Blog / P&A
17 de marzo de 2022
-
4 minutos de lectura
HIPAA ha sido la ley en este país desde 1996, pero las infracciones de HIPAA se informan y persiguen todo el tiempo—en realidad, el número es dos infracciones informadas cada día. ¡Pensarías que ya habríamos aprendido las reglas para ahora!
Esto es especialmente cierto teniendo en cuenta las sanciones asociadas con una violación de datos. Aquí hay algunos hechos sobre lo que sucede cuando un individuo o una entidad cubierta ignora las regulaciones o rompe intencionalmente las leyes de HIPAA. (Este artículo se centra en violaciones electrónicas, pero tirar la información incorrecta también podría ser una violación. También tenga en cuenta que algunas plataformas de telemedicina no son compatibles con HIPAA. Doxy.me siempre lo es porque no almacenamos datos de pacientes.)
¿Eres una entidad cubierta?
Las infracciones de HIPAA no pueden ocurrirle a cualquiera—si un proveedor le cuenta a un vecino sobre sus juanetes, no es una violación. Sin embargo, si un proveedor envía un correo electrónico a un vecino sobre los juanetes de un paciente, podría ser una violación. Recuerda, las regulaciones de HIPAA se aplican a “entidades cubiertas”, que incluye a cualquier proveedor que transmite cualquier información en un formato electrónico referente a las relaciones de atención médica. También incluye compañías de seguros y las empresas que gestionan sus datos.
Así que supongamos que te despertaste esta mañana y decidiste ignorar las regulaciones de HIPAA, y te atraparon. Ahora pueden ocurrir varias cosas:
Tu lugar de trabajo realiza su propia investigación y toma decisiones internas sobre cómo proceder
Después de una investigación, te despiden de tu trabajo en la clínica
Los cuerpos de regulación profesional te disciplinan y pierdes tu(s) licencia(s)
Recibes multas concomitantes a tus infracciones civiles
Se presentan cargos penales reales, y luego son multas y tiempo en la cárcel
¿Cuánto cuestan las violaciones de HIPAA?
Las sanciones por infracciones de HIPAA dependen del nivel de negligencia. Según este artículo, “...pueden variar de $100 a $50,000 por violación (o por registro), con una penalización máxima de $1.5 millones por año por violaciones de una disposición idéntica.”
Las multas más bajas comienzan con una violación de datos que no conocías porque no sabías que eras vulnerable. Luego, las cosas se vuelven más caras según el nivel de negligencia y el tamaño de la violación. La negligencia en este caso significa que sabías, o deberías haber sabido, que eras vulnerable.
Tal vez sabías que un empleado específico estaba inapropiadamente interesado en los registros médicos de extraños y no hiciste nada para mitigar el problema. Tal vez sabías que tus socios de TI no estaban parcheando sus computadoras, creando un riesgo de seguridad. Cuanto más sabías, o en otras palabras, cuanto más negligente fue tu comportamiento, mayor será la multa.
Debido a las disposiciones de la Ley de Libertad de Información, todos los casos enjuiciados de violaciones de HIPAA son accesibles al público
Cumpliendo condena dura
Es importante aquí notar que hemos estado hablando sobre penas civiles: negligencia y errores en el curso del trabajo diario que no involucran a actores realmente maliciosos. Las cosas empeoran cuando personas sospechosas con malas intenciones se involucran.
Las personas que liberan intencionadamente datos privados de pacientes pueden enfrentar multas de hasta $50,000 y un año de prisión.
Si los criminales mienten a las personas para obtener la información, o en otras palabras, utilizan ingeniería social u otro engaño para obtener la información, las penas pueden aumentar a $100,000 de multa y hasta cinco años de prisión.
Si la violación ocurre porque los criminales quieren vender información de salud identificable por malicia o ventaja personal, las multas pueden aumentar a $250,000 y diez años de prisión.
Perdiendo la confianza del paciente
Todo esto es algo aterrador, y puede suceder por simple negligencia, por lo que debe estar en nuestra mente. Sin embargo, dejando de lado las multas y la prisión, deberíamos hablar sobre el impacto inmediato de violar la confianza del paciente.
El viejo adagio dice que una reputación lleva toda una vida en crearse y “un mal día en destruirse”. Has construido tu práctica sobre la confianza de tus pacientes y el conocimiento de que pueden confiar en tu experiencia y buen juicio. Incluso pequeñas violaciones de la confianza del paciente podrían destruir la relación que has construido con tus pacientes. Peor aún, debido a las disposiciones de la Ley de Libertad de Información, los casos de violaciones de HIPAA son accesibles al público. La violación de tus datos está disponible para que todos la revisen, incluidos los posibles pacientes.
¿Qué puedes hacer?
Esta discusión sobre las violaciones de HIPAA debería reforzar la importancia de la vigilancia con respecto a la información privada de nuestros pacientes. La simple conciencia del potencial de daño es solo la línea base para el éxito. Designar un Oficial de Privacidad que supervise el cumplimiento de HIPAA es un buen lugar para comenzar incluso para muchas organizaciones pequeñas. Los procedimientos y la verificación doble son medidas que ayudan mucho a la protección. Aquí hay algunas sugerencias más para aumentar tu vigilancia y proteger a tus pacientes.