Skip to content
Tailboard
SOP-150en español

Manejo de HIPAA y la información de salud protegida

Privacidad, seguridad y notificación de brechas para información del paciente.

Este SOP rige cómo [NOMBRE DE LA AGENCIA] maneja la información de salud protegida (PHI) bajo la ley federal HIPAA. El cumplimiento protege al paciente, a la agencia y a cada miembro contra sanciones civiles y penales.

Definiciones

PHI (información de salud protegida)
Información de salud identificable individualmente, transmitida o mantenida en cualquier forma. Incluye nombre del paciente, dirección, fecha de nacimiento, condición médica y cualquier identificador que pueda conectar la información de salud a una persona específica.
Entidad cubierta
Bajo HIPAA, un proveedor de salud, plan de salud o centro de procesamiento de información de salud. [NOMBRE DE LA AGENCIA] es una entidad cubierta cuando presta servicios de SEM.
Asociado comercial
Tercero que realiza funciones que involucran PHI en nombre de una entidad cubierta (p. ej., servicio de facturación, proveedor de ePCR). Requiere un Acuerdo de Asociado Comercial (BAA).
Mínimo necesario
Divulgar solo la PHI requerida para cumplir el propósito. Es la regla por defecto para todo uso y divulgación.

Propósito

Establecer cómo los miembros protegen la información de salud protegida durante la atención al paciente, la documentación, la facturación y cualquier divulgación — cumpliendo con las reglas de Privacidad y Seguridad de HIPAA mientras se atienden las necesidades operativas legítimas.

Alcance

Aplica a todos los miembros, voluntarios, empleados y contratistas que puedan tener contacto con PHI — incluyendo paramédicos, EMT, conductores, personal de facturación, oficiales de capacitación y supervisores. Aplica dentro y fuera de servicio.

Usos y divulgaciones permitidos

  • Tratamiento — para brindar atención al paciente o coordinar con el centro receptor.
  • Pago — para facturación, seguros o reembolso.
  • Operaciones — para mejora de la calidad, capacitación (desidentificada o con autorización), credencialización.
  • Requerido por ley — orden judicial, citación, reportes obligatorios (abuso, herida de bala, enfermedad infecciosa).
  • Actividades de salud pública — vigilancia de enfermedades, reportes de exposición.
  • Amenazas a la seguridad — para prevenir daño inminente grave.

Divulgaciones que requieren autorización del paciente

  • Marketing, recaudación de fondos o uso mediático de historias o imágenes del paciente.
  • Divulgación a empleadores (excepto compensación laboral).
  • Divulgación a familiares más allá de lo permitido por el paciente.
  • Uso en investigación (con excepciones limitadas).

Comunicación verbal

  • No discutir información del paciente en áreas públicas (pasillos, ascensores, restaurantes, estacionamientos).
  • Use la información mínima necesaria al reportar por radio — iniciales del paciente o edad/género suelen ser suficientes.
  • Refiera preguntas de medios o público al oficial de información pública; nunca confirme presencia o condición de un paciente sin autorización explícita.

Documentación y PHI electrónica

  1. El acceso al ePCR es por inicio de sesión individual. No comparta credenciales.
  2. Cierre sesión antes de dejar una estación de trabajo. Las estaciones se bloquean automáticamente conforme a la política de TI.
  3. Los dispositivos móviles usados para completar el ePCR deben estar protegidos por contraseña y cifrados; reporte de inmediato la pérdida o robo de un dispositivo.
  4. No envíe mensajes de texto, correos electrónicos ni fotografías de PHI desde dispositivos personales. Use únicamente canales cifrados aprobados.
  5. Los PCR en papel se almacenan en gabinetes con llave y se trituran al término del periodo de retención.

Redes sociales

Los miembros no deben publicar ninguna información que pueda identificar a un paciente — incluyendo fotos de escenas que puedan vincularse a una llamada. Hasta una placa de matrícula o una casa distintiva puede reidentificar al paciente. Ante la duda, no publique.

Notificación de brecha

Una brecha es la adquisición, acceso, uso o divulgación no permitida de PHI sin protección, que compromete la seguridad o privacidad de la información.

  1. Toda sospecha de brecha se reporta al Oficial de Privacidad dentro de 24 horas.
  2. El Oficial de Privacidad documenta: quién accedió a PHI, qué información, cuándo, cómo y qué mitigación ocurrió.
  3. Una evaluación de riesgo determina los requisitos de notificación.
  4. Si una brecha afecta a 500+ personas, se requiere notificar a HHS, a los pacientes afectados y a los medios destacados dentro de 60 días.
  5. Las brechas menores se registran y reportan anualmente a HHS.

Derechos del paciente

  • El paciente puede solicitar acceso a su PHI (ePCR, registros de facturación).
  • El paciente puede solicitar modificaciones a PHI incorrecta.
  • El paciente puede solicitar un recuento de divulgaciones.
  • El paciente puede solicitar restricciones de divulgación (la agencia puede negarlas si no son practicables).
  • El Oficial de Privacidad atiende todas las solicitudes del paciente dentro de 30 días.

Acuerdos con asociados comerciales

Todo proveedor que maneje PHI en nombre de [NOMBRE DE LA AGENCIA] — servicios de facturación, plataformas de ePCR, contratistas de TI, proveedores de destrucción de documentos — debe tener un BAA firmado antes del acceso. El Oficial de Privacidad mantiene el inventario de BAA.

Capacitación

  • Capacitación inicial de HIPAA en la integración.
  • Refuerzo anual para todos los miembros.
  • Capacitación dirigida después de cualquier brecha o cuasi-incidente.
  • Documentación de capacitación en los archivos del personal durante la duración del empleo más 6 años.

Responsabilidades

Oficial de Privacidad

  • Mantiene el programa HIPAA de la agencia.
  • Investiga sospechas de brechas.
  • Gestiona solicitudes del paciente de acceso, modificación y recuento.
  • Mantiene el inventario de BAA y el Aviso de Prácticas de Privacidad.
  • Conduce y documenta la capacitación anual.

Todos los miembros

  • Usar el mínimo necesario de PHI.
  • Reportar sospechas de brecha dentro de 24 horas.
  • Completar la capacitación anual.
  • Cumplir las reglas de redes sociales dentro y fuera de servicio.

Sanciones

Las violaciones de HIPAA tienen sanciones civiles de hasta $50,000 por violación (con tope anual de $1.5M por categoría) y sanciones penales de hasta 10 años de prisión por divulgación maliciosa. La agencia impondrá disciplina interna conforme a la SOP de Disciplina y Quejas hasta — y posiblemente incluyendo — la terminación.

Referencias

  • Regla de Privacidad de HIPAA 45 CFR Parte 164, Subparte E
  • Regla de Seguridad de HIPAA 45 CFR Parte 164, Subparte C
  • Regla de Notificación de Brechas 45 CFR Parte 164, Subparte D
  • Guía de HHS para Entidades Cubiertas hhs.gov/hipaa

Notas de adaptación

  • Nombre al Oficial de Privacidad (típicamente el jefe de SEM o designado).
  • Adjunte su Aviso de Prácticas de Privacidad.
  • Liste su proveedor de ePCR y confirme que hay un BAA vigente en archivo.
  • Haga referencia cruzada con las SOP de Mantenimiento de Registros y Redes Sociales.