La nueva prohibición de Florida sobre la transferencia de información de pacientes al extranjero

Los proveedores de atención médica y las plataformas de tecnología sanitaria digital de Florida deben estar alertas, ya que una ley recientemente aprobada exige a los proveedores que utilicen tecnología certificada de registros médicos electrónicos (CEHRT) que garanticen que toda la información de los pacientes, independientemente de si los datos se almacenan en la nube o en instalaciones informáticas de terceros, se mantenga físicamente dentro de los Estados Unidos o Canadá. El requisito se aplica a casi todos los proveedores con licencia de Florida que utilizan CEHRT, una práctica habitual entre los proveedores, ya que su uso está incentivado e incluso exigido por las iniciativas de interoperabilidad del gobierno federal en algunos casos.

La nueva ley también puede tener graves consecuencias para todos los proveedores de tecnología sanitaria, incluidos los que ofrecen plataformas de monitorización remota de pacientes (RPM), plataformas de toma de decisiones clínicas y plataformas que, en general, recopilan e integran historiales médicos de diversas fuentes. Dada la ambigüedad con la que está redactada la ley, la prohibición de la deslocalización puede aplicarse a todos los historiales médicos electrónicos, incluso si no se trata de un CEHRT. La ley establece lo siguiente: «esta subsección [la prohibición de deslocalización mencionada anteriormente] se aplica a todos los registros sanitarios electrónicos cualificados que se almacenan utilizando cualquier tecnología que permita recuperar, acceder o transmitir información de forma electrónica». Por «registro sanitario electrónico cualificado» se entiende, en general, las plataformas que ayudan a los proveedores a tomar decisiones clínicas y a integrar información sanitaria procedente de múltiples fuentes. Queda por ver si la ley está destinada a aplicarse únicamente a los CEHRT o a toda la tecnología de registros sanitarios electrónicos en general.

Si bien esta nueva ley impone la responsabilidad a los proveedores, los proveedores de tecnología sanitaria digital que ofrecen plataformas que ayudan a los proveedores de Florida con la funcionalidad CEHRT, la toma de decisiones clínicas, la recopilación de información relevante para la calidad y la integración de datos de historias clínicas electrónicas de múltiples fuentes, deben garantizar el cumplimiento de la nueva ley para evitar poner en riesgo a sus clientes proveedores. Aunque algunos estados prohíben la deslocalización de datos para los proveedores y vendedores inscritos en Medicaid, este nuevo requisito de Florida afecta a casi todos los proveedores con licencia en Florida.

A continuación se presentan cinco puntos clave de la nueva ley:

¿Quién está sujeto a la ley? Casi todos los proveedores de atención médica en Florida, si utilizan un CEHRT o, potencialmente, cualquier plataforma de apoyo a la toma de decisiones clínicas, deben cumplir con esta ley. La ley se aplica a la mayoría de los profesionales sanitarios con licencia del Departamento de Salud de Florida (por ejemplo, médicos, quiroprácticos, farmacéuticos, dentistas, fisioterapeutas, enfermeros, por nombrar solo algunos), centros sanitarios con licencia de la Agencia para la Administración de la Atención Médica de Florida (AHCA), farmacias con licencia, centros de atención continua con licencia, determinados centros y profesionales de salud mental y abuso de sustancias con licencia, entre otros.
¿Dónde debe conservarse físicamente la información? Todos los datos incluidos deben almacenarse en el territorio continental de los Estados Unidos, en los territorios de los Estados Unidos o en Canadá.
¿Cómo supervisará el estado el cumplimiento? Los proveedores de atención médica que presenten una solicitud inicial o de renovación de licencia ante la agencia de administración de atención médica de Florida, AHCA, deberán certificar, bajo pena de perjurio, que el solicitante cumple y seguirá cumpliendo con este nuevo requisito. El incumplimiento puede dar lugar a medidas disciplinarias por parte de la AHCA.
¿Cuándo entra en vigor la ley? La fecha de entrada en vigor de la ley es el 1 de julio de 2023.
¿Qué deben hacer los proveedores de atención médica para prepararse? Los proveedores deben evaluar dónde se almacena actualmente la información electrónica de los pacientes, tanto por parte de los propios proveedores como de cualquier proveedor externo. Si la información de los pacientes se almacena físicamente fuera de los Estados Unidos o Canadá, los proveedores deben comenzar a transferir la información de los pacientes antes de la fecha de entrada en vigor de la ley.

Para obtener más información sobre esta nueva ley de Florida o sobre cuestiones legales relacionadas con la atención sanitaria o la privacidad de los datos, póngase en contacto conel Grupo de Práctica de Telemedicina y Salud Digital,Ciberseguridad y Privacidad de Datos, oAtención Sanitaria de Foley.

Descargo de responsabilidad

Foley & Lardner LLP ("Foley" o "la Firma") pone a disposición este blog únicamente con fines informativos. No pretende transmitir la posición jurídica de la Firma en nombre de ningún cliente, ni tampoco asesoramiento jurídico específico. Las opiniones expresadas en este artículo no reflejan necesariamente los puntos de vista de Foley & Lardner LLP, sus socios o sus clientes. En consecuencia, no actúe sobre la base de esta información sin buscar el asesoramiento de un abogado autorizado. Este blog no pretende crear, y su recepción no constituye, una relación abogado-cliente. La comunicación con Foley a través de este sitio web por correo electrónico, entrada de blog, o de otro modo, no crea una relación abogado-cliente para ningún asunto legal. Por lo tanto, cualquier comunicación o material que usted transmita a Foley a través de este blog, ya sea por correo electrónico, entrada de blog o de cualquier otra manera, no será tratado como confidencial o de propiedad. La información de este blog se publica "TAL CUAL" y no se garantiza que sea completa, exacta o actualizada. Foley no hace representaciones o garantías de ningún tipo, expresas o implícitas, en cuanto a la operación o el contenido del sitio. Foley rechaza expresamente todas las demás garantías, condiciones y representaciones de cualquier tipo, ya sean expresas o implícitas, ya se deriven de cualquier estatuto, ley, uso comercial o de otro tipo, incluidas las garantías implícitas de comerciabilidad, idoneidad para un fin determinado, titularidad y no infracción. En ningún caso Foley o cualquiera de sus socios, directivos, empleados, agentes o afiliados serán responsables, directa o indirectamente, bajo ninguna teoría legal (contrato, agravio, negligencia u otra), ante usted o cualquier otra persona, por cualquier reclamación, pérdida o daño, directo, indirecto especial, incidental, punitivo o consecuente, resultante de u ocasionado por la creación, uso o confianza en este sitio (incluyendo información y otros contenidos) o cualquier sitio web de terceros o la información, recursos o material al que se acceda a través de cualquiera de dichos sitios web. En algunas jurisdicciones, los contenidos de este blog pueden considerarse publicidad de abogados. En su caso, tenga en cuenta que resultados anteriores no garantizan un resultado similar. Las fotografías son sólo para fines de dramatización y pueden incluir modelos. Los parecidos no implican necesariamente la condición actual de cliente, socio o empleado.