La Ley de Portabilidad y Responsabilidad del Seguro Médico de 1996, a menudo conocida como HIPAA, es una ley de los Estados Unidos que establece ciertos requisitos para la elegibilidad de atención médica, el intercambio de información y la seguridad de los datos médicos. Hay dos secciones principales del acto, llamadas “títulos”. El Título I ofrece ciertas garantías sobre la disponibilidad de cobertura médica y prohíbe la discriminación en la emisión de servicios de seguro médico. En el Título II, la ley establece definiciones de “información médica protegida” y establece reglas de “Simplificación de la administración” relacionadas con cómo esa información puede ser compartida y almacenada en línea y en bases de datos electrónicas. En conjunto, las reglas de Simplificación de la administración se conocen como la regla de privacidad de HIPAA.
Aunque la legislación HIPAA se promulgó en 1996, la regla de privacidad de HIPAA no se convirtió en ley procesable hasta 2003. Los requisitos de protección y cumplimiento de datos que requiere la regla de privacidad de HIPAA son importantes y afectan a un gran número de entidades. Muchas empresas, hospitales y consultorios médicos necesitaban tiempo para actualizar sus sistemas de registros médicos y planes de seguridad de TI para cumplir con las muchas estipulaciones de la regla.
En muchos aspectos, la regla de privacidad de HIPAA nació del deseo de fomentar el uso de programas de salud electrónicos. Los registros de salud digitales, los archivos de farmacia y las historias clínicas pueden hacer que los tratamientos sean mucho más eficientes en muchas circunstancias. Los programas electrónicos pueden recopilar información de tal manera que se puedan notar peligros como los posibles efectos secundarios de los medicamentos, y todos los antecedentes relevantes de un paciente pueden ser vistos fácilmente por los médicos que realizan el tratamiento, sin importar dónde se encuentren los médicos. Sin embargo, los archivos almacenados en formato electrónico conllevan un riesgo mucho mayor de uso indebido que los archivos impresos. Los archivos digitales se pueden manipular fácilmente o compartir accidentalmente, lo que hace que el riesgo de invasión de la privacidad y, a veces, incluso el robo de datos e identidad, sea una posibilidad muy real.
La ley de los Estados Unidos otorga a las personas el derecho legal a la privacidad de la información médica individual. Este derecho se extiende tanto a los diagnósticos y tratamientos como a los antecedentes médicos y las estadísticas familiares. Uno de los objetivos de la regla de privacidad de HIPAA es integrar esos derechos de privacidad en el creciente campo de la salud electrónica, para garantizar que se mantenga la privacidad sin importar cuán sofisticada se vuelva la tecnología. La regla establece ciertas obligaciones para los proveedores de atención médica y otras entidades que acceden a la información médica, y aclara un espectro de derechos para pacientes e individuos.
La Oficina de Derechos Civiles del Departamento de Salud y Servicios Humanos (HHS) de los Estados Unidos hace cumplir la regla de privacidad de HIPAA. Esa oficina del HHS es responsable tanto de responder a las quejas individuales como de realizar investigaciones independientes. Debido a que la HIPAA es una ley federal, las violaciones percibidas generalmente se remiten a los abogados del Departamento de Justicia de los EE. UU. Para una mayor investigación y enjuiciamiento.