Registros médicos: privacidad y derechos de acceso que otorga la ley HIPAA

Jamie DePolo: Hola. Gracias por escucharnos. Nuestra invitada de hoy es Deven McGraw, directora de regulaciones de Ciitizen, una empresa tecnológica que está creando una plataforma para ayudar a la gente a reunir, organizar y compartir sus historias clínicas de manera digital. Antes de unirse a Ciitizen, estuvo a cargo de la política estadounidense sobre privacidad y seguridad como vicedirectora del área de privacidad de la información de salud de la Oficina de Derechos Civiles del Departamento de Salud y Servicios Humanos, que es la oficina que supervisa la política y el cumplimiento de la HIPAA en Estados Unidos. También fue funcionaria interina a cargo de la protección de la privacidad en la Oficina del Coordinador Nacional de Tecnología de Información de Salud. Asimismo, Deven se desempeñó como asesora para la red de Investigación de Resultados Centrados en el Paciente, además de la iniciativa de investigación All of Us.

Hoy hablaremos sobre las historias clínicas y la HIPAA. Bienvenida al podcast, Deven.

Deven McGraw: Muchas gracias. Encantado de estar aquí.

Jamie DePolo: Quiero comenzar por decir que la mayoría de las personas conocen el acrónimo HIPAA, pero estoy segura de que muchos no saben qué significa cada letra. Tú participaste en el desarrollo de la HIPAA. ¿Podrías decirnos lo que significa el nombre completo y para qué se creó esta ley?

Deven McGraw: HIPAA significa Ley de Portabilidad y Responsabilidad del Seguro Médico (Health Insurance Portability and Accountability Act, HIPAA, sigla en inglés). Así que la I es de seguro (insurance) y la P, de portabilidad (portability). Estas letras no hacen referencia a la privacidad ni a la privacidad de la información. Así que es interesante pensar cómo a partir de este estatuto logramos instaurar el conjunto de normas de privacidad que rigen hoy para la información de salud que recaban los médicos, los hospitales y los planes de salud en el país. Esto se debió a una serie de disposiciones presentes en el estatuto de la HIPAA que buscaban alivianar algunos costos administrativos para el sistema de salud al digitalizar y estandarizar las transacciones de pago que se llevan a cabo todos los días entre los planes de seguros de salud y los médicos y hospitales.

Como el Congreso reconoció que digitalizar los datos podría suponer un riesgo a la privacidad, le pidió al Departamento de Salud y Servicios Humanos que creara regulaciones orientadas a proteger los datos que ahora se digitalizarían y estandarizarían. Entonces, el Departamento de Salud y Servicios Humanos, que en realidad tardó varios años en crear estas regulaciones, desarrolló en 1999 las primeras versiones de las regulaciones sobre privacidad y seguridad destinadas a proteger la información de salud que recaban los planes de seguros de salud en la mayoría de los consultorios médicos y en todos los hospitales.

La ley HIPAA tal como la conocemos surgió en realidad de un estatuto de portabilidad de los seguros, lo cual es interesante.

Jamie DePolo: Lo es. La HIPAA estaba dirigida específicamente a regular las historias clínicas electrónicas. Realmente no se hablaba del tema antes de pasar a la digitalización.

Deven McGraw: Sí, exactamente. Sin embargo, las personas encargadas de crear las regulaciones reconocieron que los datos no solo eran digitales. Aún había muchos registros en papel que se usaban en los hospitales y en los consultorios médicos. Así que la norma de privacidad de la HIPAA constituye lo que me gusta llamar un enfoque agnóstico, que significa que cubre todos los datos en cualquier medio, ya sea impreso, verbal o digital. La norma de seguridad de la HIPAA enumera expectativas detalladas sobre los datos electrónicos, pero es totalmente cierto lo que dice respecto de que el origen de esta ley en 1996 se centró en la digitalización de datos y luego en la necesidad repentina de protegerlos.

Jamie DePolo: Bien. El aspecto sobre la privacidad de la HIPAA parece ser lo más debatido. Al parecer así entiende la gente esta ley. Pero creo que muchos no saben que la HIPAA también garantiza el acceso de la gente a sus historias clínicas de forma oportuna. ¿Podrías hablar brevemente sobre eso?

Deven McGraw: Por supuesto. Desde un primer momento, en 1999, parte de la norma de privacidad de la HIPAA se ocupó de que las personas tuvieran derecho a acceder a su información de salud y a realizar copias de esta. De hecho hay que reconocer que fue un gran mérito que las personas encargadas de crear las regulaciones reconocieran que el hecho de que la gente tuviera derecho a acceder a su información era tan importante como la protección de dicha información.

Jamie DePolo: ¿Podrías hablar sobre los plazos?, porque, según tengo entendido, en virtud de esta ley, las personas pueden solicitar sus registros y las entidades tienen un plazo de tiempo para responderles.

Deven McGraw: Sí, es así tal cual. La cuestión del derecho al acceso a la información es bastante extensa. Creo que mucha gente no entiende totalmente el alcance de los derechos que esta ley le otorga. Tienes derecho a obtener una copia de tu información de salud en un plazo de 30 días luego de haberlo solicitado. También tienes derecho a obtener esa información en la forma o el formato que prefieras. Por ejemplo, si quieres tener una carpeta con tu información de salud, puedes solicitar tus datos en papel. Si prefieres recibirlos por correo electrónico o en un CD para guardarlos en tu computadora, puedes obtenerlos de esa manera. Tú puedes elegir que te envíen tus registros como más te convenga, siempre y cuando el remitente tenga la capacidad de proporcionártelos de la manera que elegiste.

Y, como dije antes, tienes derecho a recibirlos en un plazo de 30 días sin pagar una cantidad elevada de dinero. Las entidades podrán cobrar una tarifa razonable en función de los costos, pero solo a los fines de cubrir los costos operativos que se requieren para hacer la copia. En la era del papel, esto hacía referencia al tiempo que tardaba alguien en pararse frente a una fotocopiadora y hacer copias de cada página. Pero, en la era digital, ¿cuál es el verdadero costo operativo de hacer una copia presionando un botón para descargar algo o para subirlo a un CD, o presionar el botón para enviar un correo electrónico? Es muy bajo. Así que, por ley, pueden cobrar un costo muy bajo, de hecho, vemos que muchas instituciones no les cobran nada a los pacientes porque quieren cumplir con los derechos de estos últimos. Creo que, en muchos casos, esta es la razón y, por otro lado, el monto que pueden cobrar es tan bajo que no vale la pena hacerlo.

Jamie DePolo: Tiene sentido. En este punto, ¿sabes si todos los establecimientos y proveedores utilizan historias clínicas electrónicas o en algunos lugares todavía usan copias impresas?

Deven McGraw: En algunos consultorios médicos aún utilizan copias en papel. En la mayoría de los hospitales que conozco se usan las historias clínicas electrónicas, el porcentaje podría ser tan alto como un 99 % (siempre hay alguna excepción). Y, en la mayoría de los consultorios médicos, se utilizan registros electrónicos. El porcentaje que no lo hace es muy pequeño. Muchas veces, se trata de proveedores que se están preparando para jubilarse, y el esfuerzo de pasar a utilizar historias clínicas electrónicas no es menor. Digamos que están listos para terminar su práctica médica y tal vez no lo están para hacer la transición al método electrónico. Pero hay incentivos financieros significativos que ofrece el gobierno federal por adoptar este tipo de registros, y tuvieron un éxito enorme para incentivar al sector de atención sanitaria a adoptar las historias clínicas electrónicas.

Es bastante raro hoy en día entrar a un consultorio o un hospital y no ver computadoras, en lugar de esos archivos en papel que solíamos ver cuando íbamos al médico hace apenas cinco años.

Jamie DePolo: Creo que el único inconveniente que veo es que los distintos proveedores a los que visito usan sistemas diferentes. Entonces utilizo un portal para un médico, otro portal para otro médico y un tercer portal para otro. A mí me resulta difícil llevar un control de los distintos tipos de sistemas que eligen usar los médicos para acceder a las historias clínicas electrónicas.

Deven McGraw: Y ni hablar de recordar la contraseña.

Jamie DePolo: Supongo que tiene que ver con limitar la competencia y cosas por el estilo, pero ¿existe alguna iniciativa para estandarizar estos sistemas? ¿Se está hablando de eso?

Deven McGraw: Por supuesto. Quiero hacer algunas aclaraciones al respecto. La información que ves en los portales de todos esos médicos es en realidad una parte. Son datos importantes para ti, pero no es toda la información a la que tienes derecho a acceder.

Según la HIPAA, tienes derecho a acceder a mucha más información de la que hay en esos portales. El gobierno federal está trabajando en algunas iniciativas destinadas a aumentar la cantidad información que se muestra en esos portales, de modo que puedas ver tus radiografías y los comentarios que tus médicos y enfermeros realizaron durante tu última hospitalización. Todo, tu informe patológico, todos los datos que tengas derecho a saber deberían estar en ese portal. En la actualidad, no es algo obligatorio, pero lo será en el futuro. Así que podría decirse que el problema puede empeorar. Tendrás más información, pero en muchos lugares distintos.

Lo otro que propuso el gobierno federal es, básicamente, exigir que las historias clínicas electrónicas cuenten con vías de acceso, interfaces de programación de aplicaciones (las llamadas API en inglés), que te permitirán contratar una aplicación o servicio para ingresar y recabar todos tus datos de todos los portales y centralizarlos en un único sitio. Eso es algo en lo que está trabajando Ciitizen, en recolectar todos estos datos para que tengas que consultar un solo lugar y todos tus datos estén en el mismo sitio.

No es que les piden a los médicos que utilicen un único portal. El método estándar que emplean para que estas vías estén disponibles es la implementación de un requisito para que tú, como consumidor y como paciente, puedas elegir el servicio que desees usar, y luego la aplicación reunirá toda tu información de manera rutinaria en tu nombre. Luego puedes utilizarla y compartirla como quieras, lo cual les da a los pacientes un poder enorme que hoy no tienen, porque sus datos están en cinco portales diferentes. No están todos los datos a los que tienen derecho a acceder, pero aun así, quieren tener más control sobre su salud, quieren buscar otras opciones de tratamiento. Quierne asegurarse de que sus datos estén disponibles para los programas de investigación que les interesan.

Así que muy pronto esto cambiará para mejor. Se espera que estas normas que propuso el gobierno federal a principios de este año estén terminadas al final de este año calendario o quizás para el primer trimestre de 2020, y luego en dos años se supone que todas estas características estarán disponibles en todo el país.

Así que vienen cambios. Creo que la situación en torno a los pacientes y a sus datos cambiará mucho en los próximos dos a tres años.

Jamie DePolo: Sé que la empresa para la que trabajas, Ciitizen, como dijiste, está desarrollando un método para que las personas diagnosticadas con cáncer puedan reunir y gestionar todas sus historias clínicas de los distintos médicos y hospitales. Pero ¿qué sucede en el caso de alguien que tiene una enfermedad distinta del cáncer o que no tiene ninguna enfermedad y solo quiere reunir sus actualizaciones de salud y sus exámenes físicos anuales? ¿De qué otra manera se pueden solicitar las historias clínicas y llevar un seguimiento de estas? ¿Qué recomiendas tú?

Deven McGraw: Yo recomiendo realizar copias de las historias clínicas aunque hoy implique una inversión de tiempo, porque aún no hay sistemas automatizados vigentes, como los que le comenté antes. Se pueden obtener los registros por parte de todos los proveedores médicos.

Lo que sugiero es que, primero, obtengan esos registros porque les serán muy útiles. Solo pídanselo al proveedor de atención médica. Si es un consultorio médico pequeño, tal vez baste preguntarle al personal de enfermería. Y si es un consultorio más grande, una clínica o un hospital, habrá un departamento de historias clínicas. Solo deben dirigirse a ese departamento y decir que son pacientes y desean obtener copias de sus historias clínicas. Deben indicar el período para el que desean sus registros médicos, por ejemplo, pueden ser los del último año o los de los últimos cinco años. Digan que quieren ponerse al día con sus datos, que no lo han hecho de manera rutinaria y quieren obtener todos sus registros porque los necesitan.

No es necesario que digan el motivo. Si los desean, pueden obtenerlos. Luego indiquen cómo quieren recibirlos, por ejemplo, ¿por correo postal o por correo electrónico? En un plazo de 30 días deberían recibirlos. Si les cobran una suma, deben darles un monto estimado y, si este es demasiado elevado, como cientos de dólares, entonces es demasiado dinero. Lo más probable es que la entidad no esté cumpliendo la ley HIPAA.

Si se niegan a entregarles los registros en el formato que lo solicitaron o en un plazo de 30 días, instamos a que presenten una queja en la Oficina de Derechos Civiles del Departamento de Salud y Servicios Humanos de Washington DC. Para ello cuentan con un foro en línea porque es su derecho acceder a esos registros. El gobierno está adoptando una postura más estricta para hacer cumplir estos derechos y, de hecho, hace poco anunciaron que tomaron una medida orientada a hacer cumplir la ley que consistió en cobrarle una multa a un hospital porque se negó a entregarle a una paciente los registros que había solicitado. Este tema está recibiendo mucha más atención.

Creo que cada vez es más fácil obtener estos registros, pero tienen el derecho de obtenerlos por un monto bajo. Tienen el derecho de obtenerlos en un plazo de 30 días y en la forma o el formato que lo deseen, a menos que pidan un formato extraño que no se pueda proporcionar.

Jamie DePolo: Como tablas de piedra o algo por el estilo.

Deven McGraw: Sí, exacto, o pedirlos por paloma mensajera. Eso puede ser demasiado. Pero, si los pides por correo postal, por correo electrónico o en un CD, están obligados a cumplir con tu solicitud. Así que esa es mi recomendación.

Jamie DePolo: Antes, cuando hablamos de obtener esos registros o de solicitarlos, mencionaste las imágenes de tomografía computarizada o las radiografías. ¿Hoy en día se envía este tipo de imágenes o es algo que estará disponible el año que viene?

Deven McGraw: Actualmente no están disponibles en los portales, pero son parte de tus derechos bajo esta ley. Puedes pedir que te las envíen. Por lo general, son archivos muy grandes, es probable que deban enviártelos en un CD u otro medio portátil, como un dispositivo USB. Es posible que debas comprar uno de estos equipos, y la institución podría cobrártelo.

Debo decir que el hospital no recibe tu dispositivo USB y carga tus imágenes allí, porque, si inserta el equipo en su sistema, existe la posibilidad de introducir un virus o un software malicioso proveniente de tu dispositivo. Así que no insertarán en su sistema ningún medio portátil de otras personas. Pero, si pides que te lo envíen en un dispositivo USB o en un disco, deberían poder hacerlo. Y así podrás realizar tú mismo las copias de las imágenes. Podrás guardarlas en el disco o subirlas a tu computadora o a algún sistema de almacenamiento en la nube que utilices para almacenar archivos más grandes.

Hoy tienes derecho a obtener estas imágenes, solo que tendrás que recibirlas en algún medio portátil porque los archivos son muy grandes y, por ahora, no están disponibles en los portales.

Jamie DePolo: Sé que lo que voy a preguntar podría implicar realizar una investigación exhaustiva en algunos casos. Pero ¿qué sucede si alguien nunca recolectó sus registros médicos y desea hacerlo, pero para eso debe investigar e identificar todos los médicos e instituciones que visitó? ¿O es más fácil tomar la decisión de comenzar y reunir, por ejemplo, los registros del último año y avanzar desde allí?

Deven McGraw: Suelo recomendar que comiencen con los datos que conocen del último año, porque estarán más frescos en la memoria. Pero para algunas personas esto no funciona. O sea, conozco algunas personas que recibieron un diagnóstico de cáncer y un tratamiento que funcionó y entraron en remisión y, unos años después, quieren obtener copias de los registros de esos primeros tratamientos por si los necesitan más adelante. En ese caso, deben investigar un poco y reconstruir el camino recorrido. Una posible fuente que puede ser útil para reconstruir tu recorrido médico y los proveedores que visitaste son los registros de tu plan de salud, porque, a menos que no tuvieras seguro cuando recibiste el tratamiento, cada proveedor que te atendió presentó una solicitud a tu plan de salud, y tu derecho de acceso a la información según la HIPAA cubre también los registros de tu plan de seguro de salud.

Jamie DePolo: No sabía eso. Ya veo.

Deven McGraw: Puedes solicitar los registros de tus solicitudes de atención sanitaria o las notificaciones de explicación de los beneficios que llegan por correo y que algunas personas conservan. Yo solía guardarlas. No sé por qué, pero lo hacía. Incluso si no las guardaste, puedes acceder a ese registro. Y este puede ayudarte a reconstruir el recorrido de todos los lugares en los que te atendieron y todos los proveedores de atención sanitaria que se ocuparon de tu caso. Así no tienes que recurrir solo a tu memoria, la cual, según cuánto tiempo haya pasado, puede no ser tan buena como antes. A veces es difícil para la gente reconstruir todo eso.

Vemos algunos casos en los que la persona conoce el nombre de los lugares en los que recibió atención sanitaria, pero no necesariamente recuerda el nombre de los médicos que la atendieron. La mayoría de las veces el hospital guarda el registro de los servicios prestados, y no es necesario que recuerdes el nombre de cada médico. Pero, como dije antes, los registros de tu plan de salud podrían darte una pista sobre dónde te atendiste si no lo recuerdas.

Jamie DePolo: Es un buen punto. No lo había pensado porque me imagino que, si alguien, en especial, una persona que fue diagnosticada con cáncer hace cinco o siete años, recibió tratamiento, se encuentra en un punto en el que no hay evidencia de enfermedad y no desea pensar en eso porque fue una experiencia muy desagradable, entonces ponerse en contacto con la compañía de seguros parece una muy buena manera de empezar a buscar información bastante antigua.

Deven McGraw: Sin dudas. Lo llamamos el rastro de las migas de pan y hace referencia a dónde estabas y dónde te atendieron. A menos que hayas pagado toda la atención sanitaria de tu bolsillo, lo cual es improbable en el caso de una enfermedad grave, tu plan de salud sabrá qué lugares visitaste.

Jamie DePolo: ¿Hay algún límite respecto de hasta cuándo puedes retroceder?

Deven McGraw: Sí. Si bien no es exigido por ley, hay un límite porque las instituciones y consultorios médicos no conservan los registros indefinidamente. No existe una ley federal que establezca un único estándar sobre durante cuánto tiempo deben conservar los registros. Esto suele regirse por las leyes estatales y varía, pero creo que, en el caso de la atención sanitaria, es extremadamente difícil obtener registros que datan de más de 10 años. Es posible que ya no existan. Por eso animamos a las personas a obtener sus registros ahora porque, si esperan demasiado, puede que estos dejen de existir. Es posible que se destruyan. Es una pena cuando esto sucede, en especial, si tuviste una recurrencia de una enfermedad y quieres obtener los registros de tu tratamiento inicial y estos ya no están disponibles.

Jamie DePolo: Es una excelente forma de verlo. Deven, muchas gracias. Fue una charla muy informativa y útil. Creo que a muchas personas les servirá la información compartida.

Deven McGraw: Muy bien. Me alegra poder ayudar y les agradezco la oportunidad de poder hablar sobre esto.