Todo sobre la ley de privacidad de información sanitaria

La creciente adopción de tecnologías de la información en el sector de la salud acelera su potencial para facilitar nuevas y fructíferas perspectivas que surgen de grandes conjuntos de datos y fuentes complejas. Las leyes que amparan la privacidad de datos de la salud, respaldadas por procesos de desidentificación, permiten el uso secundario de datos sanitarios de forma segura y sin poner en riesgo el derecho a la privacidad de los individuos. 

 

 

¿A qué se refiere la ley de privacidad de información sanitaria?


La legislación que se aplica a la privacidad de información sanitaria ha sido diseñada para abordar cuestiones muy complejas relacionadas con la recopilación, el uso y la divulgación de información personal de salud por parte de quienes la custodian.

La ley exige que los profesionales médicos y los planes de salud o seguros protejan la privacidad de la información de los pacientes. De esta forma, se evita su uso o divulgación, ya sea de forma intencionada o inintencionada, siempre y cuando esta no haya sido previamente justificada.

El objetivo es maximizar el nivel de información de salud protegida sin comprometer los beneficios que implica poder recopilar, usar y divulgar información de salud personal para fines que van más allá de la atención al individuo, pero que son socialmente beneficiosos.

 

 

¿Qué es y a quién incumbe la ley de privacidad HIPAA?

 

La ley de portabilidad y responsabilidad de seguros de salud (HIPAA por sus siglas en inglés) surgió como medida que establece unos estándares comunes a la hora de proteger los registros médicos de las personas y otra información de salud identificable individualmente.

Se aplica a los planes de salud, centros de intercambio de información de atención médica y a cualquier proveedor de asistencia sanitaria que lleve a cabo transacciones electrónicas que contengan datos personales, comúnmente conocidos como “información personal de salud”. 

La información de salud protegida suele ser contenida en documentos tales como diagnósticos, resultados de pruebas médicas, recetas y tratamientos e incluye números de identificación nacional, fechas de nacimiento e información de contacto entre otros.





¿Cómo cumplir con los requisitos HIPAA en cuanto a anonimización de datos?

 

Aquellas entidades sujetas a la regla de seguridad HIPAA no podrán utilizar o divulgar información de salud protegida a no ser que (1) lo permita o exija la misma norma; o (2) lo autorice por escrito la persona que es objeto de la información o, en su defecto, su representante personal.

Por otro lado, estas entidades sólo deberán revelar información personal de salud bajo petición si es solicitada por (1) el sujeto de la información o su representante; o (2) el departamento público de salud y servicios humanos. 

La norma de seguridad HIPAA permite a las entidades el uso de la información siempre y cuando esta sea destinada a sus propias actividades de tratamiento, pago y demás operaciones; si es autorizada por o destinada a los individuos a quienes incumbe; si está debidamente protegida o si tiene fines beneficiosos para el interés público.

Ante todo, las entidades deben basarse en la ética profesional y en su buen juicio a la hora de utilizar la información médica protegida de forma moral, honrada y responsable.

 

 

Desidentificación y anonimización de datos según la HIPAA

 

La desidentificación de datos es la forma más segura de preservar la privacidad de cualquier tipo de información identificable. Por este motivo, no existen restricciones impuestas en el uso o divulgación de datos desidentificados por parte de la HIPAA, ya que esta deja de considerarse información de salud protegida.

A través de las técnicas de anonimización, se obtiene una desidentificación irreversible que no identifica ni proporciona una base para identificar a las personas. Esta técnica puede llevarse a cabo, bien por un estadístico cualificado, o de forma manual al eliminar cualquier rastro de identificadores específicos tanto del propio individuo como de terceros.







Pautas para la desidentificación y anonimización de datos

 

Para lograr la desidentificación de datos de acuerdo con las normas de privacidad HIPAA, proponemos una serie de aspectos que hay que tener en cuenta a la hora de llevar a cabo uno de los dos métodos disponibles y previamente señalados.

 

 

Método estadístico

 

El método estadístico, también conocido como “determinación de expertos”, requiere a una persona con conocimiento apropiado y experiencia probada trabajando con los principios y métodos científicos generalmente aceptados. 

Esta debe aplicar dichos principios y métodos y determinar que el riesgo de que la información pueda llegar a identificar al sujeto sea mínimo. Además, los métodos y resultados del análisis deben ser documentados de forma que justifiquen tal determinación.

 

 

Método de puerto seguro

 

El método manual, también conocido como “puerto seguro”, elimina hasta 18 tipos de identificadores aplicables al individuo, familiares, empleadores o miembros del hogar del individuo. Estos incluyen nombres, subdivisiones geográficas, fechas, números de teléfono, identificadores de vehículos, números de cuenta, IPs, URLs e imágenes del rostro entre otros. 

Una vez finalizado el proceso, la entidad cubierta no debe tener conocimiento real de que la información pueda llegar a usarse sola o en combinación con otra información para identificar al sujeto.

¿Le interesa conocer más acerca de la protección y privacidad de datos? Consulte lo último en técnicas de anonimización impulsadas por inteligencia artificial o contáctenos para que podamos ofrecerle una solución a medida.

 

cta anonimizacion