El Departamento de Salud y Servicios Humanos (HHS) propone armonizar la ley federal sobre trastornos por consumo de sustancias con la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA).

Los cambios propuestos a la ley federal sobre trastornos por consumo de sustancias aumentarán la eficiencia de los proveedores y la armonización con la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA). En una medida que busca reducir las cargas administrativas para los pacientes y los proveedores, al tiempo que se refuerzan las capacidades de aplicación, el Departamento de Salud y Servicios Humanos (HHS) publicó su tan esperada Notificación de Propuesta de Reglamentación (Propuesta de Regla) para los cambios propuestos a la Parte 2 del Título 42 del Código de Regulaciones Federales (Parte 2), la normativa que rige la confidencialidad de los registros de los pacientes con trastornos por consumo de sustancias. Los cambios se esperaban desde 2020, cuando el Congreso ordenó al HHS que modificara la Parte 2 en la Ley CARES. El impacto de la Norma propuesta será netamente positivo para los proveedores de servicios para trastornos por consumo de sustancias que ya están obligados a cumplir con la HIPAA. Sin embargo, los proveedores que cobran en efectivo y que están obligados a cumplir con la Parte 2, pero que no están regulados por la HIPAA, deberán cumplir con la Norma de Privacidad y la Norma de Notificación de Violaciones de la HIPAA.

«El HHS comprende lo importante que es para los pacientes armonizar mejor las normas y el programa de la Parte 2 con la HIPAA. Esta norma propuesta contribuye a reducir la carga que recae sobre los pacientes y los proveedores, mejora la coordinación y aumenta el acceso a la atención y el tratamiento, al tiempo que protege la confidencialidad de los registros de tratamiento». — Melanie Fontes Rainer, directora de la OCR (28 de noviembre de 2022).

A continuación se presentan seis puntos clave de la norma propuesta.

1. Consentimiento único del paciente para todas las divulgaciones relacionadas con el tratamiento, el pago y las operaciones. El cambio más esperado en la Parte 2 es la flexibilización de la capacidad de compartir los registros de la Parte 2 con fines de tratamiento, pago y operaciones de atención médica (TPO). Los programas de la Parte 2 podrán obtener un único consentimiento del paciente que permita la divulgación para todos los usos y divulgaciones futuros de TPO. La norma propuesta permitirá a los pacientes flexibilidad a la hora de identificar a los destinatarios. Por ejemplo, se permitirá enumerar categorías de destinatarios en el consentimiento, como «mis proveedores de atención médica, planes de salud, terceros pagadores y personas que ayudan a operar este programa» o una declaración similar. Una vez obtenido el consentimiento, que será similar a una autorización de la HIPAA, los programas de la Parte 2, las entidades cubiertas y los socios comerciales que reciban registros de la Parte 2 de conformidad con un consentimiento por escrito para fines de TPO podrán volver a divulgar los registros de cualquier manera permitida por la Norma de Privacidad de la HIPAA, excepto en determinados procedimientos contra el paciente.
2. Las infracciones de la Parte 2 estarán sujetas a la Norma de notificación de infracciones de la HIPAA. La norma propuesta añadiría requisitos de notificación de infracciones a la Parte 2 mediante una referencia cruzada a la Norma de notificación de infracciones de la HIPAA. Este cambio exigiría que los programas de la Parte 2 notificaran al HHS, a los pacientes afectados y, en algunos casos, a los medios de comunicación, cualquier infracción de los registros no protegidos de la Parte 2, de conformidad con la Norma de notificación de infracciones de la HIPAA. Si bien la mayoría de los programas de la Parte 2 también son entidades cubiertas que ya estarán familiarizadas con estos requisitos, cualquier programa de la Parte 2 que actualmente no esté sujeto a la HIPAA deberá desarrollar un programa sólido de cumplimiento de la privacidad y capacitar a su personal para identificar las divulgaciones que puedan desencadenar un requisito de notificación de violación.
3. Los pacientes que pagan por cuenta propia tienen derecho a restringir la divulgación de información a los planes de salud. Al igual que la HIPAA, la norma propuesta exigiría que los programas de la Parte 2 permitieran a los pacientes solicitar restricciones en el uso o la divulgación de la información de la Parte 2 para llevar a cabo la TPO. Esto incluye los casos en los que el paciente haya firmado un consentimiento por escrito para la divulgación. Los programas de la Parte 2 no están obligados a aceptar estas restricciones, excepto en el caso de que el paciente haya solicitado restringir la divulgación de registros a un plan de salud con fines de pago u operaciones de atención médica, cuando el registro se refiera exclusivamente a un artículo o servicio de atención médica por el que el paciente o alguien en su nombre, que no sea el plan de salud, haya pagado íntegramente al programa de la Parte 2.
4. Los requisitos de notificación al paciente de la Parte 2 se ajustan a la Notificación de prácticas de privacidad de la HIPAA. La norma propuesta garantizaría que los pacientes de los programas de la Parte 2 reciban el mismo nivel de notificación y transparencia que se proporciona a las personas a través de la Notificación de prácticas de privacidad (NPP) de la HIPAA. Actualmente, los programas de la Parte 2 están obligados a proporcionar a los pacientes un «resumen» por escrito de las restricciones de la Parte 2, pero la Parte 2 no exige que dichos programas proporcionen a los pacientes un NPP completo. Según la norma propuesta, el aviso al paciente de la Parte 2 (Aviso al paciente) abordaría los mismos elementos clave que el NPP de la HIPAA, incluida una descripción de los usos y divulgaciones permitidos de los registros de la Parte 2 (y cuándo se requiere un consentimiento por separado). El Aviso al paciente también tendría que informar a los pacientes sobre el proceso de reclamación y el derecho del paciente a revocar su consentimiento para que el programa de la Parte 2 divulgue los registros en determinadas circunstancias. Cabe destacar que la norma propuesta modificaría tanto los requisitos del Aviso al paciente de la Parte 2 como los requisitos de la NPP de la HIPAA. Ciertas entidades cubiertas que no son programas de la Parte 2, pero que reciben y mantienen registros de la Parte 2 (y, por lo tanto, están sujetas a los requisitos de la Parte 2 para esos registros), tendrían que añadir una disposición a su NPP que haga referencia a las restricciones sobre el uso y la divulgación de los registros de la Parte 2 en procedimientos civiles, penales, administrativos y legislativos contra la persona. Los requisitos actuales de la NPP seguirían aplicándose, sin cambios, a las entidades cubiertas que no mantienen ni reciben registros de la Parte 2. 
5. La nueva Parte 2 sobre los requisitos de contabilidad de las divulgaciones se aplazó hasta la publicación de la tan esperada norma definitiva de la HIPAA sobre contabilidad. El HHS propone incorporar los requisitos de contabilidad de la HIPAA en la Parte 2. La norma propuesta también incorporaría los requisitos de la Ley HITECH de que las divulgaciones con fines de TPO se incluyan en la contabilidad solo cuando dichas divulgaciones se realicen a través de un registro electrónico de salud. La fecha de cumplimiento del requisito de contabilidad de la Parte 2 se aplazaría hasta la fecha de entrada en vigor de una norma definitiva (muy esperada) sobre la contabilidad de las divulgaciones de la HIPAA.
6. El HHS tendrá la autoridad para hacer cumplir la Parte 2 mediante sanciones civiles. La Ley CARES sustituyó la anterior autoridad penal para las infracciones de la Parte 2 por una referencia a las sanciones legales que se aplican a las infracciones de la HIPAA. La norma propuesta actualizaría las regulaciones de la Parte 2 para reflejar este cambio, creando por primera vez una autoridad civil que podrá ejercer el HHS, además de la autoridad penal que desde hace tiempo tiene el Departamento de Justicia. La norma propuesta señala que no se han emprendido acciones penales para hacer cumplir la Parte 2. Dado que el HHS tiene una amplia experiencia en la investigación y el cumplimiento de las infracciones de la HIPAA mediante sanciones civiles, cabría esperar que el HHS adoptara un enfoque similar con respecto a la Parte 2.

Haz oír tu voz

Los comentarios públicos sobre la norma propuesta deben presentarse en un plazo de 60 días a partir de la publicación de la norma propuesta en el Registro Federal, prevista para el 2 de diciembre de 2022. Tenga en cuenta que las normas actuales de la Parte 2 seguirán en vigor mientras el HHS lleva a cabo este proceso de elaboración de normas.

¿Quiere saber más?

• Conferencia sobre políticas ATA EDGE2022 | Asociación Americana de Telemedicina
• Principales tendencias del sector sanitario y de las ciencias de la vida para 2022
• El programa de tarifas médicas de Medicare para 2023 mejora el acceso al tratamiento integral de las personas con trastornos por consumo de sustancias y problemas de salud conductual.

Para obtener más información sobre la norma propuesta, parte 2, o consideraciones legales relacionadas con la telemedicina, la telesalud, la atención virtual, la monitorización remota de pacientes, la salud digital y otras innovaciones sanitarias, póngase en contacto con el grupo de práctica detelemedicina y salud digital, ciberseguridad y privacidad de datos, o atención sanitaria de Foley.