HIPAA: Las enmiendas para proteger la información sobre la atención médica reproductiva ya pueden implementarse con la norma definitiva de la OCR.

Las entidades reguladas por la HIPAA ya pueden comenzar a aplicar las enmiendas a la Norma de Privacidad de la HIPAA para proporcionar protecciones adicionales a la información sobre la salud reproductiva emitida por la Oficina de Derechos Civiles del Departamento de Salud y Servicios Humanos (OCR) a principios de este año. Las entidades reguladas por la HIPAA no están obligadas a cumplir los nuevos requisitos hasta el 23 de diciembre de 2024 (con una fecha de cumplimiento posterior para los cambios requeridos en el Aviso de Prácticas de Privacidad (NPP)). Sin embargo, el mensaje de la OCR es que se anima a las entidades reguladas por la HIPAA a comenzar a implementar los cambios el 25 de junio de 2024, fecha de entrada en vigor de la norma definitiva. En esa fecha, la directora de la OCR, Melanie Fontes Rainer, declaró:

«La OCR anima a las entidades y socios comerciales cubiertos por la HIPAA a que comiencen a aplicar hoy mismo los nuevos requisitos de la Norma de Privacidad. Los pacientes merecen contar con estas protecciones de privacidad lo antes posible».

La «atención sanitaria reproductiva»se define de manera amplia en las enmiendas a la Norma de Privacidad de la HIPAA como la atención sanitaria que afecta a la salud de una persona en todos los aspectos relacionados con el sistema reproductivo y sus funciones y procesos. Las enmiendas se pueden resumir en tres componentes principales:

Usos y divulgaciones prohibidosLas entidades reguladas por la HIPAA no pueden utilizar ni divulgar información médica protegida (PHI). para cualquiera de las siguientes actividades (Actividades prohibidas):
- Llevar a cabo una investigación penal, civil o administrativa sobre cualquier persona por el mero hecho de buscar, obtener, proporcionar o facilitar atención sanitaria reproductiva.
- Imponer responsabilidad penal, civil o administrativa a cualquier persona por el mero hecho de buscar, obtener, proporcionar o facilitar atención de salud reproductiva.
- Identificar a cualquier persona para cualquiera de los fines anteriores.

«Buscar, obtener, proporcionar o facilitar atención sanitaria reproductiva» incluye, entre otros , expresar interés en, utilizar, realizar, suministrar, pagar, difundir información sobre, organizar, asegurar, administrar, autorizar, proporcionar cobertura, aprobar, asesorar, ayudar o tomar cualquier otra medida para participar en la atención sanitaria reproductiva; o intentar cualquiera de estas acciones.

Esta prohibición se aplica cuando la actividad está relacionada con cualquier persona que solicite, obtenga, proporcione o facilite atención de salud reproductiva y la entidad regulada por la HIPAA haya determinado que la atención de salud reproductiva es legal o está protegida por la ley. Se presume que la atención de salud reproductiva es legal, a menos que la entidad regulada por la HIPAA tenga conocimiento real de lo contrario o que el solicitante proporcione información factual que demuestre una «base factual sustancial» de que la atención de salud reproductiva era ilegal.

La OCR publicó una hoja informativa con ejemplos para ayudar a las entidades reguladas por la HIPAA a aplicar las enmiendas. La hoja informativa establece que la HIPAA sigue permitiendo a las entidades reguladas por la HIPAA «utilizar o divulgar la PHI para los fines permitidos por la Norma de Privacidad cuando la solicitud de uso o divulgación de la PHI no se haga con el fin de investigar o imponer responsabilidad a ninguna persona por el mero hecho de buscar, obtener, proporcionar o facilitar atención sanitaria reproductiva». A continuación, la OCR ofrece como ejemplo de dicho uso o divulgación el caso de un proveedor de atención médica cubierto que utiliza o divulga la PHI «para defenderse en una investigación o procedimiento relacionado con una falta profesional o negligencia, cuando la supuesta falta profesional o negligencia esté relacionada con la prestación de atención médica reproductiva».

Certificación. Las entidades reguladas por la HIPAA deben obtener una certificación antes de utilizar o divulgar información sobre la atención de la salud reproductiva a organismos de supervisión sanitaria, fuerzas del orden, médicos forenses o examinadores médicos, o en procedimientos judiciales o administrativos (incluidas las respuestas a citaciones y órdenes judiciales). La certificación debe incluir una declaración de que la información no se utilizará para las actividades prohibidas y debe estar firmada por la persona que solicita la información, entre otros elementos. La OCR proporcionó un modelo de certificación.

Actualización del NPP. Para el 16 de febrero de 2026, todas las entidades cubiertas por la HIPAA deben actualizar su NPP para (i) indicar que la entidad cubierta no utilizará ni divulgará la PHI para las actividades prohibidas e incluir un ejemplo del tipo de uso o divulgación que está prohibido; y (ii) incluir una descripción y un ejemplo de los tipos de actividades que requieren una certificación.

Próximos pasos para las entidades reguladas por la HIPAA

Las entidades reguladas por la HIPAA deberán implementar lo siguiente:

Una revisión interna del proceso de la entidad regulada por la HIPAA para revisar y divulgar información de conformidad con una solicitud de registros médicos o información para comprender qué cambios son necesarios, si los hay. Esto deberá incluir un proceso para garantizar que se obtenga una certificación para todas las divulgaciones a organismos de supervisión sanitaria, fuerzas del orden, forenses o médicos forenses, o en procedimientos judiciales o administrativos en los que se vea involucrada cualquier información sobre atención sanitaria reproductiva, incluso si la entidad cubierta no cree que la atención sanitaria reproductiva de la persona sea el objeto de la solicitud.
Una revisión y actualización de la NPP actual de la entidad cubierta. Además, los socios comerciales también deben revisar las NPP de sus entidades cubiertas ascendentes para garantizar el cumplimiento.
Políticas y procedimientos para implementar, capacitar y auditar contra los usos y divulgaciones prohibidos que impondrán las nuevas regulaciones.

La normativa sobre privacidad de los datos sanitarios ha evolucionado rápidamente durante la primera mitad de 2024. Si tiene alguna pregunta sobre la aplicación de los requisitos anteriores y otros cambios recientes en las leyes de privacidad de los datos sanitarios, póngase en contacto con cualquiera de los autores o con cualquiera de los socios o asesores jurídicos sénior delGrupo de Ciberseguridad y Privacidad de Datoso del Grupo de Práctica Sanitaria de Foley.

Descargo de responsabilidad

Foley & Lardner LLP ("Foley" o "la Firma") pone a disposición este blog únicamente con fines informativos. No pretende transmitir la posición jurídica de la Firma en nombre de ningún cliente, ni tampoco asesoramiento jurídico específico. Las opiniones expresadas en este artículo no reflejan necesariamente los puntos de vista de Foley & Lardner LLP, sus socios o sus clientes. En consecuencia, no actúe sobre la base de esta información sin buscar el asesoramiento de un abogado autorizado. Este blog no pretende crear, y su recepción no constituye, una relación abogado-cliente. La comunicación con Foley a través de este sitio web por correo electrónico, entrada de blog, o de otro modo, no crea una relación abogado-cliente para ningún asunto legal. Por lo tanto, cualquier comunicación o material que usted transmita a Foley a través de este blog, ya sea por correo electrónico, entrada de blog o de cualquier otra manera, no será tratado como confidencial o de propiedad. La información de este blog se publica "TAL CUAL" y no se garantiza que sea completa, exacta o actualizada. Foley no hace representaciones o garantías de ningún tipo, expresas o implícitas, en cuanto a la operación o el contenido del sitio. Foley rechaza expresamente todas las demás garantías, condiciones y representaciones de cualquier tipo, ya sean expresas o implícitas, ya se deriven de cualquier estatuto, ley, uso comercial o de otro tipo, incluidas las garantías implícitas de comerciabilidad, idoneidad para un fin determinado, titularidad y no infracción. En ningún caso Foley o cualquiera de sus socios, directivos, empleados, agentes o afiliados serán responsables, directa o indirectamente, bajo ninguna teoría legal (contrato, agravio, negligencia u otra), ante usted o cualquier otra persona, por cualquier reclamación, pérdida o daño, directo, indirecto especial, incidental, punitivo o consecuente, resultante de u ocasionado por la creación, uso o confianza en este sitio (incluyendo información y otros contenidos) o cualquier sitio web de terceros o la información, recursos o material al que se acceda a través de cualquiera de dichos sitios web. En algunas jurisdicciones, los contenidos de este blog pueden considerarse publicidad de abogados. En su caso, tenga en cuenta que resultados anteriores no garantizan un resultado similar. Las fotografías son sólo para fines de dramatización y pueden incluir modelos. Los parecidos no implican necesariamente la condición actual de cliente, socio o empleado.

[email protected]

Madison 608.250.7420

Un hombre con traje oscuro y corbata roja sonríe en el pasillo de un moderno despacho de abogados, reflejo de la profesionalidad de los mejores abogados de Chicago.

[email protected]

Tampa 813.225.4129

Información relacionada

Ver todas las entradas

December 9, 2025 Health Care Law Today

How Following “Doctors’ Orders” Provided a Defense in a First Circuit FCA Case

When it comes to False Claims Act (FCA) litigation, clinical laboratories often find themselves in the crosshairs. But the First…

2 de diciembre de 2025 La ley sanitaria actual

Uso de tecnologías sanitarias digitales en ensayos clínicos: apoyo de la MAHA y expectativas definidas en la guía definitiva de la FDA

Las tecnologías sanitarias digitales (DHT) son un aspecto clave del programa «Make America...» del secretario de Salud y Servicios Humanos (HHS) de EE. UU., Robert F. Kennedy Jr.

11 de noviembre de 2025 Derecho sanitario hoy

Fusiones y adquisiciones en la tecnología GLP-1: Recomendaciones prácticas y buenas prácticas

Este artículo apareció originalmente en Pharmaceutical Online en noviembre de 2025. La revolución del GLP-1 ha reescrito el manual de...

HIPAA: Las enmiendas para proteger la información sobre la atención médica reproductiva ya pueden implementarse con la norma definitiva de la OCR.

Próximos pasos para las entidades reguladas por la HIPAA

Autor(es)

Jennifer J. Hennessy

Aaron T. Maguregui

Información relacionada

How Following “Doctors’ Orders” Provided a Defense in a First Circuit FCA Case

Uso de tecnologías sanitarias digitales en ensayos clínicos: apoyo de la MAHA y expectativas definidas en la guía definitiva de la FDA

Fusiones y adquisiciones en la tecnología GLP-1: Recomendaciones prácticas y buenas prácticas