Preguntas frecuentes sobre telemedicina y la HIPAA durante la emergencia de salud pública

A lo largo de la pandemia de COVID-19, las agencias federales han tratado de dar más flexibilidada las empresas de atención médica para que usen tecnología y aplicaciones populares y así poder interactuar mejor con sus pacientes. Un ejemplo es la Oficina de Derechos Civiles (OCR) del Departamento de Salud y Servicios Humanos, que emitió unavisoen el que permite a los proveedores de atención médica utilizar software de comunicaciones ampliamente disponible sin temor a infringir la HIPAA, incluso si el software no cumple los requisitos de privacidad y seguridad de la HIPAA. Esta discrecionalidad en la aplicación de la ley permite a las entidades cubiertas prestar asistencia mediante tecnología de comunicación de audio o vídeo «no pública».

La OCR ha proporcionado una serie de preguntas frecuentes sobre telemedicina y exenciones de la HIPAA, en las que ofrece orientación y aclaraciones útiles. Por ejemplo:

11. Si un proveedor de atención médica cubierto utiliza servicios de telesalud durante el brote de COVID-19 y la información médica protegida electrónica es interceptada durante la transmisión, ¿impondrá la OCR una sanción al proveedor por infringir la Norma de Seguridad de la HIPAA?

No. La OCR ejercerá su discreción en materia de cumplimiento y no impondrá las sanciones aplicables por infracciones que se deriven de la prestación de servicios de telesalud de buena fe durante la emergencia de salud pública nacional por la COVID-19. La OCR tendrá en cuenta todos los hechos y circunstancias a la hora de determinar qué constituye una prestación de servicios de telesalud de buena fe. Por ejemplo, si un proveedor cumple los términos de la Notificación y cualquier orientación aplicable de la OCR (como esta y otras preguntas frecuentes sobre la COVID-19 y la HIPAA), no se enfrentará a sanciones de la HIPAA si sufre un ataque informático que exponga información sanitaria protegida de una sesión de telesalud.

La OCR considera que muchos de los productos de comunicación electrónica remota actuales y comúnmente disponibles incluyen características de seguridad para proteger la ePHI transmitida entre los proveedores de atención médica y los pacientes. Además, los proveedores de comunicación por vídeo que están familiarizados con los requisitos de la Norma de Seguridad suelen incluir capacidades de seguridad más sólidas para evitar la interceptación de datos y ofrecen garantías de que protegerán la ePHI mediante la firma de un acuerdo de socio comercial (BAA) de la HIPAA. Se anima a los proveedores que deseen utilizar productos de videocomunicación a que recurran a dichos proveedores, pero no se les penalizará por utilizar productos menos seguros en su esfuerzo por proporcionar la atención más oportuna y accesible posible a los pacientes durante la emergencia de salud pública. Se anima a los proveedores a que notifiquen a los pacientes que estas aplicaciones de terceros pueden suponer riesgos para la privacidad, y los proveedores deben habilitar todos los modos de cifrado y privacidad disponibles cuando utilicen dichas aplicaciones. La OCR no respalda el uso ni las capacidades de seguridad de ningún producto de comunicaciones en particular.

Esto significa que las empresas pueden utilizar aplicaciones populares (por ejemplo, Apple FaceTime, Facebook Messenger, Google Hangouts, Zoom, Skype) que permiten realizar videoconferencias, pero que podrían no cumplir plenamente con los requisitos de la HIPAA. El término «no público» significa que la aplicación, por defecto, solo permite participar en la comunicación a las partes previstas. Por el contrario, los productos «públicos» (por ejemplo, TikTok, Facebook Live, Twitch) o las salas de chat de vídeo públicas no serían formas de comunicación aceptables para los servicios de telemedicina.

Este Aviso de discreción en la aplicación de la ley permanecerá en vigor hasta que expire la emergencia de salud pública. A pesar de la actual flexibilización en la aplicación de la ley por parte de la OCR, está ampliamente aceptado que las mejores prácticas en telemedicina consisten en utilizar una plataforma de comunicaciones de software que cumpla con los requisitos de privacidad y seguridad de la HIPAA. Las empresas que actualmente utilizan software de comunicaciones no conforme con la HIPAA durante la emergencia de salud pública deben elaborar planes sobre cómo migrar a una solución que cumpla con la normativa antes de que expiren las exenciones.

¿Quiere saber más?

• Las 5 principales predicciones sobre la ley de telesalud para 2021
  
  
• Telemedicina y mensajes de texto: Ley de Protección al Consumidor Telefónico
  
  
• Optimice su programa de ciberseguridad, una entrevista en podcast con Brian Resler, de Stroz Friedberg.

Para obtener más información sobre telemedicina, telesalud, atención virtual, monitorización remota de pacientes, salud digital y otras innovaciones sanitarias, incluido el equipo, las publicaciones y la experiencia de los representantes, visite el equipo de la industria de telemedicina y salud digital de Foley.