La privacidad médica , o privacidad de la salud , es la práctica de mantener la seguridad y confidencialidad de los registros de los pacientes . Implica tanto la discreción conversacional de los proveedores de atención médica como la seguridad de los registros médicos . Los términos también pueden referirse a la privacidad física de los pacientes con respecto a otros pacientes y proveedores mientras se encuentran en un centro médico , y al pudor en los entornos médicos . Las preocupaciones modernas incluyen el grado de divulgación a las compañías de seguros , empleadores y otros terceros. La llegada de los registros médicos electrónicos (EMR) y los sistemas de gestión de la atención al paciente (PCMS) han planteado nuevas preocupaciones sobre la privacidad, equilibradas con los esfuerzos por reducir la duplicación de servicios y los errores médicos . [1] [2]
La mayoría de los países desarrollados, entre ellos Australia, [3] Canadá, Turquía, el Reino Unido, los Estados Unidos, Nueva Zelanda y los Países Bajos, han promulgado leyes que protegen la privacidad de la salud de las personas. Sin embargo, muchas de estas leyes de protección de la privacidad de la salud han demostrado ser menos eficaces en la práctica que en la teoría. [4] En 1996, los Estados Unidos aprobaron la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA, por sus siglas en inglés) , cuyo objetivo era aumentar las precauciones de privacidad dentro de las instituciones médicas. [5]
La historia de la privacidad médica se remonta al juramento hipocrático, que exige el secreto de la información obtenida al ayudar a un paciente.
Antes del auge tecnológico, las instituciones médicas dependían del papel para archivar los datos médicos individuales. Hoy en día, cada vez se almacena más información en bases de datos electrónicas . Las investigaciones indican que almacenar información en papel es más seguro porque es más difícil de robar físicamente, mientras que los registros digitales son vulnerables al acceso de piratas informáticos.
A principios de los años 90, para abordar los problemas de privacidad en el ámbito sanitario, los investigadores exploraron el uso de tarjetas de crédito y tarjetas inteligentes para permitir el acceso seguro a la información médica, con el objetivo de mitigar los temores de robo de datos. La tarjeta "inteligente" permitía el almacenamiento y procesamiento de información en un único microchip, pero la gente tenía miedo de tener tanta información almacenada en un único lugar al que se pudiera acceder fácilmente. [6] Esta tarjeta "inteligente" incluía el número de la seguridad social de una persona como un elemento importante de identificación que puede dar lugar al robo de identidad si se violan las bases de datos. [6] Además, existía el temor de que la gente atacara estas tarjetas médicas porque contienen información que puede ser de valor para muchos terceros diferentes, incluidos empleadores, empresas farmacéuticas, comercializadores de medicamentos y revisores de seguros. [6]
En respuesta a la falta de privacidad médica, se ha producido un movimiento para crear una mejor protección de la privacidad médica, pero no se ha aprobado nada oficialmente. Por tanto, se creó la Oficina de Información Médica para prevenir el fraude en las compañías de seguros, pero desde entonces se ha convertido en una fuente importante de información médica para más de 750 compañías de seguros de vida; por lo tanto, es muy peligrosa, ya que es un objetivo de violaciones de la privacidad. [6] Aunque el sistema de archivo electrónico de información médica ha aumentado la eficiencia y se han reducido los costes de administración, hay aspectos negativos que considerar. El sistema de archivo electrónico permite que la información individual sea más susceptible a los extraños; a pesar de que su información se almacena en una sola tarjeta. Por lo tanto, la tarjeta médica sirve como una falsa sensación de seguridad, ya que no protege su información por completo.
Con el auge tecnológico, se ha producido una expansión del sistema de archivo de registros y, por lo tanto, muchos hospitales han adoptado nuevos PCMS. [1] Los PCMS almacenan grandes cantidades de registros médicos y contienen los datos personales de muchas personas. Estos se han vuelto fundamentales para la eficiencia del almacenamiento de información médica debido a los grandes volúmenes de papeleo, la capacidad de compartir información rápidamente entre instituciones médicas y el aumento de la presentación de informes obligatorios al gobierno. [1] Los PCMS han aumentado en última instancia la productividad de la utilización de registros de datos y han creado una gran dependencia de la tecnología dentro del campo médico.
También ha dado lugar a cuestiones sociales y éticas porque se considera que los derechos humanos básicos son violados por el PCMS, ya que ahora es más probable que los hospitales y los servicios de información sanitaria compartan información con empresas de terceros. [1] Por lo tanto, es necesario realizar una reforma para especificar qué personal del hospital tiene acceso a los registros médicos. Esto ha llevado a la discusión de los derechos de privacidad y ha creado salvaguardas que ayudarán a los custodios de datos a comprender las situaciones en las que es ético compartir la información médica de un individuo, proporcionar formas para que las personas accedan a sus propios registros y determinar quién es el propietario de esos registros. [1] Además, se utiliza para garantizar que la identidad de una persona se mantenga confidencial para fines de investigación o estadísticos y para comprender el proceso para que las personas sean conscientes de que se está utilizando su información sanitaria. [1] Por lo tanto, se debe mantener un equilibrio entre la privacidad y la confidencialidad para limitar la cantidad de información divulgada y proteger los derechos de los pacientes salvaguardando la información sensible de terceros.
Los historiales médicos electrónicos son una forma más eficiente de almacenar información médica, pero este tipo de sistema de archivo también tiene muchos aspectos negativos. Los hospitales están dispuestos a adoptar este tipo de sistema de archivo sólo si pueden garantizar que la información privada de sus pacientes esté suficientemente protegida. [2]
Los investigadores han descubierto que la legislación y la reglamentación de las leyes de privacidad médica de los estados de EE. UU. reducen el número de hospitales que adoptan los registros médicos electrónicos en más de un 24 %. [2] Esto se debe a la disminución de las externalidades positivas de red que se crean mediante protecciones estatales adicionales. [2] Con el aumento de las restricciones contra la difusión de información médica, los hospitales han descuidado la adopción de los nuevos registros médicos electrónicos porque las leyes de privacidad restringen los intercambios de información sanitaria. Con la disminución del número de instituciones médicas que adoptan el sistema de archivo de registros médicos electrónicos, el plan del gobierno de EE. UU. de crear una red nacional de salud no ha sido plenamente reconocido. [2] La red nacional costará en última instancia 156 mil millones de dólares en inversiones, pero para que esto suceda, el gobierno de EE. UU. debe poner mayor énfasis en la protección de la privacidad individual. [2] Muchos políticos y líderes empresariales consideran que los registros médicos electrónicos permiten una mayor eficiencia tanto en tiempo como en dinero, pero descuidan la disminución de las protecciones de la privacidad, lo que demuestra la importante disyuntiva entre los registros médicos electrónicos y la privacidad individual. [2]
Los tres objetivos de la seguridad de la información , incluida la seguridad de la información electrónica, son la confidencialidad , la integridad y la disponibilidad . Las organizaciones están intentando cumplir estos objetivos, conocidos como la Tríada CIA , que es la "práctica de defender la información del acceso, uso, divulgación, interrupción, modificación, inspección, registro o destrucción no autorizados". [7]
En un editorial de 2004 del Washington Post , los senadores estadounidenses Bill Frist y Hillary Clinton apoyaron esta observación, afirmando que "[los pacientes] necesitan... información, incluido el acceso a sus propios historiales médicos... Al mismo tiempo, debemos garantizar la privacidad de los sistemas, o socavarán la confianza que están diseñados para crear". Un informe de 2005 de la California Health Care Foundation concluyó que "el 67 por ciento de los encuestados a nivel nacional se sentían 'algo' o 'muy preocupados' por la privacidad de sus historiales médicos personales".
La importancia de la privacidad en los registros médicos electrónicos se hizo evidente con la aprobación de la Ley de Recuperación y Reinversión Estadounidense (ARRA, por sus siglas en inglés) en 2009. Una de las disposiciones (conocida como la Ley de Tecnología de la Información de Salud para la Salud Económica y Clínica [HITECH, por sus siglas en inglés]) de la ARRA exigía incentivos a los médicos para la implementación de registros médicos electrónicos para 2015. Los defensores de la privacidad en los Estados Unidos han expresado su preocupación por el acceso no autorizado a los datos personales a medida que más prácticas médicas cambian del papel a los registros médicos electrónicos. [ cita requerida ] La Oficina del Coordinador Nacional para la Tecnología de la Información de Salud (ONC, por sus siglas en inglés) explicó que algunas de las medidas de seguridad que pueden utilizar los sistemas EHR son contraseñas y números PIN que controlan el acceso a dichos sistemas, cifrado de información y un registro de auditoría para realizar un seguimiento de los cambios realizados en los registros. [ cita requerida ]
La regla de privacidad de la HIPAA exige estrictamente que los pacientes tengan acceso a sus registros médicos electrónicos. Un estudio determinó que cada año se requieren aproximadamente 25 millones de autorizaciones para la divulgación de registros médicos personales. [ cita requerida ] Sin embargo, los investigadores han descubierto que, como resultado, surgen nuevas amenazas a la seguridad. Algunas de estas amenazas a la seguridad y la privacidad incluyen piratas informáticos, virus , gusanos y las consecuencias no deseadas de la velocidad a la que se espera que los pacientes divulguen sus registros, que con frecuencia contienen términos sensibles que conllevan el riesgo de divulgación accidental. [8]
Estas amenazas a la privacidad se han hecho más evidentes con la aparición de la " computación en la nube ", que es el uso de la potencia de procesamiento informático compartida. [9] Las organizaciones de atención sanitaria utilizan cada vez más la computación en la nube como una forma de gestionar grandes cantidades de datos. Sin embargo, este tipo de almacenamiento de datos es susceptible a desastres naturales , delitos cibernéticos y terrorismo tecnológico , y fallos de hardware. Las violaciones de la información sanitaria representaron el 39 por ciento de todas las violaciones en 2015. Se necesitan costes e implementaciones de seguridad informática para proteger a las instituciones sanitarias contra las violaciones de seguridad y de datos. [10]
Aunque las cuestiones de privacidad con el examen de salud son una gran preocupación entre las personas y las organizaciones, ha habido poco enfoque en la cantidad de trabajo que se está haciendo dentro de la ley para mantener la expectativa de privacidad que las personas desean. [11] Muchas de estas cuestiones se encuentran dentro de la abstracción del término "privacidad", ya que hay muchas interpretaciones diferentes del término, especialmente en el contexto de la ley. [11] Antes de 1994, no había habido casos relacionados con las prácticas de detección y las implicaciones para la privacidad médica de un individuo, a menos que estuviera relacionado con el VIH y las pruebas de drogas. [11] En Glover v Eastern Nebraska Community Office of Retardation , una empleada demandó a su empleador por violar sus derechos de la 4ª enmienda debido a pruebas de VIH innecesarias . [11] El tribunal falló a favor del empleador y argumentó que era una búsqueda irrazonable para que se la analizara. Sin embargo, este fue solo uno de los pocos precedentes que las personas tienen para usar. Con más precedentes, las relaciones entre empleados y empleadores estarán mejor definidas. Sin embargo, con más requisitos, las pruebas entre los pacientes conducirán a estándares adicionales para cumplir con los estándares de atención médica. [11] La detección se ha convertido en un gran indicador para las herramientas de diagnóstico, pero existen preocupaciones con respecto a la información que se puede obtener y luego compartir con otras personas que no sean el paciente y el proveedor de atención médica.
Uno de los principales peligros para la privacidad de las personas son las corporaciones privadas debido a los beneficios que pueden obtener de la venta de información aparentemente privada. [12] Los comerciantes de la privacidad se componen de dos grupos: uno que intenta recopilar información personal de las personas, mientras que el otro se centra en utilizar la información de los clientes para comercializar productos de la empresa. [12] Posteriormente, los comerciantes de la privacidad compran información de otras empresas, como las compañías de seguros de salud , si no hay suficiente información de su propia investigación. [12] Los comerciantes de la privacidad se dirigen a las compañías de seguros de salud porque, en la actualidad, recopilan enormes cantidades de información personal y la guardan en grandes bases de datos. A menudo exigen a los pacientes que proporcionen más información que se necesita para fines distintos a los de los médicos y otros trabajadores médicos. [12]
Además, la información de las personas puede vincularse con otra información ajena al ámbito médico. Por ejemplo, muchos empleadores utilizan la información sobre seguros y los historiales médicos como un indicador de la capacidad y la ética laboral. [12] La venta de información privada también puede hacer que los empleadores ganen mucho dinero; sin embargo, esto les sucede a muchas personas sin su consentimiento o conocimiento.
En Estados Unidos, con el fin de definir leyes de privacidad claras en materia de privacidad médica, el Título 17 explica detalladamente la propiedad de los datos personales y ajustó la ley para que las personas tengan más control sobre su propia propiedad. [13] La Ley de Privacidad de 1974 ofrece más restricciones con respecto a lo que las corporaciones pueden acceder fuera del consentimiento de un individuo. [13]
Los estados han creado complementos adicionales a las leyes de privacidad médica. Con HIPAA, muchas personas se alegraron de ver que el gobierno federal tomaba medidas para proteger la información médica de las personas. Sin embargo, cuando la gente la investigó, hubo pruebas de que el gobierno seguía protegiendo los derechos de las corporaciones. [13] Muchas reglas fueron vistas como más bien sugerencias y el castigo por comprometer la privacidad de sus pacientes era mínimo. [13] Incluso si la divulgación de información médica requiere consentimiento, se pueden permitir autorizaciones en blanco y no se pedirá a las personas un consentimiento adicional más adelante. [13]
Aunque hay un gran grupo de personas que se oponen a la venta de información médica de individuos, hay grupos como la Health Benefits Coalition, el Healthcare Leadership Council y la Health Insurance Association of America que están en contra de las nuevas reformas para la protección de datos, ya que puede arruinar su trabajo y ganancias. [12] Controversias anteriores, como el "Proyecto Nightingale" de Google en 2019, han demostrado posibles lagunas en las regulaciones de los datos de los pacientes y la información médica. El Proyecto Nightingale, un esfuerzo conjunto entre Google y la red de atención médica Ascension, se encargó de la venta de millones de datos médicos identificables de pacientes sin su consentimiento. Aunque Google afirmó que su proceso era legal para obtener la información, hubo preocupación entre los investigadores sobre esta afirmación. [14]
Con la falta de ayuda del Departamento de Salud y Servicios Humanos, se ha puesto de manifiesto un conflicto de intereses. Algunos quieren dar más importancia a la mejora individual, mientras que otros se centran más en los beneficios externos procedentes de fuentes externas. Los problemas que surgen cuando hay problemas entre los dos grupos tampoco se resuelven adecuadamente, lo que da lugar a leyes y efectos controvertidos. [15] Los intereses individuales tienen prioridad sobre los beneficios de la sociedad en su conjunto y a menudo se consideran egoístas y se busca la obtención de valor de capital. Si el gobierno no realiza más cambios en el futuro a la legislación actual, innumerables organizaciones y personas tendrán acceso a la información médica individual. [15]
En 1999, la Ley Gramm-Leach-Billey (GLBA) abordó el debate sobre la privacidad de los seguros en relación con la privacidad médica. [16] Sin embargo, hubo muchos problemas con la implementación. Uno de ellos fue que había requisitos de regulación inconsistentes dentro de los diferentes estados debido a leyes preexistentes. [16] En segundo lugar, era difícil combinar las leyes preexistentes con el nuevo marco. [16] Y en tercer lugar, para que el gobierno federal implementara estas nuevas reglas, necesitaba que la legislatura estatal las aprobara. [16]
La GLBA tenía como objetivo regular las instituciones financieras para que las corporaciones no pudieran afectar el seguro de las personas. Debido a la dificultad de la implementación de la GLBA, las legislaturas estatales pueden interpretar las leyes por sí mismas y crear iniciativas para proteger la privacidad médica. [16] Cuando los estados crean su propia legislatura independiente, crean estándares que comprenden el impacto de la legislación. [16] Si se desvían de las leyes estándar, deben ser válidas y justas. La nueva legislación debe proteger los derechos de las empresas y permitirles continuar funcionando a pesar de la competencia regulada a nivel federal. Los pacientes se benefician de estos nuevos servicios y estándares a través del flujo de información que es considerado con las expectativas de privacidad médica. [16]
Estas regulaciones deberían centrarse más en el consumidor que en los beneficios y la explotación política. Muchas veces, las regulaciones son para el beneficio personal de la corporación, por lo tanto, las legislaturas estatales deben tener cuidado con esto y tratar de evitarlo lo mejor que puedan. [16] La privacidad médica no es un problema nuevo dentro de la industria de seguros , sin embargo, los problemas relacionados con la explotación siguen reapareciendo; hay un mayor enfoque en aprovechar el entorno empresarial para obtener ganancias personales. [16]
En 2001, el presidente George W. Bush aprobó regulaciones adicionales a la HIPAA para proteger mejor la privacidad de la información médica individual. [17] Se suponía que estas nuevas regulaciones salvaguardarían la privacidad de la información médica creando soluciones amplias para la privacidad de los pacientes. Los objetivos de la nueva regulación incluían recibir una notificación cuando se inspeccionara la información de una persona, modificar cualquier historial médico y solicitar oportunidades de comunicación para discutir la divulgación de información. [17]
Sin embargo, existen excepciones a los casos en que se puede inspeccionar la divulgación de información médica protegida. Esto incluye situaciones específicas entre las fuerzas de seguridad, los procedimientos judiciales y administrativos, los padres, las personas importantes, la salud pública, la investigación sanitaria y el marketing comercial . [17] Estos aspectos de la falta de privacidad han provocado una cantidad alarmante de lagunas en las medidas de privacidad.
En definitiva, sigue existiendo un problema sobre cómo garantizar la seguridad de la privacidad; en respuesta, el gobierno ha creado nuevas regulaciones que establecen compromisos entre la privacidad de una persona y el beneficio público. Sin embargo, estas nuevas regulaciones aún cubren la información de salud individualmente identificable, es decir, cualquier dato que contenga información exclusiva de una persona. [17] Sin embargo, los datos no identificables no están cubiertos porque el gobierno afirma que causarán un daño mínimo a la privacidad de una persona. También cubre a todas las organizaciones de atención médica y también a las empresas.
Además, en virtud de las nuevas incorporaciones a la HIPAA, la legislación estatal es más protectora que las leyes nacionales porque creó más obligaciones para que las organizaciones las cumplieran. En última instancia, las nuevas normas exigían requisitos más amplios que crearon mejores medidas de seguridad para las personas. [17] Sin embargo, todavía hay formas en que las empresas y las organizaciones de atención médica pueden estar exentas de las normas de divulgación para todas las personas. Por lo tanto, el HHS necesita encontrar más formas de equilibrar las compensaciones personales y públicas dentro de las leyes médicas. Esto crea una necesidad de una intervención gubernamental adicional para hacer cumplir la legislación y nuevas normas para reducir la cantidad de amenazas contra la privacidad de los datos de salud de una persona. [ opinión ]
La pandemia de COVID-19 dio lugar a un esfuerzo global para utilizar tecnologías, como el rastreo de contactos, para reducir la propagación de la enfermedad. El rastreo de contactos implica notificar a las personas que han estado en contacto con un individuo que ha dado positivo en la prueba del virus. Esto provocó que el público en general se preocupara por los riesgos para la privacidad de esta tecnología. En respuesta, en abril de 2020, Apple y Google crearon una API de rastreo de contactos. [18]
Los pacientes quieren poder compartir información médica con sus médicos, pero les preocupan las posibles violaciones de la privacidad que pueden ocurrir cuando divulgan información médica confidencial y financiera. [19] Para garantizar una mejor protección, el gobierno ha creado marcos para mantener la confidencialidad de la información, lo que incluye ser transparente sobre los procedimientos, la divulgación y protección de la información y el monitoreo de estas nuevas reglas para garantizar la información de las personas. [19]
Recientemente, médicos y pacientes han comenzado a utilizar el correo electrónico como una herramienta de comunicación adicional para el tratamiento y las interacciones médicas. Esta forma de comunicación no es "nueva", pero sus efectos en las relaciones médico-paciente han creado nuevas cuestiones en relación con problemas legales, morales y financieros. [20]
La Asociación Estadounidense de Informática Médica ha caracterizado los correos electrónicos médicos como una forma de comunicar "consejos médicos, tratamientos e información intercambiada profesionalmente"; sin embargo, el papel de "espontaneidad, permanencia y poder de información característicos" es significativo debido a sus efectos desconocidos. [20] Sin embargo, el uso de correos electrónicos permite un mayor acceso, ayuda inmediata y mayores interacciones entre pacientes y médicos. [20] Hay muchos beneficios y aspectos negativos del uso de correos electrónicos; los médicos sienten un nuevo sentido de responsabilidad negativa para responder correos electrónicos fuera del consultorio, pero también encuentran beneficios al facilitar respuestas rápidas a las preguntas de los pacientes. [20]
Además, el uso del correo electrónico entre médicos y pacientes seguirá creciendo debido al uso cada vez mayor de Internet. Con Internet, los pacientes pueden pedir consejo y tratamiento médico, pero surgen problemas relacionados con la confidencialidad y cuestiones legales. [20] En definitiva, se supone que los correos electrónicos entre un médico y un paciente deben utilizarse como complemento de las interacciones cara a cara, no como mensajes casuales. Si se utilizan correctamente, los médicos podrían utilizar los correos electrónicos como una forma de complementar las interacciones y proporcionar más ayuda médica a quienes la necesitan de inmediato. [20]
Aunque muchas personas creen que los cambios tecnológicos son la razón del miedo a compartir la privacidad médica, existe una teoría que afirma que los ideales institucionales entre los médicos y sus pacientes han creado el miedo a compartir información de privacidad médica. [21] Aunque los niveles de confidencialidad están cambiando, las personas a menudo sienten la necesidad de compartir más información con sus médicos para obtener un diagnóstico correcto. [21] Debido a esto, las personas están preocupadas por la cantidad de información que tienen sus médicos. Esta información podría transferirse a otras empresas de terceros. Sin embargo, existe un llamado a hacer menos hincapié en el intercambio y la confidencialidad para liberar a los pacientes de sus temores de violación de la información. [21] Existe una creencia común de que la confidencialidad de la información de uno también solo protege a los médicos y no a los pacientes, por lo tanto, existe un estigma negativo hacia revelar demasiada información. [21] Por lo tanto, hace que los pacientes no compartan información vital relevante para sus enfermedades.
El 1 de julio de 2012, el Gobierno australiano puso en marcha el sistema de Historial médico electrónico controlado personalmente (PCEHR) (eHealth). [22] La implementación completa incorpora un resumen electrónico preparado por los proveedores de atención médica designados junto con notas proporcionadas por el consumidor. Además, el resumen incluye información sobre las alergias, reacciones adversas, medicamentos, vacunas, diagnósticos y tratamientos del individuo. Las notas del consumidor funcionan como un diario médico personal que solo el individuo puede ver y editar. [23] El sistema de suscripción voluntaria brinda a las personas la opción de elegir si se registran o no para el registro médico electrónico. [24]
A partir de enero de 2016, el Departamento de Salud de la Commonwealth cambió el nombre de PCEHR a My Health Record. [25]
La Ley de Registros Electrónicos de Salud Personalmente Controlados de 2012 [26] y la Ley de Privacidad de 1988 regulan cómo se gestiona y protege la información de los registros de salud electrónicos. [27] El Operador del Sistema PCEHR cumple con los Principios de Privacidad de la Información [28] de la Ley de Privacidad de 1988 (Commonwealth), así como con las leyes de privacidad estatales o territoriales aplicables. [29] Una Declaración de Privacidad [30] establece la aplicación de la recopilación de información personal por parte del Operador del Sistema. La declaración incluye una explicación de los tipos de información personal recopilada, para qué se utiliza la información y cómo se almacena. La declaración cubre las medidas establecidas para proteger la información personal contra el uso indebido, la pérdida, el acceso no autorizado, la modificación y la divulgación. [31]
Las medidas de seguridad incluyen registros de auditoría para que los pacientes puedan ver quién ha accedido a sus registros médicos junto con la hora en que se accedió a los registros. Otras medidas incluyen el uso de cifrado, así como inicios de sesión y contraseñas seguras. Los registros de los pacientes se identifican mediante un Identificador de Salud Individual (IHI), [32] asignado por Medicare , el proveedor de servicios de IHI. [31] [33]
Una encuesta nacional realizada en Australia en 2012 evaluó las preocupaciones sobre la privacidad en las decisiones de atención médica de los pacientes, que podrían afectar la atención médica. Los resultados indicaron que el 49,1% de los pacientes australianos afirmaron que han ocultado o ocultarían información a su proveedor de atención médica debido a preocupaciones sobre la privacidad. [34]
Una de las preocupaciones es que el control personal del historial médico electrónico a través del consentimiento no garantiza la protección de la privacidad. Se sostiene que una definición estricta, "permiso" o "acuerdo", no protege la privacidad y no está bien representada en la legislación australiana. El PCEHR permite a los médicos asumir el consentimiento mediante la participación del consumidor en el sistema; sin embargo, es posible que no se satisfagan las necesidades del consumidor. Los críticos sostienen que se requiere la definición más amplia de "consentimiento informado", ya que abarca el suministro de información relevante por parte del profesional de la salud y la comprensión de esa información por parte del paciente. [35]
Los datos del PCEHR se utilizarán principalmente en la atención sanitaria de los pacientes, pero también se pueden utilizar para fines de políticas, investigación, auditoría y salud pública. La preocupación es que, en el caso de la investigación, lo que está permitido va más allá de la legislación vigente sobre privacidad. [35]
La participación de las empresas farmacéuticas se considera potencialmente problemática. Si el público percibe que están más preocupadas por los beneficios que por la salud pública, podría ponerse en tela de juicio la aceptación pública de su uso de los PCEHR. También se percibe como problemática la posibilidad de que terceros ajenos a los profesionales de la salud, como las compañías de seguros, los empleadores, la policía o el gobierno, utilicen la información de una manera que podría dar lugar a discriminación o desventaja. [35]
Se considera que la "fuga" de información tiene el potencial de desanimar tanto a los pacientes como a los médicos a participar en el sistema. Los críticos sostienen que la iniciativa PCEHR sólo puede funcionar si se establece un continuo de atención seguro y eficaz dentro de una relación de confianza entre el paciente y el médico. Si los pacientes pierden la confianza en la confidencialidad de su información de salud electrónica, pueden ocultar información sensible a sus proveedores de atención médica. Los médicos pueden ser reacios a participar en un sistema en el que no están seguros de la integridad de la información. [36]
Los expertos en seguridad han cuestionado el proceso de registro, en el que quienes se registran sólo tienen que proporcionar un número de tarjeta de Medicare y los nombres y fechas de nacimiento de los miembros de la familia para verificar su identidad. Algunas partes interesadas también han expresado su preocupación por las complejidades inherentes a las funciones de acceso limitado. Advierten que el acceso al contenido de los registros del PCEHR puede implicar la transferencia de información a un sistema local, donde los controles de acceso del PCEHR ya no se aplicarían. [33]
En Canadá, la privacidad de la información de los pacientes está protegida tanto a nivel federal como provincial . La legislación sobre información sanitaria establece las normas que deben seguirse para la recopilación, el uso, la divulgación y la protección de la información sanitaria por parte de los trabajadores sanitarios, conocidos como "custodios". Se ha definido que estos custodios incluyen a casi todos los profesionales sanitarios (incluidos todos los médicos, enfermeras, quiroprácticos, operadores de ambulancias y operadores de residencias de ancianos). Además de los organismos reguladores de trabajadores sanitarios específicos, las comisiones provinciales de privacidad son fundamentales para la protección de la información de los pacientes.
La privacidad de la información del paciente está garantizada por los artículos 78 y 100 del código legal 5510.
Por otra parte, la Institución de Seguridad Social (SGK), que regula y administra los beneficios de seguridad social/seguros patrocinados por el estado, vende información de pacientes después de supuestamente anonimizar los datos, confirmado el 25 de octubre de 2014. [37]
El Servicio Nacional de Salud utiliza cada vez más los historiales médicos electrónicos , pero hasta hace poco, los registros de las distintas organizaciones del NHS, como médicos de cabecera, fideicomisos del NHS , dentistas y farmacias, no estaban vinculados entre sí. Cada organización era responsable de la protección de los datos de los pacientes que recogía. El programa care.data , que proponía extraer datos anónimos de los consultorios de médicos de cabecera y colocarlos en una base de datos central, despertó una considerable oposición.
En 2003, el NHS tomó medidas para crear un registro electrónico centralizado de historiales médicos. El sistema está protegido por el Government Gateway del Reino Unido, creado por Microsoft . Este programa se conoce como Programa de Desarrollo e Implementación de Registros Electrónicos (ERDIP). El Programa Nacional de TI del NHS fue criticado por su falta de seguridad y de privacidad de los pacientes. Fue uno de los proyectos que hicieron que el Comisionado de Información advirtiera [38] sobre el peligro de que el país "caminara sonámbulo" hacia una sociedad de vigilancia . Los grupos de presión [ ¿según quién? ] opuestos a las tarjetas de identificación también hicieron campaña contra el registro centralizado.
Los periódicos publican artículos sobre ordenadores y memorias USB perdidos, pero un problema más común y de larga data es el acceso del personal a registros que no tiene derecho a ver. El personal siempre ha tenido la posibilidad de consultar registros en papel y, en la mayoría de los casos, no hay un registro de los mismos. Por lo tanto, los registros electrónicos permiten llevar un registro de quién ha accedido a qué registros. El Servicio Nacional de Salud de Gales ha creado el Sistema Nacional Inteligente de Auditoría Integrada que proporciona "una serie de informes generados automáticamente, diseñados para satisfacer las necesidades de nuestras juntas y fundaciones sanitarias locales, identificando instantáneamente cualquier problema potencial cuando el acceso no ha sido legítimo". Maxwell Stanley Consulting [39] utilizará un sistema llamado Patient Data Protect (desarrollado por VigilancePro) que puede detectar patrones, como por ejemplo si alguien está accediendo a datos sobre sus familiares o colegas. [40]
Desde 1974, se han aprobado numerosas leyes federales en los Estados Unidos para especificar los derechos de privacidad y las protecciones de los pacientes, médicos y otras entidades cubiertas por la ley en relación con los datos médicos. Muchos estados han aprobado sus propias leyes para tratar de proteger mejor la privacidad médica de sus ciudadanos.
Una ley nacional importante respecto a la privacidad médica es la Ley de Portabilidad y Responsabilidad del Seguro Médico de 1996 (HIPAA), aunque existen muchas controversias respecto a los derechos de protección de la ley.
La ley más completa aprobada es la Ley de Portabilidad y Responsabilidad del Seguro Médico de 1996 (HIPAA), que luego fue revisada después de la Regla Ómnibus Final en 2013. HIPAA proporciona un estándar mínimo federal para la privacidad médica, establece estándares para usos y divulgaciones de información médica protegida (PHI) y establece sanciones civiles y penales por violaciones.
Antes de la HIPAA, sólo ciertos grupos de personas estaban protegidos por las leyes médicas, como las personas con VIH o aquellas que recibían ayuda de Medicare. [41] La HIPAA brinda protección a la información de salud y complementa otras leyes estatales y federales; sin embargo, debe entenderse que el objetivo de la ley es equilibrar los beneficios de salud pública, la seguridad y la investigación, al tiempo que se protege la información médica de las personas. Sin embargo, muchas veces, la privacidad se ve comprometida en beneficio de la investigación y la salud pública.
Según la HIPAA, las entidades cubiertas que deben cumplir con los mandatos establecidos por la ley son los planes de salud, los centros de intercambio de información sobre atención médica y los proveedores de atención médica que transmiten electrónicamente información médica protegida. Los socios comerciales de estas entidades cubiertas también están sujetos a las normas y regulaciones de la HIPAA.
En 2008, el Congreso aprobó la Ley de No Discriminación por Información Genética de 2008 (GINA, por sus siglas en inglés) , cuyo objetivo era prohibir la discriminación genética de las personas que buscaban un seguro médico y empleo. La ley también incluía una disposición que obligaba a que la información genética que tuvieran los empleadores se mantuviera en un archivo separado y prohibía la divulgación de información genética, excepto en circunstancias limitadas.
En 2013, después de que se aprobara la GINA, la Norma Ómnibus de la HIPAA modificó las normas de la HIPAA para incluir la información genética en la definición de Información Médica Protegida (PHI). Esta norma también amplió la HIPAA al ampliar la definición de socios comerciales para incluir a cualquier entidad que envíe o acceda a la PHI, como los proveedores de TI de salud .
La Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) ha sido criticada por no brindar fuertes protecciones a la privacidad médica, ya que solo establece regulaciones que divulgan cierta información. [42]
El gobierno autoriza el acceso a la información de salud de un individuo para "tratamiento, pago y opciones de atención médica sin el consentimiento del paciente". [42] Además, las reglas de HIPAA son muy amplias y no protegen a un individuo de amenazas desconocidas a la privacidad. Además, un paciente no podría identificar la razón de la violación debido a requisitos inconsistentes. [42] Debido a la confidencialidad limitada, HIPAA facilita el intercambio de información médica ya que hay pocas limitaciones por parte de diferentes organizaciones. [42] La información se puede intercambiar fácilmente entre instituciones médicas y otras instituciones no médicas debido a la poca regulación de HIPAA - algunos efectos incluyen la pérdida de empleo debido al intercambio de puntaje crediticio o la pérdida de seguro. [42]
Además, los médicos no están obligados a mantener la confidencialidad de la información de los pacientes porque en muchos casos el consentimiento del paciente es ahora opcional. Los pacientes a menudo no son conscientes de la falta de privacidad que tienen, ya que los procesos y formularios médicos no establecen explícitamente el grado de protección que tienen. [42] Los médicos creen que, en general, la HIPAA provocará mandatos poco éticos y no profesionales que pueden afectar la privacidad de una persona y, por lo tanto, en respuesta tienen que proporcionar advertencias sobre sus preocupaciones sobre la privacidad. [42] Debido a que los médicos no pueden garantizar la privacidad de una persona, existe una mayor probabilidad de que los pacientes tengan menos probabilidades de recibir tratamiento y compartir cuáles son sus preocupaciones médicas. [42] Las personas han pedido mejores requisitos de consentimiento preguntando si los médicos pueden advertirles antes de compartir cualquier información personal. [43] Los pacientes quieren poder compartir información médica con sus médicos, pero les preocupan las posibles infracciones que pueden divulgar información financiera y otra información confidencial y, con ese miedo, desconfían de quién puede tener acceso. [43]
Para garantizar una mejor protección, el gobierno ha creado marcos para mantener la confidencialidad de la información, algunos de los cuales incluyen la transparencia en cuanto a los procedimientos, la divulgación y protección de la información, y el seguimiento de estas nuevas normas para garantizar que la información de las personas no se vea afectada por infracciones. [43] Aunque existen muchos marcos para garantizar la protección de los datos médicos básicos, muchas organizaciones no controlan estas disposiciones. La HIPAA da falsas esperanzas a los pacientes y a los médicos, ya que no pueden proteger su propia información. Los pacientes tienen pocos derechos en lo que respecta a sus derechos de privacidad médica y los médicos no pueden garantizarlos. [44]
La HIPAA no protege la información de las personas, ya que el gobierno puede publicar cierta información cuando lo considere necesario. El gobierno está exento de las normas de privacidad en materia de seguridad nacional. Además, la HIPAA permite la autorización de información sanitaria protegida (PHI) para ayudar en caso de amenazas a la salud y la seguridad públicas, siempre que se respete el requisito de buena fe: la idea de que la divulgación de información es necesaria para el beneficio del público. [45] La Ley Modelo de Poderes de Emergencia Estatal (MSEHPA) otorga al gobierno el poder de "suspender regulaciones, confiscar bienes, poner en cuarentena a personas y hacer cumplir las vacunaciones" y exige que los proveedores de atención médica proporcionen información sobre posibles emergencias sanitarias". [45]
En relación con el huracán Katrina , muchas personas en Luisiana dependían de Medicaid y su información médica protegida se vio afectada posteriormente. Los derechos de privacidad médica de las personas pronto fueron renunciados para que los pacientes recibieran el tratamiento que necesitaban. Sin embargo, muchos pacientes no sabían que se habían renunciado a sus derechos. [45] Para evitar el intercambio de información personal en futuros desastres naturales, se creó un sitio web para proteger los datos médicos de las personas. [45] En última instancia, Katrina demostró que el gobierno no estaba preparado para enfrentar un problema de salud nacional.
Muchos pacientes creen equivocadamente que la HIPAA protege toda la información médica. La HIPAA no suele cubrir los rastreadores de actividad física, los sitios de redes sociales y otros datos de salud creados por el paciente. Los pacientes pueden divulgar información médica en correos electrónicos, blogs, grupos de chat o sitios de redes sociales, incluidos aquellos dedicados a enfermedades específicas, al marcar "Me gusta" en páginas web sobre enfermedades, al completar comprobadores de salud y síntomas en línea y al donar a causas relacionadas con la salud. Además, los pagos con tarjeta de crédito para copagos de visitas médicas, la compra de medicamentos de venta libre (OTC), productos para pruebas en el hogar, productos de tabaco y visitas a médicos alternativos tampoco están cubiertos por la HIPAA.
Un estudio de 2015 informó que había más de 165.000 aplicaciones de salud disponibles para los consumidores. El tratamiento y la gestión de enfermedades representan casi una cuarta parte de las aplicaciones de consumo. Dos tercios de las aplicaciones se centran en la forma física y el bienestar, y el diez por ciento de estas aplicaciones pueden recopilar datos de un dispositivo o sensor. Dado que la Administración de Alimentos y Medicamentos (FDA) solo regula los dispositivos médicos y la mayoría de estas aplicaciones no son dispositivos médicos, no requieren la aprobación de la FDA. Los datos de la mayoría de las aplicaciones están fuera de las regulaciones de HIPAA porque no comparten datos con los proveedores de atención médica. "Los pacientes pueden asumir erróneamente que las aplicaciones móviles están bajo el alcance de HIPAA, ya que los mismos datos, como la frecuencia cardíaca, pueden recopilarse mediante una aplicación a la que tiene acceso su médico y está cubierta por HIPAA, o en una aplicación móvil a la que no tiene acceso el médico y no está cubierta por HIPAA.
En el año 2000, se produjo un nuevo impulso para añadir nuevas normas a la HIPAA, con los siguientes objetivos: proteger la información médica individual proporcionando acceso seguro y control de su propia información, mejorar la calidad de la atención sanitaria creando una mayor confianza entre los consumidores y sus proveedores de atención sanitaria y organizaciones de terceros, y mejorar la eficiencia del sistema médico mediante nuevas normas y normas propuestas por los gobiernos locales, los individuos y las organizaciones. [46]
La implementación de estos nuevos objetivos se complicó por el cambio de administraciones (de Clinton a Bush), por lo que fue difícil que los cambios se implementaran con éxito. [46] HIPAA, en teoría, debería aplicarse a todas las compañías, servicios y organizaciones de seguros, pero hay excepciones a quiénes realmente califican bajo estas categorías.
Sin embargo, dentro de cada categoría, existen restricciones específicas que son diferentes en cada una de ellas. No existen leyes universales que se puedan aplicar fácilmente y que las organizaciones puedan seguir con facilidad. Por ello, muchos estados han descuidado la implementación de estas nuevas políticas. Además, existen nuevos derechos de los pacientes que exigen una mejor protección y divulgación de la información sanitaria. Sin embargo, al igual que las nuevas normas relativas a las compañías de seguros, la aplicación de la legislación es limitada y no es eficaz, ya que son demasiado amplias y complejas. [46] Por lo tanto, a muchas organizaciones les resulta difícil garantizar la privacidad de estas personas. La aplicación de estos nuevos requisitos también hace que las empresas gasten muchos recursos que no están dispuestas a utilizar ni hacer cumplir, lo que en última instancia conduce a más problemas relacionados con la invasión de la privacidad médica de un individuo. [46]
La Ley de Privacidad Genética de Oregón (GPA) establece que "la información genética de un individuo es propiedad del individuo". [47] La idea de comparar el ADN de un individuo con una propiedad surgió cuando la investigación hizo que la privacidad de un individuo se viera amenazada. Muchas personas creían que su información genética era "más sensible, personal y potencialmente dañina que otros tipos de información médica". [47] Por lo tanto, las personas comenzaron a pedir más protecciones. La gente comenzó a preguntarse cómo su ADN podría permanecer anónimo dentro de los estudios de investigación y argumentó que la identidad de un individuo podría quedar expuesta si la investigación se compartiera más tarde. Como resultado, hubo un llamado para que las personas trataran su ADN como propiedad y lo protegieran a través de derechos de propiedad. Por lo tanto, las personas pueden controlar la divulgación de su información sin preguntas e investigaciones adicionales. [47] Muchas personas creían que comparar el ADN de una persona con una propiedad era inapropiado, pero las personas argumentaron que la propiedad y la privacidad están interconectadas porque ambas quieren proteger el derecho a controlar el propio cuerpo. [47]
Muchas empresas de investigación y farmacéuticas se opusieron porque les preocupaban los conflictos que pudieran surgir en relación con cuestiones de privacidad en su trabajo. Las personas, por otro lado, siguieron apoyando la ley porque querían protección sobre su propio ADN. [47] Como resultado, los legisladores crearon un compromiso que incluía una cláusula de propiedad, que otorgaría a las personas derechos de protección, pero también incluía disposiciones que permitirían que se realizaran investigaciones sin mucho consentimiento, lo que limitaba los beneficios de las disposiciones. [47] Posteriormente, se creó un comité para estudiar los efectos de la ley y cómo afectaba la forma en que se analizaba y almacenaba. [47] Encontraron que la ley beneficiaba a muchas personas que no querían que su privacidad se compartiera con otros y, por lo tanto, la ley se implementó oficialmente en 2001. [47]
Para resolver los problemas de la HIPAA en Connecticut, las legislaturas estatales intentaron crear mejores disposiciones para proteger a las personas que viven en el estado. [41] Uno de los problemas que Connecticut intentó resolver fueron los relacionados con el consentimiento. En el marco de la cláusula de consentimiento, los planes de salud y los centros de intercambio de información sobre atención médica no necesitan recibir el consentimiento de las personas, ya que existe un formulario de consentimiento general para proveedores que les otorga a los proveedores de atención médica el permiso para divulgar toda la información médica. [41] Por lo tanto, el paciente no recibe una notificación cuando su información se comparte posteriormente. [41]
Connecticut, como muchos otros estados, intentó proteger la información de las personas de la divulgación de información mediante cláusulas adicionales que las protegerían de las iniciativas de las empresas. [41] Para lograrlo, la legislatura de Connecticut aprobó la Ley de Protección de la Privacidad e Información de Seguros de Connecticut, que brinda protecciones adicionales a la información médica individual. Si terceros no cumplen con esta ley, serán multados, podrían enfrentar una pena de prisión y podrían tener sus licencias suspendidas. [41] Sin embargo, incluso en estas disposiciones adicionales, había muchos vacíos dentro de esta legislación que permitían que se negaran acuerdos comerciales y, posteriormente, se comprometiera la información. Connecticut todavía está trabajando para cambiar sus propósitos divergentes a la creación de requisitos más estrictos que creen mejores protecciones a través de disposiciones claras de ciertas políticas. [48]
En California , la Ley de Confidencialidad de la Información Médica (CMIA, por sus siglas en inglés) brinda protecciones más estrictas que las leyes federales. [49] La HIPAA establece expresamente que las leyes estatales más estrictas, como la CMIA, prevalecerán sobre los requisitos y las sanciones de la HIPAA. Más específicamente, la CMIA prohíbe a los proveedores, contratistas y planes de servicios de atención médica divulgar información médica protegida sin autorización previa.
Estas leyes de privacidad médica también establecen un estándar más alto para los proveedores de TI de salud o los proveedores de registros médicos personales (PHR) de una persona al aplicar dichos estatutos a los proveedores, incluso si no son socios comerciales de una entidad cubierta. CMIA también describe las sanciones por violar la ley. Estas sanciones van desde la responsabilidad ante el paciente (daños compensatorios, daños punitivos, honorarios de abogados, costos de litigio) hasta la responsabilidad civil e incluso penal. [50]
De igual modo, la Ley de Protección de la Privacidad e Información de Seguros de California [51] (IIPPA) protege contra la divulgación no autorizada de PHI al prohibir el intercambio de información no aprobada para la información recopilada de solicitudes de seguros y resolución de reclamos.
En Nueva Zelanda , el Código de Privacidad de la Información Sanitaria (1994) establece normas específicas para los organismos del sector sanitario con el fin de garantizar una mejor protección de la privacidad individual. El código aborda la información sanitaria recopilada, utilizada, conservada y divulgada por los organismos sanitarios. En el sector sanitario, el código sustituye a los principios de privacidad de la información.
La introducción de un sistema nacional para el intercambio de información médica y el acceso a registros electrónicos de pacientes dio lugar a mucho debate en los Países Bajos . [52]
En el curso de su práctica médica, los médicos pueden obtener información que desean compartir con la comunidad médica o de investigación. Si esta información se comparte o se publica, se debe respetar la privacidad de los pacientes. Asimismo, los participantes en investigaciones médicas que no estén dentro del ámbito de la atención directa a los pacientes también tienen derecho a la privacidad.
Si bien la privacidad médica sigue siendo un derecho importante, también es crucial equilibrar la privacidad con la innovación. Al limitar los datos de los pacientes en respuesta a las violaciones de la privacidad, se puede obstaculizar la innovación basada en datos en la medicina. Además, mantener los datos en secreto para obtener una ventaja competitiva también plantea múltiples preocupaciones, que pueden frenar los avances en las pruebas médicas (por ejemplo, Myriad Genetics ). [53]