En los EE. UU., El cumplimiento de la privacidad de HIPAA se refiere a un conjunto de políticas promulgadas en 1996 que aseguran y protegen la información médica privada de los ciudadanos estadounidenses. Esas políticas se resumen en los Estándares de privacidad de la información médica identificable individualmente de la ley, también conocida como la Regla de privacidad. Según los códigos de cumplimiento de privacidad de HIPAA, las entidades que deben adherirse a los estándares de información de salud privada del gobierno incluyen proveedores de atención médica, planes de salud y centros de compensación de atención médica. El cumplimiento es voluntario para las instalaciones médicas, así como para otras empresas que pueden manejar información médica privada, como agencias de adopción, programas de asistencia social y compañías de seguros médicos.
Los estándares de cumplimiento de privacidad de HIPAA protegen toda la «información de salud identificable individualmente». Esta es cualquier información que sea privada y pueda usarse para identificar a alguien, como el nombre, la dirección y el número de seguro social de una persona. Esto también podría clasificarse como datos demográficos e información relacionada con la salud y el historial médico de un individuo específico.
Las entidades sujetas a las pautas de la regla de privacidad incluyen planes de salud, proveedores de atención médica y cámaras de compensación de atención médica. Esencialmente, las entidades sujetas a la Regla de Privacidad tienen prohibido usar o compartir la información médica privada de una persona, a menos que sea para un propósito que la HIPAA considere permisible. La divulgación de información también requiere la autorización del paciente.
No todas las empresas relacionadas con la medicina se rigen por las pautas de la Regla de privacidad. El Departamento de Salud y Servicios Humanos de EE. UU. (HHS) tiene un conjunto específico de criterios para identificar qué empresas deben adherirse a las reglas de cumplimiento de privacidad de HIPAA. Los proveedores de atención médica, por ejemplo, solo están sujetos al cumplimiento de la privacidad de HIPAA si transmiten información electrónica de una manera que se ajuste a los estándares de HIPAA. Los proveedores de atención médica incluyen profesionales individuales, como médicos, dentistas y psicólogos, así como empresas como clínicas, farmacias y hogares de ancianos.
Las entidades de planes de salud que deben seguir las reglas de cumplimiento de privacidad de HIPAA incluyen planes de salud de empresas, compañías de seguros de salud y HMO. Los programas gubernamentales como Medicare y Medicaid también se incluyen en este grupo. Las cámaras de compensación de atención médica que deben cumplir incluyen cualquier entidad que procese información de salud no estándar recibida de un tercero, como empresas de servicios de facturación y sistemas comunitarios de información de salud.
Si se descubre que las empresas violan las políticas de cumplimiento de privacidad de HIPAA, se les puede imponer una multa civil de hasta $ 11,000 dólares estadounidenses (USD) por cada violación. El cumplimiento es supervisado por la Oficina de Derechos Civiles (OCR) del HHS. La OCR tiene el poder de realizar revisiones para garantizar el cumplimiento, así como para investigar las quejas de violación de la privacidad. Bajo HIPAA, los estados individuales aún conservan la capacidad de imponer estándares de privacidad más estrictos a las entidades de atención médica.