El brote mundial de coronavirus/COVID-19 ha impactado hasta en los ámbitos menos esperados, como en las normas de protección de datos. La Oficina de Derechos Civiles (OCR) del Departamento de Salud y Servicios Sociales (HHS) de E.U. emitió importantes notificaciones en las que se establece una exención limitada del cumplimiento con las Reglas de Privacidad incluidas en la Ley de Responsabilidad y Portabilidad del Seguro de Salud (HIPAA). En pocas palabras, los hospitales podrán omitir algunas normas y procedimientos en materia de protección de datos de los pacientes para acelerar el proceso de combate al virus y alertar a otras personas sobre posibles contagios.
Por ahora la exención solamente aplica en los centros de cuidados médicos localizados en las áreas de Estados Unidos donde se ha declarado emergencia y sólo durante los tres días posteriores a dicha declaración, aunque es probable que el periodo de exención se alargue de forma indefinida.
Cabe recordar que los medios de comunicación y el público en general seguirán sin poder publicar cualquier información relacionada con un paciente que haya contraído coronavirus sin la autorización por escrito del paciente o un representante legal.
Para ser precisos, la OCR lanzó dos boletines; en el primero, se informaba la Exención Limitada de las normas y sanciones establecidas en HIPAA derivado de la declaración de emergencia nacional por el brote de COVID-19. En consecuencia, la HHS no dará seguimiento a posibles incumplimientos de los siguientes requisitos, establecidos en las Reglas de Privacidad de HIPAA:
- La obtención del consentimiento del paciente para hablar con familiares o amigos involucrados en sus cuidados
- Presentación de una solicitud de exclusión del directorio del centro hospitalario
- Distribución de un Aviso de Prácticas de Privacidad
- Presentación de información a los pacientes sobre su derecho a solicitar restricciones de privacidad y comunicaciones confidenciales
Esta clase de medida es implementada ante desastres naturales, por lo que el periodo de tres días suele ser más que suficiente. No obstante, debido a las características de esta emergencia, la exención podría alargarse el tiempo que el gobierno federal de E.U. considera necesario.
El segundo boletín lanzado por la OCR se refiere a un Aviso de Discreción de Cumplimiento por el que HHS renuncia a la aplicación de sanciones de HIPAA durante la emergencia por el COVID-19 relacionadas con los servicios de salud a distancia.
De este modo, cualquier proveedor de servicios de salud podrá comunicarse con un paciente mediante cualquier plataforma de teleconferencia o videollamada sin apegarse de forma estricta a los procedimientos establecidos en HIPAA.
Los proveedores de servicios de salud podrán emplear aplicaciones y plataformas como FaceTime, Facebook Messenger Videochat, Skype Zoom, u otras plataformas de videoconferencia para brindar consultas a distancia. Además, la OCR recomendó a las firmas de servicios médicos evitar el uso de otras plataformas y aplicaciones, como Facebook Live, TikTok o Twitch debido a que considera que su uso podría representar riesgos de privacidad y seguridad de la información.
Si bien la privacidad y la protección de datos son fundamentales para cualquier usuario de servicios médicos, la emergencia por el brote de COVID-19 exige que las instituciones públicas adopten una postura más flexible, al menos hasta que los riesgos para la salud pública disminuyan.
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.