HIPAA: OCR publica novas perguntas frequentes esclarecendo divulgações entre entidades abrangidas

Em 26 de junho de 2019, o Departamento de Saúde e Serviços Humanos, Gabinete de Direitos Civis (OCR) publicou duas novas perguntas frequentes que esclarecem:

Os parâmetros relativos às entidades abrangidas que partilham informações de saúde protegidas (PHI) para as operações de cuidados de saúde de uma entidade abrangida destinatária; e
Que, uma vez que uma entidade abrangida receba PHI ao abrigo da HIPAA, a entidade abrangida destinatária pode utilizá-la e divulgá-la sem autorização individual, de qualquer forma permitida pela HIPAA (mesmo que seja diferente da razão pela qual a entidade abrangida recebeu inicialmente a PHI).

Estas perguntas frequentes, embora focadas em planos de saúde, esclarecem para todas as entidades abrangidas os tipos de divulgação de PHI que são permitidos para as operações de cuidados de saúde de uma entidade abrangida destinatária e que uma entidade abrangida não está restringida pela HIPAA a apenas usar e divulgar PHI para os fins para os quais foi inicialmente recebida.

Pergunta frequente 1: Divulgações para as operações de cuidados de saúde do destinatário

A primeira nova FAQ aborda a capacidade de uma entidade abrangida divulgar PHI a outra entidade abrangida para as operações de cuidados de saúde da entidade abrangida destinatária. As entidades abrangidas procuram cada vez mais partilhar PHI para fins de operações de cuidados de saúde no mundo interligado de hoje, e os parâmetros da HIPAA em torno dessas divulgações têm sido historicamente mal interpretados.

A HIPAA permite que uma entidade abrangida divulgue PHI a outra entidade abrangida para as atividades de cuidados de saúde do destinatário, se:

Cada entidade abrangida tem ou teve uma relação com o indivíduo cujas PHI estão a ser solicitadas;
A PHI diz respeito a essa relação; e
A divulgação é para um dos fins listados nos parágrafos (1) ou (2) da definição de «operações de cuidados de saúde» ou para fins de deteção de fraudes e abusos nos cuidados de saúde ou conformidade.

45 C.F.R. § 164.506(c)(4).

Os parágrafos (1) e (2) da definição de «operações de cuidados de saúde» incluem as seguintes atividades:

Realização de atividades de avaliação e melhoria da qualidade, incluindo avaliação de resultados e desenvolvimento de diretrizes clínicas, desde que a obtenção de conhecimento generalizável não seja o objetivo principal de quaisquer estudos resultantes de tais atividades; atividades relacionadas à segurança do paciente; atividades baseadas na população relacionadas à melhoria da saúde ou redução dos custos com cuidados de saúde, desenvolvimento de protocolos, gestão de casos e coordenação de cuidados, contato com prestadores de cuidados de saúde e pacientes com informações sobre alternativas de tratamento; e funções relacionadas que não incluem tratamento.
Avaliação da competência ou qualificações dos profissionais de saúde, avaliação do desempenho dos médicos e prestadores de serviços, desempenho dos planos de saúde, realização de programas de formação nos quais estudantes, estagiários ou profissionais da área da saúde aprendem, sob supervisão, a praticar ou melhorar as suas competências como prestadores de serviços de saúde, formação de profissionais não ligados à área da saúde, acreditação, certificação, licenciamento ou atividades de credenciamento.

A resposta da OCR às perguntas frequentes esclarece que, uma vez que a gestão de casos e a coordenação de cuidados estão entre as atividades listadas no parágrafo (1) da definição de operações de cuidados de saúde, se o Plano de Saúde A (uma entidade abrangida) fornecer seguro de saúde a um indivíduo que tenha acesso à rede de prestadores de outro plano fornecido pelo Plano de Saúde B, o Plano de Saúde A poderá divulgar as PHI ao Plano de Saúde B para que este possa coordenar os cuidados do indivíduo, sem autorização individual. A OCR incluiu um lembrete de que as divulgações continuam sujeitas aos requisitos mínimos necessários da HIPAA.

Pergunta frequente 2: Utilizações e divulgações por parte da entidade destinatária abrangida que diferem da razão pela qual as PHI foram inicialmente recebidas

A segunda FAQ esclarece que, se uma entidade abrangida tiver recebido PHI ao abrigo da HIPAA, a entidade abrangida destinatária pode utilizar e divulgar PHI conforme permitido pela HIPAA sem autorização individual. Este é o caso mesmo que a entidade abrangida tenha inicialmente recebido a PHI para uma finalidade diferente. A FAQ aborda então especificamente os planos de saúde que utilizam PHI que receberam para outra finalidade nas suas próprias comunicações de marketing.

A HIPAA proíbe as entidades abrangidas de utilizar ou divulgar as PHI de um indivíduo para fins de «marketing» sem autorização, salvo em casos excecionais. 45 C.F.R. § 164.508(a)(3). No entanto, a definição de«marketing»exclui, entre outras coisas, comunicações para descrever um produto ou serviço relacionado com a saúde (ou pagamento por tal produto ou serviço) que é fornecido por, ou incluído num plano de benefícios da, entidade abrangida que faz a comunicação, a menos que a entidade abrangida receba remuneração financeira em troca da comunicação.

Por exemplo, se o Plano de Saúde A divulgar PHI ao Plano de Saúde B, o Plano de Saúde B poderá então usar essas PHI conforme permitido pela HIPAA. A HIPAA permitiria que o Plano de Saúde B utilizasse as PHI do indivíduo para enviar comunicações sobre os produtos e serviços do Plano de Saúde B (por exemplo, um plano de saúde que possa substituir o plano de saúde atual do indivíduo), sem autorização individual, assumindo que o Plano de Saúde B não receba remuneração pelo envio da comunicação e cumpra quaisquer acordos comerciais aplicáveis.

As perguntas frequentes da OCR são fundamentais para compreender como a OCR interpreta os regulamentos da HIPAA. É provável que essas novas perguntas frequentes sejam amplamente utilizadas pelas entidades abrangidas, uma vez que elas utilizam e divulgam PHI para coordenação de cuidados, gestão de casos e outros fins no futuro.

Declaração de exoneração de responsabilidade

Este blogue é disponibilizado por Foley & Lardner LLP ("Foley" ou "a Firma") apenas para fins informativos. Não se destina a transmitir a posição jurídica da Sociedade em nome de qualquer cliente, nem a prestar aconselhamento jurídico específico. As opiniões expressas neste artigo não reflectem necessariamente a posição da Foley & Lardner LLP, dos seus sócios ou dos seus clientes. Por conseguinte, não actue de acordo com esta informação sem procurar aconselhamento junto de um advogado licenciado. Este blogue não se destina a criar, e a sua receção não constitui, uma relação advogado-cliente. A comunicação com a Foley através deste sítio Web, por correio eletrónico, publicação no blogue ou outro, não cria uma relação advogado-cliente para qualquer assunto jurídico. Por conseguinte, qualquer comunicação ou material que transmita a Foley através deste blogue, seja por correio eletrónico, publicação no blogue ou qualquer outra forma, não será tratado como confidencial ou proprietário. A informação neste blogue é publicada "COMO ESTÁ" e não se garante que seja completa, exacta ou actualizada. A Foley não faz representações ou garantias de qualquer tipo, expressas ou implícitas, quanto ao funcionamento ou conteúdo do sítio. A Foley renuncia expressamente a todas as outras garantias, garantias, condições e representações de qualquer tipo, expressas ou implícitas, quer surjam ao abrigo de qualquer estatuto, lei, utilização comercial ou de outra forma, incluindo garantias implícitas de comercialização, adequação a um determinado fim, título e não infração. Em nenhuma circunstância a Foley ou qualquer um dos seus parceiros, oficiais, funcionários, agentes ou afiliados serão responsáveis, direta ou indiretamente, sob qualquer teoria da lei (contrato, delito, negligência ou outra), perante si ou qualquer outra pessoa, por quaisquer reclamações, perdas ou danos, diretos, indirectos, especiais, incidentais, punitivos ou consequenciais, resultantes ou ocasionados pela criação, utilização ou confiança neste site (incluindo informações e outros conteúdos) ou quaisquer sites de terceiros ou as informações, recursos ou materiais acedidos através de tais sites. Em algumas jurisdições, o conteúdo deste blogue pode ser considerado publicidade de advogados. Se aplicável, tenha em atenção que resultados anteriores não garantem um resultado semelhante. As fotografias destinam-se apenas a fins de dramatização e podem incluir modelos. As imagens não implicam necessariamente o estatuto atual de cliente, parceiro ou empregado.

[email protected]

Madison 608.250.7420

Uma mulher com cabelo louro comprido, vestindo um blazer preto, um top preto e um colar de pérolas em camadas, sorri num ambiente interior profissional - reflectindo a confiança polida frequentemente vista entre os advogados de Chicago e os especializados em direito de propriedade intelectual.

[email protected]

Milwaukee 414.297.5864

Informações relacionadas

Ver todas as publicações

18 de dezembro de 2025 Consultor da Indústria Transformadora

Atualização da Foley Automotive

Análise de Julie Dautermann, Analista de Inteligência Competitiva A Foley está aqui para ajudá-lo em todos os aspetos da reformulação da sua estratégia de longo prazo...

18 de dezembro de 2025 Perspetivas sobre tecnologias inovadoras

Centros de dados: o papel da IA e dos semicondutores na transformação de um setor

Centros de dados: o papel da IA e dos semicondutores na transformação de um setor Principais conclusões A IA está a impulsionar uma procura sem precedentes por dados...

18 de dezembro de 2025 Energia atual

Disputas de arbitragem energética no Texas

Principais conclusões Os tribunais do Texas aplicam os acordos de arbitragem estritamente conforme redigidos, tornando fundamental a redação precisa. Incorporar a AAA ou...