La Oficina de Derechos Civiles (OCR) del Departamento de Salud y Servicios Humanos (HHS) es responsable de hacer cumplir ciertas regulaciones emitidas bajo la Ley de Portabilidad y Responsabilidad de Seguros Médicos de 1996 (HIPAA), modificada por la Ley de Tecnología de la Información de Salud para la Salud Económica y Clínica (HITECH), para proteger la privacidad y la seguridad de la información médica protegida, a saber, la Notificación de Privacidad, Seguridad y Violación de la HIPAA Reglas (las Reglas de HIPAA).
Discreción de Telesalud Durante el Coronavirus
Durante la emergencia nacional por COVID-19, que también constituye una emergencia de salud pública a nivel nacional, los proveedores de atención médica cubiertos sujetos a las Reglas de HIPAA pueden tratar de comunicarse con los pacientes y proporcionar servicios de telesalud a través de tecnologías de comunicación remota. Algunas de estas tecnologías, y la forma en que son utilizadas por los proveedores de atención médica cubiertos por la HIPAA, pueden no cumplir completamente con los requisitos de las Reglas de la HIPAA.
El OCR ejercerá su discreción de aplicación y no impondrá sanciones por incumplimiento de los requisitos reglamentarios bajo las Reglas de HIPAA contra los proveedores de atención médica cubiertos en relación con la provisión de buena fe de telesalud durante la emergencia de salud pública nacional por COVID-19. Esta notificación entrará en vigor inmediatamente.
Un proveedor de atención médica cubierto que quiera usar tecnología de comunicación de audio o video para proporcionar telesalud a los pacientes durante la emergencia de salud pública nacional por COVID-19 puede usar cualquier producto de comunicación remota de cara al público que esté disponible para comunicarse con los pacientes. La OCR está ejerciendo su discreción de aplicación para no imponer sanciones por incumplimiento de las Reglas de HIPAA en relación con la provisión de buena fe de telesalud utilizando dichos productos de comunicación de audio o video no públicos durante la emergencia de salud pública nacional por COVID-19. Este ejercicio de discreción se aplica a la telesalud proporcionada por cualquier motivo, independientemente de si el servicio de telesalud está relacionado con el diagnóstico y tratamiento de afecciones de salud relacionadas con la COVID-19.
Por ejemplo, un proveedor de atención médica cubierto, en ejercicio de su juicio profesional, puede solicitar examinar a un paciente que presenta síntomas de COVID – 19, utilizando una aplicación de chat de vídeo que conecta el teléfono o la computadora de escritorio del proveedor o el paciente para evaluar un mayor número de pacientes, al tiempo que limita el riesgo de infección de otras personas que estarían expuestas en una consulta en persona. Del mismo modo, un proveedor de atención médica cubierto puede proporcionar servicios de telesalud similares en el ejercicio de su juicio profesional para evaluar o tratar cualquier otra afección médica, incluso si no está relacionada con la COVID-19, como un esguince de tobillo, consulta dental o evaluación psicológica u otras afecciones.
Según este Aviso, los proveedores de atención médica cubiertos pueden usar aplicaciones populares que permiten chats de video, como Apple FaceTime, Facebook Messenger, Google Hangouts, Zoom o Skype, para proporcionar telesalud sin riesgo de que OCR intente imponer una multa por incumplimiento de las Reglas de HIPAA relacionadas con la provisión de buena fe de telesalud durante la emergencia de salud pública nacional por COVID-19. Se alienta a los proveedores a notificar a los pacientes que estas aplicaciones de terceros pueden presentar riesgos para la privacidad, y los proveedores deben habilitar todos los modos de cifrado y privacidad disponibles al usar dichas aplicaciones.
Sin embargo, según este Aviso, Facebook Live, Twitch, TikTok y aplicaciones de comunicación por vídeo similares son de cara al público y no deben utilizarse para la prestación de telesalud por parte de proveedores de atención médica cubiertos.
Los proveedores de atención médica cubiertos que buscan protecciones de privacidad adicionales para la telesalud mientras usan productos de comunicación por video deben proporcionar dichos servicios a través de proveedores de tecnología que cumplan con HIPAA y firmarán acuerdos de socios comerciales (BAA) de HIPAA en relación con el suministro de sus productos de comunicación por video. La siguiente lista incluye algunos proveedores que afirman que proporcionan productos de comunicación por vídeo compatibles con HIPAA y que formarán parte de un BAA HIPAA.
- Skype empresarial / Microsoft Teams
- Updox
- VSee
- Zoom para atención médica
- Doxy.me
- Google G Suite Hangouts Meet
- Cisco Webex Meetings / Webex Teams
- Amazon Chime
- GoToMeeting
- Spruce Health Care Messenger
Nota: OCR no ha revisado los BAAs ofrecidos por estos proveedores, y esta lista no constituye un aval, certificación o recomendación de tecnología, software, aplicaciones o productos específicos. Es posible que haya otros proveedores de tecnología que ofrezcan productos de comunicación por vídeo compatibles con HIPAA que ingresen en un BAA HIPAA con una entidad cubierta. Además, OCR no respalda ninguna de las aplicaciones que permiten los chats de video enumerados anteriormente.
En virtud de este Aviso, sin embargo, la OCR no impondrá sanciones a los proveedores de atención médica cubiertos por la falta de un BAA con proveedores de comunicación por video o cualquier otro incumplimiento de las Reglas de HIPAA que se relacione con la prestación de buena fe de servicios de telesalud durante la emergencia de salud pública nacional por COVID-19.
La OCR ha publicado un boletín en el que informa a las entidades cubiertas de las flexibilidades adicionales de que disponen, así como de las obligaciones que siguen vigentes en virtud de la HIPAA a medida que responden a crisis o emergencias en https://www.hhs.gov/sites/default/files/february-2020-hipaa-and-novel-coronavirus.pdf.
La guía sobre BAAS, incluidas las disposiciones de BAA de muestra, está disponible en https://www.hhs.gov/hipaa/for-professionals/covered-entities/sample-business-associate-agreement-provisions/index.html.
Información adicional sobre las salvaguardias de las reglas de seguridad de HIPAA está disponible en https://www.hhs.gov/hipaa/for-professionals/security/guidance/index.html.
HealthIT.gov tiene asistencia técnica en telesalud en https://www.healthit.gov/telehealth.