas.

Seguridad de la información de salud y normas para firmas electrónicas

La regla de seguridad definitiva se publicó el 20 de febrero de 2003 y proporciona un nivel uniforme de protección para toda la información de salud que se guarda o transmite electrónicamente y que pertenece a un individuo. La norma de seguridad exige resguardos para el almacenamiento y mantenimiento físico de la información de salud individual, para transmitirla y para accederla. Se aplica no solo a las transacciones adoptadas bajo la HIPAA sino también a toda la información individual de salud que se mantiene o transmite. Sin embargo, la norma para firmas electrónicas se aplica solamente a las transacciones adoptadas bajo la HIPAA.

La norma de seguridad no requiere que se utilice un tipo de tecnología específica; las soluciones varían de negocio a negocio, según las necesidades y la tecnología que tengan. Además, ninguna transacción adoptada bajo la HIPAA requiere actualmente una firma electrónica.

Privacidad y confidencialidad

El decreto definitivo de privacidad se publicó cuando el presidente Bill Clinton estaba dejando su cargo, el 28 de diciembre de 2000. Una falla imprevista en el papeleo retrasó las notificaciones al congreso, y como el período de Revisión del Congreso no comenzaba hasta febrero, se corrió la fecha de entrada en vigor hasta el 14 de abril del 2001. El secretario del Departamento de Salud y Servicios Humanos (HHS, por sus siglas en inglés) Tommy Thompson utilizó este tiempo durante marzo para solicitar comentarios adicionales. El HHS recibió más de 11,000 comentarios y para emitir lineamientos y aclaraciones de la regla final. A partir del 14 de abril de 2003 se exigió el cumplimiento por parte de la mayoría de las entidades cubiertas.

En general, la privacidad se trata de quién tiene el derecho a acceder a la información de salud que identifica a la persona. La regla abarca toda la información de salud que identifica a la persona en poder de las entidades cubiertas, sin importar si la información está o ha estado en formato electrónico.

Las normas de privacidad:

  • Limitan el uso y la publicación no consensuales de la información privada de salud.
  • Le da a los pacientes nuevos derechos para acceder a sus registros de salud y saber quiénes más los han visto.
  • Restringen la mayoría de las divulgaciones de información de salud al mínimo necesario para el propósito pretendido.
  • Establecen nuevas sanciones penales y civiles para el uso o la divulgación inadecuada.
  • Establecen nuevos requerimientos para que los investigadores y otros accedan a los registros.

Las nuevas regulaciones reflejan los cinco principios básicos descritos en ese momento

  • Control del consumidor: La regulación le da al consumidor nuevos derechos esenciales para la publicación de su información médica.
  • Límites: Con pocas excepciones, la información de salud de una persona debe ser utilizada únicamente con fines de salud, incluyendo tratamientos y pagos.
  • Responsabilidad: Según la HIPAA, por primera vez, habrá penalizaciones federales específicas si se viola el derecho a la privacidad del paciente.
  • Responsabilidad pública: Las nuevas normas reflejan la necesidad de equilibrar la protección de la privacidad con la responsabilidad pública de apoyar las prioridades nacionales, tales como proteger la salud pública, llevar a cabo investigaciones médicas, mejorar la calidad de la atención y luchar contra el fraude y el abuso en la atención médica.
  • Seguridad: Las organizaciones que tienen a su cargo información médica son responsables de protegerla contra su divulgación o mal uso, deliberado o accidental.
Volver arriba