La «P» de HIPAA no significa privacidad. Es una de las primeras cosas que dirán muchos expertos cuando se les pida que aclaren cualquier idea errónea sobre la ley de datos sanitarios. En cambio, significa portabilidad (se llama Ley de Responsabilidad y Portabilidad del Seguro Médico) y describe cómo se puede transferir información entre proveedores. Dado que las interpretaciones erróneas de HIPAA comienzan solo con su nombre, los malentendidos sobre lo que realmente hace la ley afectan en gran medida nuestra capacidad para reconocer cómo los tipos de datos entran y no entran dentro de su alcance. Esto es especialmente cierto a medida que un número creciente de dispositivos y servicios tecnológicos de consumo recopilan gran cantidad de información relacionada con nuestra salud.
A menudo consideramos a HIPAA como una parte de la legislación de privacidad de datos del consumidor porque ordenó al Departamento de Salud y Servicios Humanos que elaborara ciertas disposiciones de seguridad, como regulaciones de notificación de incumplimiento y protección de información de identificación individual. Pero cuando la HIPAA entró en vigor en la década de 1990, su objetivo principal era mejorar la forma en que los proveedores trabajaban con las compañías de seguros. En pocas palabras, “la gente piensa que HIPAA cubre más de lo que realmente cubre”, dijo Daniel Solove, profesor de la Universidad George Washington y director ejecutivo de la firma de capacitación en privacidad TeachPrivacy.
HIPAA tiene dos grandes restricciones en su alcance: un conjunto limitado de entidades cubiertas y un conjunto limitado de datos cubiertos, según Cobun Zweifel-Keegan, director general de DC de la Asociación Internacional de Profesionales de la Privacidad. Las entidades cubiertas incluyen proveedores de atención médica, como médicos, y planes de salud, como compañías de seguros médicos. Los datos cubiertos se refieren a registros médicos y otra información de salud de identificación individual utilizada por esas entidades cubiertas. Según HIPAA, su médico de cabecera no puede vender datos relacionados con su estado de vacunación a una empresa de publicidad, pero sí una aplicación de fitness (que no sería una entidad cubierta) que rastrea sus pasos y frecuencia cardíaca (que no se consideran datos cubiertos). ) absolutamente puede.
«Lo que cubre HIPAA es información relacionada con la atención médica o el pago de la atención médica, y cualquier tipo de información identificable que esté en ese archivo», dijo Solove. No cubre ninguna información de salud compartida con su empleador o escuela, como si entrega una nota de enfermedad, pero sí protege a su médico de compartir más detalles sobre su diagnóstico si llama para verificar.
Sin embargo, muchas cosas han cambiado en los casi 30 años transcurridos desde que la HIPAA entró en vigor. Los legisladores detrás de HIPAA no anticiparon la cantidad de datos que compartiríamos sobre nosotros mismos hoy, muchos de los cuales pueden considerarse personalmente identificables. Entonces, esa información no entra dentro de su alcance. «Cuando se diseñó la HIPAA, nadie anticipó realmente cómo sería el mundo», dijo Lee Tien, abogado senior de la Electronic Frontier Foundation. No está mal diseñado, HIPAA simplemente no puede mantenerse al día con el estado en el que nos encontramos hoy. «Estás compartiendo datos todo el tiempo con otras personas que no son médicos o que no son la compañía de seguros», dijo Tien.
Piense en todos los datos recopilados sobre nosotros a diario que podrían proporcionar información sobre nuestra salud. Noom realiza un seguimiento de tu dieta. Peloton conoce tus niveles de actividad. La calma te ve cuando estás durmiendo. Medisafe conoce su horario de píldoras. Betterhelp sabe qué problemas de salud mental podría tener y hace menos de un año la FTC lo prohibió. La lista continúa y gran parte de ella puede usarse para vender suplementos dietéticos, somníferos o cualquier otra cosa. «Los datos de salud podrían ser casi ilimitados», por lo que si HIPAA no tuviera un alcance limitado de entidades cubiertas, la ley también sería ilimitada, dijo Solove.
Sin mencionar la cantidad de inferencias que las empresas pueden hacer sobre nuestra salud basándose en otros datos. Un detalló cómo con solo las búsquedas y compras en línea de una persona, Target puede descubrir que está embarazada. Es posible que HIPAA no proteja su información médica para que no sea vista por agentes del orden. Incluso sin una orden judicial, la policía puede obtener sus registros. La policía lo ha hecho, pero otros tipos de datos también pueden proporcionar detalles confidenciales. Por ejemplo, puede mostrar que acudió a una clínica específica para recibir atención. Debido a estas inferencias, leyes como HIPAA no necesariamente impedirán que las autoridades procesen a alguien en función de su decisión sobre atención médica.
Hoy en día, surgen leyes estatales específicas en todo Estados Unidos para ayudar a abordar algunas de las brechas de privacidad de datos de salud que HIPAA no cubre. Esto significa ir más allá de los archivos médicos y los proveedores de atención médica para abarcar una mayor huella de datos de salud de las personas. Es, como en California, que ofrece opciones para cobrar a cualquiera que revele negligentemente información médica o algunas protecciones adicionales contra incumplimiento para los consumidores con sede en Pensilvania, pero el estado de Washington aprobó recientemente una ley dirigida específicamente a las lagunas de HIPAA.
La Ley Mi Salud, Mis Datos del Estado de Washington, aprobada el año pasado, tiene como objetivo «proteger los datos personales de salud que quedan fuera del ámbito de la Ley de Responsabilidad y Portabilidad del Seguro Médico», según la Oficina del Fiscal General de Washington. Cualquier entidad que realice negocios en el estado de Washington y maneje información personal que identifique el estado de salud física o mental pasado, presente o futuro de un consumidor debe cumplir con las protecciones de privacidad de la ley. Esas disposiciones incluyen el derecho a que no se vendan sus datos de salud sin su permiso y a que se eliminen sus datos de salud mediante una solicitud por escrito. Según esta ley, a diferencia de HIPAA, una o las inferencias hechas por Target sobre el embarazo estarían cubiertas.
My Health My Data aún se está implementando, por lo que tendremos que esperar y ver cómo la ley afecta las protecciones nacionales de privacidad de datos de salud. Aún así, ya está generando leyes imitadoras en .