En nuestros posts anteriores, hemos hablado de la historia de la HIPAA, la Ley de Portabilidad y Accesibilidad de los Seguros Médicos. Como hemos mencionado antes, la HIPAA es un conjunto de legislación que se desglosa en cinco «títulos», cada uno de los cuales cubre un tema diferente. De ellos, el Título II es el que probablemente le resulte más familiar, ya que cubre la privacidad. Sin embargo, al profundizar en el Título II de la HIPAA se descubre que trata mucho más que la privacidad y, de hecho, podría decirse que es el más amplio de todos los títulos.
Desglose del Título II de la HIPAA
Dentro del Título II de la HIPAA encontrará cinco normas:
- Regla de Privacidad
- Regla de Transacciones y Conjuntos de Códigos
- Regla de Seguridad
- Regla de Identificadores Únicos
- Regla de Aplicación
Cada una de ellas se desglosa a su vez para cubrir sus distintas partes. Para el propósito de este post, vamos a centrarnos en las secciones menos conocidas del Título II, pero contar la historia completa requiere que hablemos también de la privacidad.
Es útil pensar en el Título II como si la primera sección fuera el objetivo general: prevenir el fraude y el abuso en la atención sanitaria. Si se da un paso atrás y se observa la totalidad del Título II, cada parte se ajusta a la prevención del fraude, y las piezas que podrían parecer dispares se vuelven a contextualizar.
Regla de Privacidad
La mayor parte de la Regla de Privacidad cubre la información sanitaria protegida (PHI). En la mayoría de los casos, está claro qué puede y qué no puede compartirse, y con quién. Una consecuencia no deseada de la Regla de Privacidad es que algunos centros son, de hecho, demasiado restrictivos en sus interpretaciones. Dicho esto, se aconseja errar por el lado de la precaución debido a las graves consecuencias que se establecen en la Regla de Aplicación.
Es fácil perderse en la proverbial maleza de la Regla de Privacidad, así que no nos aventuraremos demasiado por este camino. A modo de resumen, lo que hay que saber es que el consentimiento y la divulgación son claves, y que el uso de la PHI está restringido a seis áreas:
- Cuando se revela al individuo
- Para el tratamiento, el pago y las operaciones
- Cuando se da el permiso
- Cuando se utiliza incidentalmente
- En beneficio del interés público
- Cuando se ha eliminado la información de identificación personal
Un par de ellos podría levantar banderas rojas, así que vamos a hablar de ellos. La primera es la excepción que permite el «uso incidental». Esto se define como una divulgación que ocurre como un incidente a un uso permitido. El HHS da un ejemplo, citado aquí:
un visitante del hospital puede escuchar una conversación confidencial de un proveedor con otro proveedor o con un paciente, o puede vislumbrar la información de un paciente en una hoja de registro o en la pizarra de la estación de enfermería. La regla de privacidad de la HIPAA no pretende impedir estas comunicaciones y prácticas habituales y esenciales y, por lo tanto, no exige que se elimine todo riesgo de uso o divulgación incidental para satisfacer sus normas.
La otra excepción es la del interés público, y no se toma a la ligera. El interés público está estrictamente definido por 12 normas, entre ellas las requeridas por la ley, las víctimas de abusos y los fines policiales. Baste decir que la excepción de interés público no facilita el uso de la IPS.
De nuevo, podríamos profundizar en la Regla de Privacidad, pero lo esencial de las cosas ya se entiende bien, así que no quiero pasar demasiado tiempo aquí.
Regla de Transacciones y Conjuntos de Códigos
Aquí es donde las cosas se ponen realmente interesantes, especialmente para nosotros en Elegible. En primer lugar, vamos a volver a la comprensión de que todas las áreas del Título II se centran en la prevención del fraude y el abuso. Uno de los objetivos de la HIPAA es hacer que el sistema sanitario de Estados Unidos sea más eficiente y, a su vez, más seguro. La eficiencia requiere estandarización, y eso es lo que cubre la Regla de Transacciones y Conjunto de Códigos. Antes de la HIPAA, cada transacción requería papeleo o llamadas telefónicas. Después de la HIPAA, toda esta información puede transferirse electrónicamente.
Según la AMA, este conjunto de reglas fue en realidad solicitado por la industria de la salud con el fin de ayudar a lidiar con el «gasto adicional de la facturación de los individuos para la continuación de la cobertura.» La lógica que rodea la solicitud tiene que ver con las formas en que la información del paciente debe ser creada, mantenida y almacenada en un paisaje digital. Además, con el paso a las historias clínicas electrónicas, era importante tener métodos estandarizados para estos datos.
La totalidad de las transacciones y conjuntos de códigos es demasiado compleja para que podamos desglosarla aquí. Así que para el propósito de este post, esto es lo que usted necesita saber:
Todo, desde los primeros informes de lesiones a la elegibilidad del paciente y una solicitud de estado de la reclamación se da un tipo de transacción única con un número correspondiente. Por ejemplo, si ha visto 270/271, esos son los códigos para una solicitud de elegibilidad y una respuesta a esa solicitud. Cada uno de estos tipos de transacción fue formalizado por el Comité de Estándares Acreditados X12 del Instituto Nacional de Estándares Americano (ANSI ASC X12, o simplemente X12).
Si una entidad está cubierta por la HIPAA (y la mayoría lo está), está obligada a utilizar el X12 EDI para las transacciones electrónicas.
Regla de Seguridad
Probablemente es más fácil pensar en la Regla de Seguridad en relación con la Regla de Privacidad. Mientras que la Regla de Privacidad afectaba a todas las formas de PHI, la Regla de Seguridad se refiere específicamente a la PHI electrónica (ePHI). Establece los requisitos para las salvaguardias que deben estar en su lugar si una entidad cubierta por la HIPAA opta por utilizar la ePHI.
Estas salvaguardias se dividen en tres áreas:
- Administrativa
- Física
- Técnica
Dentro de estas áreas, hay detalles para los pasos que debe tomar una entidad cubierta. Por ejemplo, las salvaguardias administrativas exigen que existan procedimientos de privacidad por escrito que cubran la autorización, el establecimiento, la modificación y la terminación. Las salvaguardias físicas requieren controles de acceso como planes de seguridad, registros de mantenimiento y escoltas para los visitantes. Por último, las salvaguardias técnicas establecen requisitos para el uso de sumas de comprobación, cifrado y documentación.
Regla de los identificadores únicos
Probablemente ya haya oído hablar de los NPI. El Identificador Nacional de Proveedores es una cadena alfanumérica de 10 dígitos que es única para cada entidad cubierta por la HIPAA. No sustituye al número DEA, al número de identificación fiscal ni a ningún otro identificador, y no puede contener ninguna información. Sin embargo, debe existir para que una entidad cubierta por la HIPAA pueda procesar y manejar la PHI.
Regla de aplicación
Así que ahora que hemos expuesto todos los requisitos que se establecen en el Título II, ¿qué ocurre si se incumplen? Ahí es donde entra en juego la norma de aplicación. En lugar de limitarse a decir que una infracción conllevará una multa específica, la Norma de Aplicación establece procedimientos para las investigaciones, las sanciones y las audiencias.
De acuerdo con la Norma de Aplicación, las multas van de 100 a 250.000 dólares y varían en función de la gravedad de la infracción. También hay una designación entre las infracciones que se producen accidentalmente y las que se hacen a sabiendas. Como se puede deducir, la multa de 100 dólares se produciría cuando una persona infringe la HIPAA por error, mientras que las multas más elevadas se reservan para las infracciones que tienen la intención de vender o transferir la PHI para uso comercial, beneficio personal o daño malintencionado.
Basta decir que el Título II es un enorme conjunto de normas y abarca una amplia gama de temas. Pero si nos centramos en la idea de que todas sus partes están destinadas a prevenir el fraude y el abuso, podemos comprender mejor su funcionamiento.