L’Health Insurance Portability and Accountability Act del 1996, spesso indicato come HIPAA, è una legge degli Stati Uniti che stabilisce determinati requisiti per l’idoneità all’assistenza sanitaria, la condivisione delle informazioni e la sicurezza dei dati sanitari. Ci sono due sezioni principali dell’atto, chiamate “titoli”. Il titolo I fornisce alcune garanzie sulla disponibilità della copertura sanitaria e vieta la discriminazione nell’erogazione dei servizi di assicurazione sanitaria. Nel titolo II, la legge stabilisce le definizioni di “informazioni sanitarie protette” e stabilisce regole di “semplificazione amministrativa” relative a come tali informazioni possono essere condivise e archiviate online e in banche dati elettroniche. Collettivamente, le regole di semplificazione amministrativa sono note come regola sulla privacy HIPAA.
Sebbene la legislazione HIPAA sia stata emanata nel 1996, la norma sulla privacy HIPAA non è diventata legge perseguibile fino al 2003. La protezione dei dati e i requisiti di conformità richiesti dalla norma sulla privacy HIPAA sono significativi e interessano un gran numero di entità. Molte aziende, ospedali e studi medici avevano bisogno di tempo per aggiornare i propri sistemi di cartelle cliniche e piani di sicurezza IT per conformarsi alle numerose disposizioni della regola.
Per molti aspetti, la norma sulla privacy HIPAA è nata dal desiderio di incoraggiare l’uso di programmi sanitari elettronici. Le cartelle cliniche digitali, i file delle farmacie e le cartelle cliniche possono rendere i trattamenti molto più efficienti in molte circostanze. I programmi elettronici possono raccogliere informazioni in modo tale da poter rilevare pericoli come potenziali effetti collaterali dei farmaci e tutta la storia rilevante di un paziente può essere facilmente visualizzata dai medici che prescrivono il trattamento, indipendentemente da dove si trovino i medici. Tuttavia, i file archiviati in formato elettronico comportano un rischio di abuso molto maggiore rispetto ai file cartacei. I file digitali possono essere facilmente manipolati o condivisi accidentalmente, rendendo il rischio di violazione della privacy – e talvolta anche di dati e furto di identità – una possibilità molto reale.
La legge degli Stati Uniti garantisce alle persone il diritto legale alla privacy nelle informazioni sanitarie individuali. Questo diritto si estende alle diagnosi e alle cure tanto quanto all’anamnesi e alle statistiche familiari. Uno degli obiettivi della norma sulla privacy HIPAA è quello di integrare tali diritti alla privacy nel crescente campo dell’e-health, per garantire che la privacy sia mantenuta, indipendentemente da quanto diventi sofisticata la tecnologia. La norma stabilisce alcuni obblighi per gli operatori sanitari e altre entità che accedono alle informazioni mediche e chiarisce uno spettro di diritti per pazienti e individui.
L’Ufficio per i diritti civili del Dipartimento della salute e dei servizi umani degli Stati Uniti (HHS) applica la regola sulla privacy HIPAA. Tale ufficio HHS è responsabile sia della risposta ai reclami individuali, sia della conduzione di indagini indipendenti. Poiché HIPAA è una legge federale, le violazioni percepite vengono in genere indirizzate agli avvocati del Dipartimento di Giustizia degli Stati Uniti per ulteriori indagini e azioni penali.