HIPAA en el DSHS

Temas en esta página:

Entidades cubiertas | Disposiciones EDI Privacidad Seguridad NPI Sanciones

¿Qué es la HIPAA? 

HIPAA es el acrónimo de la Ley de Portabilidad y Responsabilidad del Seguro Médico de 1996. El objetivo principal de esta ley federal era ayudar a los consumidores a mantener su cobertura de seguro, pero también incluye un conjunto de disposiciones separadas a las que se denomina Simplificación Administrativa. Este apartado de la ley tiene como objetivo mejorar la efectividad y la eficacia del sistema sanitario. Los componentes clave de la Simplificación Administrativa incluyen los siguientes: 

  • Transmisión electrónica estandarizada de transacciones administrativas y financieras comunes (como la facturación y los pagos). 
  • Identificadores sanitarios únicos para individuos, empleadores, planes de salud y proveedores de atención sanitaria. 
  • Normas de privacidad y seguridad para proteger la confidencialidad e integridad de la información sanitaria de identificación personal. 

 

Entidades cubiertas 

Alcance de la normativa HIPAA: 

  • Planes de salud. 
  • Centros de intercambio de información sanitaria (entidades que facilitan las transacciones electrónicas «traduciendo» los datos entre los planes de salud y los proveedores cuando utilizan sistemas de información no compatibles). 
  • Proveedores de atención sanitaria que transmiten información sanitaria en formato electrónico en relación con una o más de las ocho transacciones cubiertas. 

Los socios comerciales de una entidad cubierta no están directamente alcanzados por la normativa, pero los contratos obligatorios que suscriben los obligan a proteger la privacidad de la información de identificación personal. Los organismos gubernamentales nombrados específicamente en la normativa son entidades cubiertas, al igual que los organismos que funcionan como planes de salud o proveedores de atención sanitaria. 

Disposiciones 

  • Intercambio electrónico de datos (EDI, en inglés) 
    • Normas que regulan transacciones 
    • Conjuntos de códigos 
  • Privacidad 
  • Seguridad 
  • Identificadores nacionales estándar 
    • Proveedor 
    • Empleador 
    • Plan de salud 

 

Intercambio electrónico de datos (EDI, en inglés) 

A esta normativa se la conoce como las Normas que Regulan Transacciones para Conjuntos de Códigos. Las normas definitivas para el EDI y los conjuntos de códigos se implementaron el 16 de octubre de 2003. Varias de las normas que regulan las transacciones están aún en revisión y no han sido publicadas.
 

 

El objetivo de estas normas es estandarizar el intercambio electrónico de información (transacciones) entre socios comerciales. Estas transacciones deben realizarse obligatoriamente en el formato ANSI ASC X12 versión 4010. Las transacciones cubiertas incluyen las siguientes: 

  • 270 = Consulta de elegibilidad 
  • 271 = Consulta y respuesta 
  • 276 = Consulta sobre el estado de la reclamación 
  • 277 = Consulta sobre el estado de la reclamación y respuesta 
  • 278 = Solicitud de autorización y respuesta de autorización 
  • 820 = Pago de la prima del seguro médico 
  • 834 = Inscripción de beneficiarios 
  • 835 = Remesa/pago 
  • 837 = Reclamación o encuentro 

La normativa sobre conjuntos de códigos de la HIPAA establece un estándar uniforme de elementos de datos utilizados para documentar las razones por las que se atiende a los pacientes y los procedimientos realizados durante los encuentros de atención sanitaria. Los conjuntos de códigos que deben utilizarse según la HIPAA son los siguientes: 

  • Diagnósticos - CIE 9 
  • Procedimientos - CPT 4, CDT 
  • Suministros/dispositivos - HCPCS 
  • Datos clínicos adicionales - Nivel de salud siete (HL7) 

La HIPAA especificó los códigos administrativos que deben utilizarse junto con determinadas transacciones y eliminó los códigos locales de cada estado. 

 

Privacidad 

Estas regulaciones establecen normas para proteger la información sanitaria de identificación personal y para garantizar el derecho de las personas a tener un mayor control sobre dicha información. Las normas de privacidad de la HIPAA entraron en vigor el 14 de abril de 2003. 

 

Las normas de privacidad definen los derechos de los individuos y las normas de seguridad definen el proceso y la tecnología necesarios para garantizar dicha privacidad. 

 

Seguridad 

Estas regulaciones establecen normas relativas a la seguridad de la información médica protegida (PHI, en inglés) en formato electrónico. Las normas de seguridad de la HIPAA entraron en vigencia el 21 de abril de 2005 para todos los planes de salud, excepto los pequeños (que debieron cumplirlas antes del 20 de abril de 2006). 

 

La normativa final adopta normas para garantizar la seguridad de la información médica protegida electrónicamente (e-PHI, en inglés). Estas normas se organizan en las siguientes tres categorías de alto nivel: 

 

  • Las protecciones administrativas incluyen políticas, procedimientos y prácticas que guían la gestión de la seguridad y la autorización/revocación del acceso a la información, la planificación de contingencias y la capacitación. El cumplimiento de estas normas se garantiza a través de la aplicación de sanciones, y se dirigen, en gran medida, al personal de la entidad cubierta. 
  • Las protecciones físicas incluyen medidas que minimizan el acceso físico a la información dentro de edificios, pisos, departamentos, oficinas y escritorios. Estas protecciones se refieren a puertas, cerraduras, acceso con tarjeta de identificación, ubicación de puestos de trabajo (ocultos a la vista del público) y controles de los medios de comunicación (por ejemplo, la ubicación de las cintas de copia de seguridad). 
  • Las protecciones técnicas incluyen restricciones al acceso a la información electrónica a determinados usuarios o grupos de usuarios, la inclusión de diferentes niveles de derechos de acceso al software y el seguimiento de accesos mediante controles de auditoría. 

 

Identificadores de Proveedores Nacionales (NPI, en inglés) 

Esta normativa establece el identificador sanitario único estándar para los proveedores de atención sanitaria con el fin de simplificar los procesos administrativos, como las derivaciones y la facturación, mejorar la precisión de los datos y reducir costos. El Reglamento Final se publicó el 23 de enero de 2004. 

Los proveedores de atención sanitaria comenzaron a solicitar el NPI en la fecha de entrada en vigor del Reglamento Final, que fue el 23 de mayo de 2005. Todos los proveedores de atención sanitaria pueden recibir un NPI; los proveedores de atención sanitaria que sean entidades cubiertas deben obtener un NPI y utilizarlo. 

Todas las entidades cubiertas por la HIPAA deben utilizar el NPI en las fechas de cumplimiento: 

 

  • El 23 de mayo de 2007 para todos los planes de salud, excepto los pequeños. 
  • El 23 de mayo de 2008 para los pequeños planes de salud. 

 

Sanciones por incumplimiento de la HIPAA 

La legislación conlleva fuertes sanciones civiles y penales en caso de incumplimiento. La Oficina de Derechos Civiles del DHHS de los EE. UU. aplicará sanciones civiles que pueden incluir penas desde 100 dólares por infracción hasta 25.000 dólares por año natural. El Departamento de Justicia de los EE. UU. aplicará sanciones penales que pueden incluir hasta 10 años de prisión y una multa de 250.000 dólares.