Protección de sus datos de atención médica

La Ley de Curas del Siglo XXI y MyHealthEData, una iniciativa de los Centros de Servicios de Medicare y Medicaid (Centers for Medicare Medicaid Services, CMS), otorgan a los pacientes el derecho de acceder y administrar sus datos de atención médica de forma electrónica. Como resultado de la Ley de Curas, tendrá la capacidad de acceder a sus datos de atención médica mediante una aplicación de terceros o “app”. Sus datos de atención médica incluyen información confidencial. Por ejemplo, podrían incluir resultados de pruebas, diagnósticos, informes quirúrgicos, información de recetas e información de reclamaciones. Al proporcionar acceso a sus datos de atención médica, usted es la primera línea de defensa para proteger quién ve o tiene acceso a ellos. Algunas aplicaciones ofrecerán más privacidad y seguridad que otras. Al elegir una aplicación, debe buscar una política de privacidad fácil de leer que explique con claridad la manera en que la aplicación usará sus datos. Si una aplicación no cuenta con una política de privacidad, o a usted no le gusta o no entiende cómo la aplicación usará su información, no debe usar esa aplicación.

Preguntas para hacer antes de usar una aplicación de terceros

Al decidir si desea usar una aplicación de terceros, debe pensar en estas preguntas.

Protección de su privacidad

1. ¿Qué datos de salud recopilará esta aplicación?
2. ¿Qué permisos debo otorgar o qué contraseñas se deben compartir con la aplicación para obtener mis datos de salud de un proveedor?
3. ¿Puede esta aplicación recopilar datos no relacionados con la salud sin mi conocimiento a través de mi dispositivo?
4. ¿Esta aplicación tiene derecho a compartir o vender mi información a otra empresa? Si es así, ¿existen limitaciones para los datos que puede divulgar?
5. ¿Hay alguna manera de limitar o restringir los datos que la aplicación puede usar y compartir?
6. ¿Puedo desactivar los servicios de ubicaciones para la aplicación?

Protección de sus datos

1. ¿Mis datos se almacenarán de una manera que me mantenga anónimo?
2. ¿Cómo protegerá mis datos la aplicación?
3. ¿El hecho de compartir mis datos con la aplicación puede afectar a otras personas, como los miembros de la familia?

Comunicación entre la aplicación y el usuario

1. ¿Cómo informa esta aplicación a los usuarios los cambios que afectan sus prácticas de privacidad?
2. ¿Cómo accedo a mis datos y cuál es el proceso para corregir los datos incorrectos recopilados por la aplicación?
3. ¿Esta aplicación cuenta con un proceso para recopilar y responder a las quejas, inquietudes o preguntas técnicas de los usuarios? ¿Hay un correo electrónico o número de teléfono específico para la atención al cliente?

Eliminación de la aplicación

1. ¿Cuál es la política de la aplicación para eliminar mis datos una vez que desactivo el acceso? ¿Tengo que hacer más que solo eliminar la aplicación de mi dispositivo?
2. ¿La compañía que es propietaria de la aplicación conservará los datos que esta recopile sobre mí incluso después de que yo elimine la aplicación y, de ser así, durante cuánto tiempo?
3. ¿Cuál es el proceso para revocar mi permiso para que la compañía de esta aplicación acceda a mis datos médicos?

El uso de una aplicación de terceros le permite tener todos sus datos de salud en un solo lugar. Esto puede ser útil para compartir la información con familiares, cuidadores y proveedores de atención médica. Podría acceder a datos para responder una pregunta durante una visita al médico o revisar notas de una cirugía reciente para analizarlas con un familiar. Sin embargo, si usted autoriza a una aplicación de terceros a recibir su información médica, deberá participar activamente en la protección de esa información. La decisión de usar una aplicación de terceros y la elección de qué aplicación usar depende exclusivamente de usted.

¿Qué significa HIPAA?

Las reglamentaciones de la Ley de Responsabilidad y Transferibilidad de Seguros Médicos (Health Insurance Portability and Accountability Act, HIPAA) de 1996 protegen la privacidad y la seguridad de su información de salud que permita identificarlo como individuo cuando esta se encuentra en manos de ciertas entidades. También establece derechos individuales con respecto a la información de salud. La regla de privacidad de la Ley HIPAA le proporciona el derecho legal de ver y recibir copias de sus registros médicos por parte de sus proveedores de atención médica y planes de salud. También puede decidir si desea permitir que otra persona, como otro médico o familiar, vea o reciba su información de salud. En virtud de la Ley HIPAA, también tiene derecho a solicitar que dicha información se modifique.

Si sospecha que se han violado sus derechos en virtud de la Ley HIPAA, tiene derecho a presentar una queja ante la Oficina de Derechos Civiles (Office of Civil Rights, OCR).

Para ver videos informativos sobre la Ley HIPAA y sus derechos, visite healthit.gov/access.

¿Qué entidades están cubiertas por la Ley HIPAA?

La siguiente explicación sobre entidades se tomó del sitio web HHS.gov, hhs.gov/hipaa/for-individuals/guidance-materials-for-consumers

Las organizaciones que deben cumplir con las reglamentaciones de la Ley HIPAA se denominan “entidades cubiertas”.

Las entidades cubiertas incluyen:

• Planes de salud, incluidas las compañías de seguro médico, los planes HMO, los planes de salud de la compañía y ciertos programas gubernamentales que pagan la atención médica, como Medicare y Medicaid.
• La mayoría de los proveedores de atención médica: los que realizan ciertos negocios de forma electrónica, incluidos la mayoría de los médicos, las clínicas, los hospitales, los psicólogos, los quiroprácticos, los asilos de ancianos, las farmacias y los dentistas.
• Centros de intercambio de información sobre atención médica: entidades que procesan información médica no estándar que reciben de otra entidad y la convierten en información estándar (es decir, formato electrónico estándar o contenido de datos) o viceversa.

Además, los socios comerciales de las entidades cubiertas deben seguir partes de las reglamentaciones de la Ley HIPAA. Entre estos se encuentran los contratistas, subcontratistas y otras personas y compañías externas que no son empleados de una entidad cubierta, pero que deberán tener acceso a su información de salud para prestar servicios a la entidad cubierta. Por ejemplo, estas compañías podrían proporcionar servicios de facturación, almacenamiento de documentos o contabilidad.

¿Qué entidades no están obligadas a seguir las reglamentaciones de la Ley HIPAA?

Muchas organizaciones que tienen información médica sobre usted no tienen regirse por la Ley HIPAA. Algunos ejemplos de estos tipos de organizaciones incluyen:

• Aseguradoras de vida
• Empleadores
• Compañías’ de compensación laboral
• La mayoría de las escuelas y distritos escolares
• Muchas agencias estatales, como agencias de servicios de protección infantil
• La mayoría de las agencias de cumplimiento de la ley
• Muchas oficinas municipales

¿Las aplicaciones de terceros deben cumplir con las reglamentaciones de la Ley HIPAA?

Una vez que le solicite a una aplicación de terceros que descargue sus datos médicos de una entidad cubierta, como el nombre del plan de salud, es poco probable que esos datos estén sujetos a las protecciones de privacidad de la Ley HIPAA. Si tiene una inquietud o queja sobre una aplicación de terceros, debe presentar esa queja ante la Comisión Federal de Comercio (Federal Trade Commission, FTC), que podrá evaluar si la aplicación violó la Ley de la FTC. La Ley de la FTC, entre otras cosas, protege contra acciones engañosas (p. ej., si una aplicación comparte datos personales de una manera que viola su política de privacidad).

¿Cómo registro una queja de privacidad en virtud de la Ley HIPAA?

Si cree que una entidad relevante ha violado sus derechos en virtud de la Ley HIPAA, puede presentar una queja ante la Oficina de Derechos Civiles (Office for Civil Rights, OCR). La OCR tiene la responsabilidad de hacer cumplir las Normas de privacidad, seguridad y notificación de violaciones de la Ley HIPAA, y la Ley y Regla de Seguridad del Paciente.

Su queja debe cumplir estos requisitos:

• Presentarse por escrito, ya sea por correo, fax, correo electrónico o a través del portal de quejas de la OCR
• Nombrar al proveedor de servicios sociales o de atención médica involucrado
• Describir los actos u omisiones que usted cree que violaron las leyes o reglamentaciones de derechos civiles
• Presentarse dentro de los 180 días a partir del momento en que supo que ocurrió el acto u omisión denunciado
• La OCR puede extender el período de 180 días si usted puede demostrar una “buena causa”

Durante la pandemia de COVID-19, la OCR alienta enfáticamente el uso de su portal de quejas Este enlace abrirá una nueva pestaña o ventana del navegador. para obtener tiempos de respuesta más rápidos. Sin embargo, si prefiere comunicarse por correo electrónico, fax o correo postal, puede encontrar direcciones, instrucciones y un formulario de queja opcional en HIPAA Complaint Process | HHS.gov.

¿Cómo registro una queja sobre la aplicación de un tercero que no está sujeta a la Ley HIPAA, si creo que usó mi información de manera inadecuada?

La mayoría de las aplicaciones de terceros recaerán en la jurisdicción de la Comisión Federal de Comercio (Federal Trade Commission, FTC) y las protecciones provistas por la Ley de la FTC. La Ley de la FTC protege contra ciertos actos injustos y engañosos por parte de las empresas x. Si tiene una queja, puede presentarla en línea en ReportFraud.ftc.gov o llamar al 1-877-FTC-HELP.

¿Cuáles son las políticas de privacidad de mi plan de salud?

Para conocer las políticas de privacidad de Sentara Health Plans, visite sentarahealthplans.com/company/policies/privacy-statement. Estas políticas se aplican a los datos controlados por el plan de salud, pero no cubrirán los datos que están en manos de aplicaciones de terceros como resultado de su solicitud o autorización.