En la edición matutina de Marketplace (NPR Radio), David Brancaccio preguntó a Jeanne Ringel, miembro senior de Rand Corporation -una organización de estudios sobre preparación ante crisis de salud pública que trabaja con el gobierno- si la privacidad de la persona diagnosticada con Ébola estaba en riesgo y si las reglas de HIPPA podían impedir que las organizaciones gubernamentales de salud hicieran un rastreo de los contactos que había tenido esa persona.
Su respuesta fue clara y directa: “No”. 
La experta dijo que HIPAA no impide dicha investigación y si por alguna razón esta ley de privacidad sobre la información de salud y de seguros médicos se interpusiera, el gobierno y sus agencias de salud tienen el poder de levantar esas restricciones por el bien y la salud de la comunidad.
Pero ¿qué es HIPAA?
HIPAA es en inglés “Health Insurance Portability and Accountability Act” o lo que se traduciría en español como “Ley de Portabilidad y Responsabilidad del Seguro de Salud”. Es un conjunto de reglas federales que protegen la información privada de salud de las personas y que está en manos de diferentes entidades y sus asociados.
La idea es que las entidades cubiertas tengan en claro y pongan en práctica procesos y procedimientos administrativos, físicos y técnicos para salvaguardar la confidencialidad, integridad y la disponibilidad electrónica de la información de salud que se está protegiendo.
¿Qué entidades deben cumplir con HIPAA?
Simplemente todo individuo, organización y agencia que quepa dentro de la definición de ‘entidad cubierta’.
Una ‘entidad cubierta’ puede ser:
- Un proveedor de salud: como doctores, clínicas, psicólogos, dentistas, quiroprácticos, farmacias, casas de cuidados (nursing homes). Siempre y cuando estas entidades transmitan cualquier información de manera electrónica en conexión con una transacción, para lo cual el Departamento de Salud de Estados Unidos ha establecido ciertos estándares.
- Un plan de seguro: como una compañía de seguros de salud, HMO’s, planes de salud de empresas, programas del gobierno que pagan por el servicio de salud tales como Medicare, Medicaid y los programas de salud de militares y veteranos.
- Oficinas de Administración de Datos de Servicios de Salud: es decir, cualquier entidad que procese datos no estandarizados de información de salud que reciben de otras entidades que sí procesan datos estandarizados (en formato electrónico).
- Empresas asociadas a cualquiera de las anteriores: cualquier compañía que aunque no preste un servicio de salud o una cobertura de seguros médico pero que trabaje con alguna de las tres categorías anteriores, también deben cumplir con las reglas de seguridad bajo HIPAA.
¿Qué información está protegida?
HIPAA es específicamente una ley que protege la privacidad de la información de salud de las personas. Sus reglas, que son federales (aplican en todo el territorio de Estados Unidos), te dan el derecho sobre tu información de salud y pone límites sobre quiénes pueden ver o recibir esa información ya sea de manera electrónica, escrita u oral.
En un incidente ocurrido en el mes de julio pasado en el Mercy Hospital de Miami, una persona de seguridad impidió que una mamá tomase una foto de su propio hijo mientras estaba en el hospital.
El períodico local Springfield News Leader reportó que la mamá dijo que el guardia aludió a las reglas de HIPAA para impedirle tomar la fotografía.
Lo cierto es que si esa mamá estaba tomando fotos de su propio hijo y de nadie más, el guardia de seguridad recurrió a un argumento equivocado, ya que la única información que HIPAA protege es -según el sitio oficial del Departamento de Salud de Estados Unidos- la siguiente:
- La información que tus doctores, enfermeras y otros cuidadores de salud ponen en tu récord médico.
- Conversaciones que tu doctor tiene con enfermeras y otros cuidadores de salud sobre un tratamiento y otros procedimientos médicos.
- Información sobre ti que está en el sistema computarizado de tu aseguradora de salud.
- Todas las cuentas y facturas de tu caso que maneja la clínica
- Cualquier información sobre tu salud por todas las entidades cubiertas que caen bajo la ley.
¿Quién puede ver tu información de salud?
Para asegurar de que tu información de salud está protegida de manera tal que no interfiera con el cuidado de tu salud, esta información puede ser utilizada y compartida de la siguiente manera:
- Para tu tratamiento y el cuidado de tu condición
- Para pagarle a los doctores y hospitales
- Con tus familiares, amigos y otras personas que tú identifiques específicamente, a menos que tú lo objetes.
- Para asegurar que los doctores cuiden como corresponde a los pacientes y las casas de cuidados de salud (nursing homes) estén limpias y sean seguras.
- Para proteger la salud pública, como por ejemplo reportar sobre brotes de una enfermedad en cierta área.
- Para poder crear reportes policiales, tales como heridas de armas de fuego.
Es decir que en el caso de Thomas Eric Duncan, el primer enfermo de Ébola diagnosticado en el país el martes 30 de setiembre, toda la información brindada sobre su persona -qué hizo, qué tratamiento está recibiendo y si está mejorando o no- es información que HIPAA permite que sea difundida por el bien de la salud pública.
Pero en el caso de la mamá que toma foto de su hijo, si éste es un menor, ella tiene el derecho de hacer uso de dicha información como le parezca sin contravenir por eso las regulaciones de HIPAA.
HIPAA es un derecho para que las personas tengan control sobre su propia información de salud y una obligación de las entidades de salud involucradas de proteger esa información para que nadie haga mal uso de ella.
Sin embargo, en el estudio “Ebola and the Law” (Ébola y la Ley) de la Escuela de Leyes de la Universidad de Emory, bajo cuya jurisdicción se encuentra también el Hospital Emory donde fueron tratados los primeros enfermos de Ébola tratados en Estados Unidos -el doctor Brantley y la enfermera Nancy Writebol- se indica que si bien la Oficina por los Derechos Civiles promueve la Ley de Privacidad HIPAA, “por el otro lado, los profesionales médicos deben reportar los pacientes con ciertas enfermedades contagiosas al Departamento de Salud Pública estatal y al gobierno federal, quienes pueden compartir dicha información con propósitos específicos.
Pero como regla general, las agencias de salud públicas no deberían dar a conocer el nombre de los pacientes o información identificatoria al público en general”.
