HIPAA y Parte 2 armonizadas: lo que las organizaciones sanitarias deben saber

Los programas de trastornos por consumo de sustancias (SUD) y las entidades reguladas por la HIPAA que buscan optimizar sus prácticas y flujos de trabajo en materia de privacidad y seguridad recibieron la semana pasada una buena noticia del Departamento de Salud y Servicios Humanos (HHS) de los Estados Unidos. El HHS publicó la tan esperada norma definitiva (la Norma Definitiva de la Parte 2) para revisar las regulaciones sobre la confidencialidad de los registros de pacientes con trastornos por consumo de sustancias en 42 CFR Parte 2 (Parte 2). La Norma definitiva de la Parte 2 implementa las disposiciones de la Ley de Ayuda, Alivio y Seguridad Económica por el Coronavirus (Ley CARES) de 2020 e incluye modificaciones que se propusieron en la Notificación de propuesta de reglamentación de noviembre de 2022, así como modificaciones adicionales basadas en los comentarios del público.

La norma definitiva de la parte 2 está prevista que se publique en el Registro Federal el 16 de febrero de 2024. Entrará en vigor 60 días después de su publicación y su cumplimiento será obligatorio 24 meses después de su publicación.

Parte 2 Aplicabilidad

A modo de recordatorio, la Parte 2 sirve para proteger los registros médicos de los pacientes creados o recibidos por los programas de la Parte 2. Los programas de la Parte 2 son personas, entidades o unidades identificadas en un centro médico general, que reciben ayuda federal y que se presentan como proveedores y proporcionan diagnóstico, tratamiento o derivación para el tratamiento del SUD. Un ejemplo clásico de un programa de la Parte 2 sería un programa de tratamiento con opioides que proporciona tratamiento asistido con medicamentos a personas diagnosticadas con un trastorno por consumo de opioides.

Consentimiento del paciente

La Norma definitiva de la Parte 2 permite que un programa de la Parte 2 obtenga y se base en un único consentimiento del paciente para todos los usos y divulgaciones futuros de los registros de la Parte 2 para el tratamiento, el pago y las operaciones de atención médica (TPO), según lo permitido por las regulaciones de la HIPAA, hasta que el paciente revoque dicho consentimiento por escrito. Los programas de la Parte 2 querrán actualizar el flujo de trabajo de los pacientes para obtener este consentimiento, ya que permitirá al programa de la Parte 2 utilizar y divulgar la información de la Parte 2 de una manera mucho menos onerosa que la que se exigía antes de este cambio.

La Norma definitiva de la Parte 2 también permite a las entidades cubiertas por la HIPAA y a los socios comerciales que reciben registros en virtud de este consentimiento TPO volver a divulgar los registros de conformidad con las normas de la HIPAA, salvo que los registros no puedan volver a divulgarse para su uso en procedimientos legales contra el paciente sin un consentimiento específico o una orden judicial. Esta limitación equilibra el permiso de nueva divulgación para programas, entidades cubiertas y socios comerciales que son destinatarios de registros de la Parte 2, al tiempo que mantiene la protección de los pacientes contra el uso de los registros en procedimientos contra ellos. Las restricciones sobre el uso o la divulgación de registros de pacientes para iniciar o fundamentar cargos penales o investigaciones o procedimientos civiles contra un paciente se abordan a lo largo de la Norma definitiva de la Parte 2.

Un cambio sustancial con respecto al Aviso de Propuesta de Reglamentación es que la Regla Final de la Parte 2 exige que cada divulgación realizada con el consentimiento del paciente vaya acompañada de una copia del consentimiento o de una explicación clara del alcance del mismo. Este requisito proporcionará a los destinatarios de los registros la información que necesitan para comprender los permisos de redivulgación que pueden estar disponibles. Esto se suma al aviso de redivulgación que debe acompañar a cada divulgación realizada con el consentimiento por escrito del paciente (por ejemplo, «La Parte 2 del título 42 del CFR prohíbe el uso o la divulgación no autorizados de estos registros»).

Aviso al paciente

La Norma definitiva de la Parte 2 armoniza en mayor medida los requisitos de notificación al paciente de la Parte 2 con la Notificación de prácticas de privacidad de la HIPAA. Los programas de la Parte 2 deberán actualizar su aviso al paciente para incluir el nuevo encabezado obligatorio, los usos y divulgaciones modificados permitidos en virtud de la Norma definitiva de la Parte 2 y los derechos de los pacientes disponibles en virtud de la Norma definitiva de la Parte 2, entre otros requisitos. El HHS tiene la intención de finalizar los cambios en el Aviso de prácticas de privacidad de la HIPAA en una norma definitiva posterior que modifique la Norma de privacidad de la HIPAA. Los requisitos para proporcionar el aviso al paciente son similares a los requisitos de la Norma de privacidad de la HIPAA.

Derechos del paciente

La Norma definitiva de la Parte 2 otorga a los pacientes derechos adicionales que se ajustan estrechamente a los derechos previstos en la Norma de privacidad de la HIPAA, incluido el derecho a (i) solicitar restricciones a la divulgación de información al plan de salud del paciente sobre los servicios que este ha pagado en su totalidad o a la divulgación de información con consentimiento previo para fines de TPO, (ii) obtener un informe de las divulgaciones, incluidas las realizadas a TPO a través de un registro médico electrónico en los últimos 3 años, y (iii) optar por no recibir comunicaciones relacionadas con la recaudación de fondos. La ampliación de los derechos de los pacientes aumentará la transparencia sobre cómo se utilizan y divulgan los registros de los pacientes y les proporcionará control sobre determinados usos y divulgaciones.

Tenga en cuenta que la Parte 2 no otorga a los pacientes un derecho amplio a acceder a su propia información, como lo hace la Norma de Privacidad de la HIPAA. El HHS lo confirma en el comentario a la Norma Final de la Parte 2, en el que afirma: «En virtud de la norma vigente (y definitiva), los programas de la Parte 2 tienen discreción para proporcionar a los pacientes acceso a sus registros. La sección 2.23 no prohíbe dar acceso a los pacientes ni lo exige...». Los programas de la Parte 2 que también son entidades reguladas por la HIPAA deben cumplir los requisitos de acceso de la Norma de Privacidad de la HIPAA.

Notificación de violación

La Norma definitiva de la Parte 2 aplica la Norma de notificación de infracciones de la HIPAA a las infracciones de registros no seguros por parte de los programas de la Parte 2 y adopta la definición de «infracción» y «no seguro» de la HIPAA. Esto significa que un programa de la Parte 2 que experimente una adquisición, acceso, uso o divulgación de registros no seguros en violación de la Parte 2 deberá evaluar si es necesario notificarlo a las personas afectadas, al HHS y a los medios de comunicación.

Notas sobre el asesoramiento para trastornos por consumo de sustancias

La Norma definitiva de la Parte 2 incluye una definición de las notas de asesoramiento sobre trastornos por consumo de sustancias (SUD) que sigue de cerca la definición de notas de psicoterapia de la HIPAA. Las notas de asesoramiento sobre SUD son notas registradas (en cualquier medio) por un proveedor del programa de la Parte 2 que sea un profesional de la salud mental o de SUD y que documente o analice el contenido de la conversación durante una sesión de asesoramiento sobre SUD. En consonancia con la definición de notas de psicoterapia de la HIPAA, la definición exige que las notas se separen del resto del historial médico y excluye la prescripción y el control de medicamentos, las horas de inicio y finalización de las sesiones de asesoramiento, las modalidades y frecuencias del tratamiento proporcionado, los resultados de las pruebas clínicas y cualquier resumen del diagnóstico, el estado funcional, el plan de tratamiento, los síntomas, el pronóstico y la evolución hasta la fecha.

Al igual que el tratamiento que la Norma de Privacidad de la HIPAA da a las notas de psicoterapia, la divulgación de las notas de asesoramiento sobre SUD requiere el consentimiento específico de la persona. La Parte 2 permite a los médicos ejercer su criterio para proporcionar a los pacientes acceso a las notas de asesoramiento sobre SUD.

Segregación de datos

La Norma definitiva de la Parte 2 elimina el texto que exige la segregación o segmentación de los registros de la Parte 2, y el HHS comenta expresamente que los programas de la Parte 2, las entidades cubiertas y los socios comerciales que reciben registros basados en un único consentimiento para todas las TPO futuras no están obligados a segregar o segmentar los registros de la Parte 2. Sin embargo, los registros siguen siendo registros de la Parte 2 y deben protegerse según lo exige la Parte 2, lo que incluye garantizar que los registros no se utilicen en procedimientos contra el paciente.

Sanciones

Las infracciones de la Parte 2 estarán sujetas a las mismas sanciones civiles y penales que las infracciones de la HIPAA, incluida la imposición de sanciones pecuniarias civiles en los cuatro niveles de culpabilidad que se aplican a las infracciones de la HIPAA. Del mismo modo, los pacientes pueden presentar denuncias ante el HHS por infracciones de la Parte 2.

Conclusión

Los programas de la Parte 2 deben comenzar a revisar sus programas de cumplimiento de la Parte 2 en virtud de la Norma definitiva de la Parte 2 para determinar dónde será necesario realizar cambios. Esto incluirá la actualización de políticas y procedimientos, consentimientos de pacientes y avisos a pacientes. Además, los programas de la Parte 2 deben aprovechar esta oportunidad para volver a formar a su personal sobre los requisitos de la Parte 2 para el uso y la divulgación de los registros de la Parte 2, y en qué se diferencia de la HIPAA, dado que la Norma definitiva de la Parte 2 impone obligaciones de notificación de infracciones en caso de violaciones.

¿Quieres saber más?

COVID-19: La Ley CARES reforma la ley federal sobre privacidad en materia de trastornos por consumo de sustancias

El HHS propone armonizar la ley federal sobre trastornos por consumo de sustancias con la HIPAA Si tiene alguna pregunta sobre la aplicabilidad de la Parte 2 a su organización o sobre la implementación de la Norma definitiva de la Parte 2, póngase en contacto con cualquiera de los autores o con cualquiera de los socios o asesores jurídicos sénior delGrupo de Ciberseguridad y Privacidad de Datoso del Grupo de Práctica Sanitaria de Foley.

Descargo de responsabilidad

Foley & Lardner LLP ("Foley" o "la Firma") pone a disposición este blog únicamente con fines informativos. No pretende transmitir la posición jurídica de la Firma en nombre de ningún cliente, ni tampoco asesoramiento jurídico específico. Las opiniones expresadas en este artículo no reflejan necesariamente los puntos de vista de Foley & Lardner LLP, sus socios o sus clientes. En consecuencia, no actúe sobre la base de esta información sin buscar el asesoramiento de un abogado autorizado. Este blog no pretende crear, y su recepción no constituye, una relación abogado-cliente. La comunicación con Foley a través de este sitio web por correo electrónico, entrada de blog, o de otro modo, no crea una relación abogado-cliente para ningún asunto legal. Por lo tanto, cualquier comunicación o material que usted transmita a Foley a través de este blog, ya sea por correo electrónico, entrada de blog o de cualquier otra manera, no será tratado como confidencial o de propiedad. La información de este blog se publica "TAL CUAL" y no se garantiza que sea completa, exacta o actualizada. Foley no hace representaciones o garantías de ningún tipo, expresas o implícitas, en cuanto a la operación o el contenido del sitio. Foley rechaza expresamente todas las demás garantías, condiciones y representaciones de cualquier tipo, ya sean expresas o implícitas, ya se deriven de cualquier estatuto, ley, uso comercial o de otro tipo, incluidas las garantías implícitas de comerciabilidad, idoneidad para un fin determinado, titularidad y no infracción. En ningún caso Foley o cualquiera de sus socios, directivos, empleados, agentes o afiliados serán responsables, directa o indirectamente, bajo ninguna teoría legal (contrato, agravio, negligencia u otra), ante usted o cualquier otra persona, por cualquier reclamación, pérdida o daño, directo, indirecto especial, incidental, punitivo o consecuente, resultante de u ocasionado por la creación, uso o confianza en este sitio (incluyendo información y otros contenidos) o cualquier sitio web de terceros o la información, recursos o material al que se acceda a través de cualquiera de dichos sitios web. En algunas jurisdicciones, los contenidos de este blog pueden considerarse publicidad de abogados. En su caso, tenga en cuenta que resultados anteriores no garantizan un resultado similar. Las fotografías son sólo para fines de dramatización y pueden incluir modelos. Los parecidos no implican necesariamente la condición actual de cliente, socio o empleado.

[email protected]

Madison 608.250.7420

Un hombre con traje oscuro y corbata roja sonríe en el pasillo de un moderno despacho de abogados, reflejo de la profesionalidad de los mejores abogados de Chicago.

[email protected]

Tampa 813.225.4129

Información relacionada

Ver todas las entradas

December 12, 2025 Health Care Law Today

Eleventh Circuit Hears Oral Argument in Landmark Constitutional Challenge to False Claims Act’s Qui Tam Provisions

On December 12, the U.S. Court of Appeals for the Eleventh Circuit heard oral argument in U.S. ex rel. Zafirov v. Florida Medical…

9 de diciembre de 2025 La ley sanitaria actual

Cómo seguir las «indicaciones del médico» sirvió de defensa en un caso de la FCA del Primer Circuito

Cuando se trata de litigios relacionados con la Ley de Reclamaciones Falsas (FCA), los laboratorios clínicos suelen encontrarse en el punto de mira. Pero el primero...

2 de diciembre de 2025 La ley sanitaria actual

Uso de tecnologías sanitarias digitales en ensayos clínicos: apoyo de la MAHA y expectativas definidas en la guía definitiva de la FDA

Las tecnologías sanitarias digitales (DHT) son un aspecto clave del programa «Make America...» del secretario de Salud y Servicios Humanos (HHS) de EE. UU., Robert F. Kennedy Jr.