Confidencialidad, privacidad y seguridad de la información sanitaria: Equilibrio de intereses

Posted by admin Articles

Escrito por Valerie S. Prater, MBA, RHIA, Clinical Assistant Professor
Biomedical and Health Information Sciences
University of Illinois at Chicago
December 8, 2014

A menudo se utilizan indistintamente tres conceptos importantes y relacionados al hablar de la protección de la información sanitaria dentro del sistema sanitario estadounidense: confidencialidad, privacidad y seguridad. Sin embargo, cada uno de estos conceptos tiene un significado fundamental diferente y una función única.

Lo más frecuente es que nos venga a la mente la «HIPAA» cuando se habla de la privacidad de la información sanitaria; sin embargo, el concepto de confidencialidad del paciente existe desde hace mucho más tiempo. Este artículo explorará brevemente las diferencias en el significado de privacidad, seguridad y confidencialidad de la información sanitaria. Se ofrecerán ejemplos seleccionados de fuentes legales y directrices con respecto a estos conceptos. Se señalarán los retos para equilibrar los intereses de las personas, los proveedores de atención sanitaria y el público, así como el papel de los profesionales de la gestión de la información sanitaria.

Confidencialidad

La confidencialidad en la atención sanitaria se refiere a la obligación de los profesionales que tienen acceso a los registros o a las comunicaciones de los pacientes de mantener esa información en secreto. Arraigado en la confidencialidad de la relación paciente-proveedor que se remonta al siglo IV a.C. y al Juramento de Hipócrates, este concepto es fundacional para las pautas de confidencialidad de los profesionales médicos (McWay, 2010, p. 174). Esta obligación profesional de mantener la confidencialidad de la información sanitaria está respaldada en los códigos deontológicos de las asociaciones profesionales, como puede verse en el principio I del Código Ético de la Asociación Americana de Gestión de la Información Sanitaria, «Abogar, mantener y defender el derecho del individuo a la privacidad y la doctrina de la confidencialidad en el uso y la divulgación de la información» (AHIMA, 2011).

La confidencialidad está reconocida por la ley como una comunicación privilegiada entre dos partes en una relación profesional, como con un paciente y un médico, una enfermera u otro profesional clínico (Brodnik, Rinehart-Thompson, Reynolds, 2012). Como pacientes, hemos llegado a esperar una comunicación confidencial en estas relaciones. Aunque la aplicación en los procedimientos judiciales está sujeta a las normas probatorias y a la consideración de la necesidad pública de información, la jurisprudencia apoya la comunicación privilegiada. Un ejemplo es la histórica decisión del caso Jaffee contra Redmond, en la que el Tribunal Supremo de EE.UU. confirmó la negativa de un terapeuta a revelar información sensible del cliente durante el juicio (Beyer, 2000). Al escribir la opinión mayoritaria, el juez Stevens dijo:

La psicoterapia efectiva… depende de una atmósfera de confianza en la que el paciente esté dispuesto a hacer una revelación franca y completa… El privilegio del psicoterapeuta sirve al interés público al facilitar la provisión de un tratamiento apropiado para los individuos que sufren los efectos de un problema mental o emocional (Jaffee v. Redmond, 1996, p. 9).

Cuando se trata de información sanitaria delicada que requiere niveles especiales de confidencialidad, como ocurre con el tratamiento de la salud mental, los estatutos estatales ofrecen orientación a los profesionales de la gestión de la información sanitaria. En Illinois, por ejemplo, la Ley de Confidencialidad de la Salud Mental y las Discapacidades del Desarrollo ofrece requisitos detallados para el acceso, el uso y la divulgación de la información confidencial de los pacientes, incluso para los procedimientos legales (MHDDCA, 1997).

Privacidad

La privacidad, a diferencia de la confidencialidad, se considera el derecho del cliente o paciente individual a que se le deje en paz y a tomar decisiones sobre cómo se comparte la información personal (Brodnik, 2012). Aunque la Constitución de EE.UU. no especifica un «derecho a la privacidad», los derechos de privacidad con respecto a las decisiones sanitarias individuales y la información de salud se han esbozado en las decisiones judiciales, en los estatutos federales y estatales, en las directrices de las organizaciones de acreditación y en los códigos de ética profesional.

El ejemplo más destacado es la norma federal de privacidad HIPAA, que establece normas nacionales para la protección de la privacidad de la información de salud y define la «información de salud protegida» (HHSa, 2003, p. 1). Uno de los objetivos declarados de la Regla de Privacidad de la HIPAA «…es definir y limitar las circunstancias en las que se puede utilizar o divulgar la información sanitaria protegida de una persona…» (HHSa, 2003, p. 4).

Establecida en virtud de la Ley de Portabilidad y Responsabilidad del Seguro Médico de 1996 (HIPAA), más amplia, tal y como la describe el Departamento de Salud y Servicios Humanos de EE.El Departamento de Salud y Servicios Humanos de EE.UU. (HHS), la Regla de Privacidad, «…establece un equilibrio que permite usos importantes de la información, al tiempo que protege la privacidad de las personas que buscan atención y curación» (HHSa, 2003, p. 1). Las personas disponen de algunos elementos de control, como el derecho a acceder a su propia información sanitaria en la mayoría de los casos y el derecho a solicitar la modificación de la información sanitaria inexacta (HHSa, 2003, pp. 12-13). Sin embargo, en ese intento de lograr un equilibrio, la Regla establece numerosas excepciones al uso y la divulgación de la información sanitaria protegida sin la autorización del paciente, incluso para el tratamiento, el pago, las operaciones de la organización sanitaria y para determinadas actividades de salud pública (HHSa, 2003, págs. 4-7).

Aunque continúa el debate sobre si la Regla de Privacidad de la HIPAA ha reforzado sustancialmente los derechos de privacidad de las personas, no cabe duda de que ha aumentado la concienciación sobre el tema de la privacidad de la información sanitaria, sobre las cuestiones relativas a su protección y sobre el papel del paciente en el proceso. No cabe duda de que las funciones de los profesionales de la gestión de la información sanitaria se han visto afectadas por las responsabilidades de cumplimiento de la Regla de Privacidad de la HIPAA. Al reflexionar sobre el décimo aniversario de la Regla de Privacidad y sus modificaciones más recientes en virtud de la Ley de Tecnología de la Información Sanitaria para la Salud Económica y Clínica (HITECH), Daniel Solove señaló:

La HIPAA ha evolucionado durante la última década y se vio muy reforzada por la Ley HITECH de 2009 y sus reglamentos de modificación de la HIPAA publicados en enero de 2013. Independientemente de lo que uno piense sobre la HIPAA, es difícil discutir que ha tenido un gran impacto en los pacientes, la industria de la salud y muchos otros en los últimos 10 años, y continuará dando forma a los profesionales de la salud y la HIM durante muchos años más. (Solove, 2013)

Incluso antes de que la conversación sobre la privacidad de la asistencia sanitaria estuviera dominada por la HIPAA, una importante decisión del Tribunal Supremo, Whalen contra Roe, reconoció el derecho a la privacidad de la información sanitaria (1977). En este caso se examinó una ley estatal que exigía a los médicos que informaran, para su introducción en una base de datos informatizada del Departamento de Salud de Nueva York, sobre la prescripción de ciertos tipos de medicamentos susceptibles de ser abusados o recetados en exceso; la información incluía el nombre del paciente, del médico y de la farmacia, y la dosis del medicamento (McWay, 2010, p. 176). Un grupo de pacientes y dos asociaciones de médicos presentaron una demanda, alegando que esto violaba la relación protegida entre médico y paciente (Whalen contra Roe, 1977). Al confirmar esta ley, el Tribunal reconoció el interés del individuo en la protección de la privacidad, al tiempo que dio mayor peso al derecho del Estado a abordar una cuestión de interés público; los procedimientos establecidos en el Departamento de Salud para proteger la privacidad de la información también se señalaron como un factor en la decisión (Whalen v. Roe, 1977).

La sentencia del Tribunal Supremo en Whalen v. Roe abordó la noción de interés equilibrado que se vio en la posterior norma de privacidad de la HIPAA. Al decir que «…la divulgación de información médica privada a los médicos, al personal de los hospitales, a las compañías de seguros y a los organismos de salud pública suele ser una parte esencial de la práctica médica moderna», el tribunal no concedió a los individuos el control absoluto sobre el intercambio de su propia información sanitaria (Whalen v. Roe, 1977). Curiosamente, la decisión de Whalen también señaló la creciente preocupación por la recopilación de información privada en formato electrónico, y el papel de las directrices reguladoras. Como afirmaron los jueces:

No ignoramos la amenaza a la intimidad implícita en la acumulación de grandes cantidades de información personal en bancos de datos informatizados….El derecho a recopilar y utilizar esos datos para fines públicos suele ir acompañado de la obligación legal o reglamentaria concomitante de evitar divulgaciones injustificadas (Whalen contra Roe, 1977). Roe, 1977).

Seguridad

La seguridad se refiere directamente a la protección, y específicamente a los medios utilizados para proteger la privacidad de la información sanitaria y apoyar a los profesionales para que mantengan esa información en secreto. El concepto de seguridad se ha aplicado durante mucho tiempo a los registros sanitarios en papel; los archivadores cerrados con llave son un ejemplo sencillo. A medida que crecía el uso de los sistemas de historias clínicas electrónicas y la transmisión de datos sanitarios para apoyar la facturación se convirtió en la norma, se hizo más evidente la necesidad de contar con directrices normativas específicas para la información sanitaria electrónica. La regla de seguridad de la HIPAA proporcionó las primeras normas nacionales de protección de la información sanitaria. Al abordar las salvaguardias técnicas y administrativas, el objetivo declarado de la regla de seguridad de la HIPAA es proteger la información identificable individualmente en formato electrónico -un subconjunto de la información cubierta por la regla de privacidad- al tiempo que permite a los proveedores de atención sanitaria un acceso adecuado a la información y flexibilidad en la adopción de la tecnología (HHS, 2003b). Una vez más, esa noción de equilibrio aparece en la ley: el acceso necesario por parte de los proveedores de asistencia sanitaria frente a la protección de la información sanitaria de los individuos.

Las violaciones de la confidencialidad se enfrentan ahora a sanciones más graves debido a las modificaciones de las normas de privacidad y seguridad de la HIPAA tras la publicación de las disposiciones finales de la Ley HITECH. Al anunciar la publicación de estos cambios, conocidos colectivamente como Regla Ómnibus, la entonces secretaria del HHS, Kathleen Sebelius, reconoció los cambios que han afectado a la atención sanitaria desde la promulgación inicial de la HIPAA: «La nueva regla ayudará a proteger la privacidad de los pacientes y a salvaguardar la información de salud de los pacientes en una era digital en constante expansión» (HHS, 2013).

Conclusión

Las fuentes de la ley y las directrices señaladas aquí son sólo muestras de muchas consideraciones en la confidencialidad, privacidad y seguridad de la información de salud. La gestión de la información sanitaria electrónica presenta retos únicos para el cumplimiento de la normativa, para las consideraciones éticas y, en última instancia, para la calidad de la atención. A medida que se amplía el «uso significativo» del sistema de historia clínica electrónica y se recopilan más datos, como los procedentes de dispositivos sanitarios móviles, ese reto para las organizaciones sanitarias se amplía.

Una respuesta al reto es la gobernanza de la información, descrita como la gestión estratégica de la información de toda la empresa, incluidas las políticas y los procedimientos relacionados con la confidencialidad, la privacidad y la seguridad de la información sanitaria; esto incluye el papel de la administración (Washington, 2010). Los gestores de la información sanitaria están especialmente cualificados para actuar como administradores de la información sanitaria, con una apreciación de los diversos intereses en esa información, y el conocimiento de las leyes y directrices relativas a la confidencialidad, la privacidad y la seguridad. La función del gestor no sólo consiste en garantizar la exactitud e integridad del registro, sino también en proteger su privacidad y seguridad (Washington, 2010).

Todos los que trabajan con información sanitaria -profesionales de la informática y de la gestión de la información sanitaria, clínicos, investigadores, administradores de empresas y otros- tienen la responsabilidad de respetar esa información. Y como pacientes, tenemos derechos de privacidad con respecto a nuestra propia información sanitaria y la expectativa de que nuestra información se mantenga confidencial y protegida. Como ciudadanos, nuestro interés público en la información sanitaria puede prevalecer, como en situaciones relacionadas con la salud pública o la delincuencia. Equilibrar los distintos intereses en la información sanitaria y mantener su confidencialidad, privacidad y seguridad presenta retos continuos e importantes dentro de los sistemas sanitarios y legales de Estados Unidos, así como oportunidades de carrera para los profesionales de la gestión de la información sanitaria.

AHIMA. (2011). Código ético de la Asociación Americana de Gestión de la Información Sanitaria.
http://library.ahima.org/xpedio/groups/public/documents/ahima/bok1_024277.hcsp?dDocName=bok1_024277

Beyer, Karen. (2000). «En primera persona: Habla el terapeuta de Jaffee contra Redmond». American Psychoanalyst,
Volumen 34, no. 3. Recuperado de http://jaffee-redmond.org/articles/beyer.htm

Brodnik, M., L. Rinehart-Thompson y R. Reynolds (2012). Fundamentos de derecho para profesionales de la informática sanitaria
y de la gestión de la información. Chicago: AHIMA Press. Capítulo 1.

Jaffee v. Redmond. 518 U.S. 1; 116 S. Ct. 1923; 135 L. Ed. 2d 337 (1996). LEXIS 3879. Recuperado de
http://www.lexisnexis.com/hottopics/lnacademic.

Ley de Confidencialidad de Salud Mental y Discapacidades del Desarrollo (MHDDCA) (740 ILCS 110). En vigor el 1 de julio de 1997. Asamblea General de Illinois. Recuperado de
http://www.ilga.gov/legislation/ilcs/ilcs3.asp?ActID=2043&ChapAct=740%26nbsp%3BILCS%26n bsp%3B110%2F&ChapterID=57&ChapterName=CIVIL+LIABILITIES&ActName=Mental+Health+and+Development+Disabilities+Confidentiality+Act%2E

McWay, Dana. (2010). Aspectos legales y éticos de la información sanitaria, tercera edición. New York: Cengage Learning. Capítulo 9.

Solove, D. (2013).HIPAA Turns 10. Analizando el impacto pasado, presente y futuro. Journal of AHIMA 84, no.4 (abril de 2013): 22-28.

La Asociación Americana de Psicoanálisis. (2014). Casos emblemáticos. Recuperado de
http://apsa.org/Programs/Advocacy/Landmark_Cases.aspx

Departamento de Salud y Servicios Humanos de los Estados Unidos (HHSa), Oficina de Derechos Civiles. (2003). Resumen de la regla de privacidad de la HIPAA. Recuperado de http://www.hhs.gov/ocr/privacy/hipaa/understanding/summary/privacysummary.pdf

Departamento de Salud y Servicios Humanos de los Estados Unidos (HHSb), Oficina de Derechos Civiles. (2003). Resumen de la regla de seguridad de la HIPAA. Recuperado de http://www.hhs.gov/ocr/privacy/hipaa/understanding/srsummary.html

Departamento de Salud y Servicios Humanos de los Estados Unidos (HHS), Oficina de Derechos Civiles. (2013). Omnibus HIPAA Rulemaking, http://www.hhs.gov/ocr/privacy/hipaa/administrative/omnibus/index.html

Washington, L. (2010). «From Custodian to Steward: Evolving Roles in the E-HIM Transition» (De custodio a administrador: evolución de las funciones en la transición a la informática). (Volume 81, no.5: 42-43).

Whalen v. Roe. 429 U.S. 589; 97 S. Ct. 869; 51 L. Ed. 2d 64 (1977). LEXIS 42. Retrieved from
http://www.lexisnexis.com/hottopics/lnacademic.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.