As modificações propostas à HIPAA ampliam os direitos de acesso individual e incentivam um maior compartilhamento de PHI para coordenação de cuidados

Em 10 de dezembro de 2020, o Departamento de Saúde e Serviços Humanos, Gabinete de Direitos Civis (OCR) emitiu um Aviso de Proposta de Regulamentação(NPRM) para revisar a Regra de Privacidade HIPAA. As revisões propostas à Regra de Privacidade visam alterar disposições que criam barreiras ao atendimento coordenado “sem compensar ou contrabalançar suficientemente tais encargos por meio de proteções de privacidade”. O OCR desenvolveu as propostas após analisar as contribuições públicas recebidas em resposta à Solicitação de Informações sobre a Modificação das Regras da HIPAA para Melhorar o Atendimento Coordenado, de dezembro de 2018. As propostas expandiriam significativamente os direitos dos indivíduos de aceder a informações de saúde protegidas (PHI), incentivariam o compartilhamento adicional para coordenação de cuidados ou para ajudar indivíduos com transtornos de uso de substâncias em certos casos, revisariam os requisitos do Aviso de Práticas de Privacidade (NPP) e permitiriam divulgações aos Serviços de Retransmissão de Telecomunicações (TRS).

Resumimos abaixo as principais revisões propostas para a Regra de Privacidade. Observe, no entanto, que independentemente de essas modificações propostas serem finalmente aprovadas, outras leis aplicáveis, como as leis estaduais de privacidade médica e 42 C.F.R. Parte 2, entre outras, deverão ser levadas em consideração.

Expansões do direito de acesso

A NPRM, se implementada como lei, expandiria significativamente os direitos de acesso dos indivíduos sob a HIPAA:

Prazo para resposta. As entidades abrangidas teriam de responder aos pedidos de acesso «assim que possível», mas em nenhum caso mais tarde do que 15 dias corridos após a receção do pedido (em vez dos atuais 30 dias corridos).
Formulário e formato solicitados. A Regra de Privacidade exige atualmente que as entidades abrangidas forneçam PHI no formulário e formato solicitados pelo indivíduo, se «facilmente produzíveis» nesse formulário e formato. As modificações propostas esclareceriam que «facilmente produzíveis» inclui APIs seguras e baseadas em padrões, utilizando aplicações escolhidas pelos indivíduos, tais como uma «aplicação de saúde pessoal». Os indivíduos também teriam o direito de tomar notas, gravar vídeos e tirar fotografias, ou usar outros recursos pessoais para visualizar ou capturar PHI pessoalmente.
Taxas. Os indivíduos que inspecionarem ou obtiverem cópias das suas próprias PHI terão direito a esse acesso gratuitamente quando inspecionarem pessoalmente ou acederem às PHI na Internet. A OCR continuará a permitir certas taxas por mão de obra, materiais e postagem, e permitirá que taxas limitadas sejam cobradas a um indivíduo que solicite a transmissão de uma cópia eletrónica das PHI a terceiros. As entidades abrangidas seriam obrigadas a fornecer um aviso prévio das tabelas de taxas estimadas nos seus sites (se tiverem um) para tipos comuns de pedidos de cópias de PHI e, mediante solicitação, fornecer estimativas individualizadas de taxas para cópias e uma lista detalhada dos custos reais para pedidos de cópias.
Direito de enviar cópias a terceiros. O direito atual de um indivíduo enviar uma cópia das PHI a terceiros seria limitado a uma cópia eletrónica, de acordo com a NPRM, para codificar uma decisão judicial anterior sobre esta questão. Este pedido não precisaria mais ser feito por escrito, desde que fosse «claro, visível e específico». Além disso, a proposta exigiria que uma entidade abrangida transmitisse PHI eletrónicas num registo de saúde eletrónico a outra entidade abrangida, como parte do direito de acesso do indivíduo.
Verificação. A OCR também propôs proibir que uma entidade abrangida imponha medidas «irrazoáveis» de verificação de identidade a um indivíduo. Medidas irrazoáveis incluem o reconhecimento de firma de pedidos, exigir que o indivíduo forneça prova de identidade pessoalmente quando a verificação remota seria viável ou exigir o preenchimento de um formulário completo de autorização HIPAA para um pedido de acesso.

Incentivar atividades de coordenação de cuidados e gestão de casos

A NPRM concentra-se em incentivar ainda mais o envolvimento das entidades abrangidas, sejam elas prestadores de cuidados de saúde ou planos de saúde, em atividades de coordenação de cuidados e gestão de casos a nível individual. A OCR propõe remover as barreiras criadas pela atual Regra de Privacidade para essas atividades de coordenação de cuidados e gestão de casos através de:

Alteração da definição de operações de cuidados de saúde.Na versão atual da Regra de Privacidade, algumas entidades abrangidas interpretam que «operações de cuidados de saúde» abrangem apenas a coordenação de cuidados baseados na população e a gestão de casos, em oposição às atividades individuais permitidas ao abrigo das atividades de «tratamento». Ao alterar a definição de «operações de cuidados de saúde» para incluir atividades de coordenação de cuidados e gestão de casos a nível individual, a OCR esclareceria que as entidades abrangidas que não se dedicam a atividades de tratamento, tais como planos de saúde, podem dedicar-se a atividades de coordenação de cuidados ou gestão de casos a nível individual.
Criação de uma exceção ao padrão mínimo necessário para divulgações.Atualmente, a Regra de Privacidade isenta as entidades abrangidas envolvidas no tratamento de um indivíduo de considerar as informações mínimas necessárias nas divulgações para fins de coordenação de cuidados e gestão de casos. No entanto, uma entidade abrangida que não esteja envolvida no tratamento de um indivíduo deve cumprir os requisitos mínimos necessários para as mesmas divulgações. A NPRM procura tratar todas as entidades abrangidas envolvidas em atividades de coordenação de cuidados e gestão de casos individuais da mesma forma, independentemente de realizarem as atividades no âmbito das funções de «tratamento» ou «operações de cuidados de saúde», conforme definido pela HIPAA.
Permitir a divulgação de PHI a determinados terceiros. As modificações propostas permitem que as entidades abrangidas divulguem PHI a determinados terceiros, incluindo organizações comunitárias, prestadores de serviços domiciliares e comunitários (HCBS), agências de serviços sociais e outros terceiros semelhantes que prestam serviços relacionados à saúde para coordenação de cuidados individuais e gestão de casos, sem obter uma autorização válida do indivíduo. Por exemplo, o terceiro poderia ser uma organização comunitária envolvida na abordagem dos determinantes sociais da saúde e dos riscos à saúde, fornecendo alimentos ou alojamento protegido.

Atualizações da Notificação sobre Práticas de Privacidade

A proposta da OCR modificaria os requisitos da NPP da HIPAA com o objetivo de reduzir a carga administrativa que os atuais requisitos de reconhecimento criam para os prestadores de cuidados de saúde, continuando a ajudar os indivíduos a compreender melhor os seus direitos e como exercê-los, ao abrigo da HIPAA. Num esforço para alcançar esse equilíbrio, a OCR propôs eliminar a exigência de que certas entidades abrangidas que tenham uma relação direta de tratamento com um indivíduo obtenham e mantenham cópias dos reconhecimentos por escrito desse indivíduo confirmando o recebimento do NPP e substituí-lo pelo direito do indivíduo de discutir o NPP com um representante da entidade abrangida. Para apoiar ainda mais a consciencialização dos indivíduos sobre os seus direitos e as práticas de privacidade de uma entidade abrangida, o NPRM modifica adicionalmente os requisitos de conteúdo da NPP para incluir uma descrição e instruções adicionais sobre como os indivíduos podem exercer os seus direitos de acesso e exige um novo cabeçalho obrigatório, mais detalhado e instrutivo. O cabeçalho proposto contemplado no NPRM incluiria especificações adicionais sobre quais informações a NPP fornece aos indivíduos com relação aos seus direitos e como exercê-los, bem como a disponibilidade da pessoa de contacto designada pelas entidades abrangidas.

Revisões para incentivar a divulgação de informações a familiares e outros cuidadores em determinadas situações

A OCR também propôs várias modificações à Regra de Privacidade para incentivar os prestadores de cuidados de saúde a divulgarem as PHI de forma mais ampla em cenários que envolvam indivíduos com transtorno por uso de substâncias (SUD) ou doença mental grave (SMI) e situações de emergência, desde que determinadas condições sejam cumpridas. Essas modificações propostas melhorariam a capacidade e a disposição das entidades abrangidas para fazer determinados usos e divulgações das PHI.

Crença de boa-fé

As modificações propostas alterariam certos requisitos relativos ao uso e divulgação de PHI sob a Regra de Privacidade, incluindo as disposições sobre a divulgação de PHI a familiares e amigos envolvidos nos cuidados do indivíduo, para incentivar o compartilhamento adicional por entidades cobertas sem medo de violar a HIPAA. Especificamente, a proposta substituiria a linguagem atual que permite às entidades abrangidas fazer certos usos e divulgações de PHI com base no seu «exercício de julgamento profissional» por um padrão relativamente mais flexível que permite tais usos ou divulgações com base na «boa-fé» da entidade abrangida de que o uso ou divulgação é do melhor interesse do indivíduo. As modificações propostas também presumiriam a boa-fé da entidade abrangida.

Esta proposta é apoiada pela preocupação da OCR de que a exigência da regra atual de exercer «julgamento profissional» possa ser interpretada como uma limitação da permissão a pessoas licenciadas ou que dependem de formação profissional para determinar se o uso ou a divulgação de PHI é do melhor interesse do indivíduo.

Embora a formação profissional e a experiência influenciem naturalmente a boa-fé de um profissional de saúde em relação aos melhores interesses de um indivíduo, a boa-fé nem sempre exige que uma entidade abrangida ou um membro da sua força de trabalho possua formação especializada ou experiência profissional. Em vez disso, um padrão de «boa-fé» pressupõe que uma entidade abrangida ou um membro da sua força de trabalho exerça um grau de discricionariedade adequado à sua função ao decidir utilizar ou divulgar PHI e ao cumprir quaisquer outras condições contidas nas autorizações aplicáveis. Seguem-se alguns exemplos ilustrativos de como esta alteração proposta funcionaria na prática.

Uma entidade abrangida poderia recorrer à sua experiência para determinar, de boa-fé, que é do melhor interesse de um paciente jovem adulto, incapacitado por uma overdose, crise de saúde mental ou outra emergência de saúde, divulgar informações a um dos pais envolvido no tratamento do paciente e que o jovem adulto esperaria, com base na sua relação, que participasse ou se envolvesse na recuperação do paciente.
Uma unidade de cuidados intensivos que não possua uma designação por escrito de um contacto de emergência, mas que tenha conhecimento do contacto de emergência designado por um paciente incapacitado, pode divulgar as PHI a esse contacto, com base na convicção de boa-fé de que o paciente não se opõe à divulgação.
Uma entidade abrangida poderia divulgar as PHI de um menor não emancipado que sofra de SUD num estado ou jurisdição onde a lei aplicável não trate os pais do menor como representantes pessoais, quando o prestador acreditar, de boa-fé, que a divulgação de informações aos pais poderia melhorar os cuidados e o tratamento do menor. Esta norma proposta removeria um impedimento à divulgação de PHI aos pais ou tutores de um menor que sofra de SUD ou SMI, quando os pais ou tutores não forem reconhecidos como representantes pessoais do menor ao abrigo da legislação estadual. Ao mesmo tempo, esta proposta não se sobreporia às leis estaduais que proíbem a divulgação de informações confidenciais, pois permitiria, mas não exigiria, a divulgação nos termos da HIPAA. Assim, uma entidade abrangida poderia cumprir tanto a HIPAA quanto uma lei estadual mais restritiva, limitando as divulgações de acordo com a lei estadual.

Ameaça grave e razoavelmente previsível

Para permitir que as entidades abrangidas possam prevenir e diminuir os danos a indivíduos ou ao público, as modificações propostas também permitiriam que as entidades abrangidas divulgassem PHI para evitar uma ameaça à saúde ou segurança de uma pessoa ou do público quando um dano fosse «grave e razoavelmente previsível», em vez do padrão atual mais rigoroso, que exige uma ameaça «grave e iminente» à saúde ou segurança. A modificação proposta permitiria às entidades abrangidas utilizar ou divulgar PHI sem ter de determinar se o dano ameaçado é iminente (o que pode não ser possível em alguns casos); em vez disso, elas podem determinar se é razoavelmente previsível que o dano ameaçado possa ocorrer.

A OCR propôs essa alteração para evitar situações em que as entidades abrangidas se recusem a utilizar e divulgar PHI que consideram necessárias para prevenir danos ou diminuir ameaças de danos devido a preocupações de que a sua incapacidade de determinar com precisão a iminência da ameaça de dano possa sujeitá-las a penalidades da HIPAA por uso ou divulgação não permitidos. Por exemplo, de acordo com esta proposta, as entidades abrangidas poderiam utilizar ou divulgar PHI sem ter de determinar se o dano ameaçado é iminente (o que pode não ser possível em alguns casos); em vez disso, podem determinar se é razoavelmente previsível que o dano ameaçado possa ocorrer.

Esclarecimento sobre divulgações a fornecedores de TRS

A OCR propôs expressamente permitir a divulgação de informações aos assistentes de comunicação TRS para pessoas surdas, com deficiência auditiva ou surdas-cegas, ou com deficiência da fala, e modificar a definição de parceiro comercial para excluir os prestadores de serviços TRS.

Embora ainda não tenha sido agendada a publicação, a OCR está a aceitar comentários sobre a NPRM durante 60 dias após a sua publicação no Federal Register.

Declaração de exoneração de responsabilidade

Este blogue é disponibilizado por Foley & Lardner LLP ("Foley" ou "a Firma") apenas para fins informativos. Não se destina a transmitir a posição jurídica da Sociedade em nome de qualquer cliente, nem a prestar aconselhamento jurídico específico. As opiniões expressas neste artigo não reflectem necessariamente a posição da Foley & Lardner LLP, dos seus sócios ou dos seus clientes. Por conseguinte, não actue de acordo com esta informação sem procurar aconselhamento junto de um advogado licenciado. Este blogue não se destina a criar, e a sua receção não constitui, uma relação advogado-cliente. A comunicação com a Foley através deste sítio Web, por correio eletrónico, publicação no blogue ou outro, não cria uma relação advogado-cliente para qualquer assunto jurídico. Por conseguinte, qualquer comunicação ou material que transmita a Foley através deste blogue, seja por correio eletrónico, publicação no blogue ou qualquer outra forma, não será tratado como confidencial ou proprietário. A informação neste blogue é publicada "COMO ESTÁ" e não se garante que seja completa, exacta ou actualizada. A Foley não faz representações ou garantias de qualquer tipo, expressas ou implícitas, quanto ao funcionamento ou conteúdo do sítio. A Foley renuncia expressamente a todas as outras garantias, garantias, condições e representações de qualquer tipo, expressas ou implícitas, quer surjam ao abrigo de qualquer estatuto, lei, utilização comercial ou de outra forma, incluindo garantias implícitas de comercialização, adequação a um determinado fim, título e não infração. Em nenhuma circunstância a Foley ou qualquer um dos seus parceiros, oficiais, funcionários, agentes ou afiliados serão responsáveis, direta ou indiretamente, sob qualquer teoria da lei (contrato, delito, negligência ou outra), perante si ou qualquer outra pessoa, por quaisquer reclamações, perdas ou danos, diretos, indirectos, especiais, incidentais, punitivos ou consequenciais, resultantes ou ocasionados pela criação, utilização ou confiança neste site (incluindo informações e outros conteúdos) ou quaisquer sites de terceiros ou as informações, recursos ou materiais acedidos através de tais sites. Em algumas jurisdições, o conteúdo deste blogue pode ser considerado publicidade de advogados. Se aplicável, tenha em atenção que resultados anteriores não garantem um resultado semelhante. As fotografias destinam-se apenas a fins de dramatização e podem incluir modelos. As imagens não implicam necessariamente o estatuto atual de cliente, parceiro ou empregado.

Uma mulher com cabelo louro comprido, vestindo um blazer preto, um top preto e um colar de pérolas em camadas, sorri num ambiente interior profissional - reflectindo a confiança polida frequentemente vista entre os advogados de Chicago e os especializados em direito de propriedade intelectual.

[email protected]

Milwaukee 414.297.5864

[email protected]

Madison 608.250.7420

Um homem de fato escuro e gravata vermelha sorri num corredor de um escritório de advogados moderno e bem iluminado, reflectindo o profissionalismo dos melhores advogados de Chicago.

[email protected]

Tampa 813.225.4129

Um homem de fato escuro e gravata cor de laranja, especializado em apoio a litígios, sorri para a câmara contra um fundo interior desfocado.

[email protected]

Chicago 312.832.4915

Informações relacionadas

Ver todas as publicações

11 de dezembro de 2025 Perspetivas sobre tecnologias inovadoras

OCC emite outra carta interpretativa favorável às criptomoedas: permissibilidade de transações sem risco com ativos criptográficos principais

Em 9 de dezembro de 2025, o Gabinete do Controlador da Moeda (OCC) emitiu a Carta Interpretativa 1188 (IL 1188), confirmando que um banco nacional está autorizado, como parte da atividade bancária, a realizar transações de criptoativos sem risco.

10 de dezembro de 2025 Consultor da Indústria Transformadora

A guerra por talentos na indústria automóvel: vencendo a corrida por trabalhadores qualificados

Durante mais de um século, o setor automóvel foi definido pela engenharia mecânica, fabricação e domínio da linha de montagem. Mas hoje, a indústria está a passar por uma transformação tecnológica tão profunda que está a reescrever o ADN da fabricação de automóveis.

3 de dezembro de 2025 Consultor da Indústria Transformadora

Fabricado na China: O que a indústria automóvel deve saber sobre o surgimento global da fabricação chinesa de veículos conectados em meio às crescentes restrições dos EUA

A indústria automóvel chinesa tornou-se global, em grande parte devido aos avanços tecnológicos, às vantagens em termos de custos e ao investimento estrangeiro através de joint ventures, particularmente nas tecnologias de veículos elétricos («EV») e veículos conectados.

As modificações propostas à HIPAA ampliam os direitos de acesso individual e incentivam um maior compartilhamento de PHI para coordenação de cuidados

Expansões do direito de acesso

Incentivar atividades de coordenação de cuidados e gestão de casos

Atualizações da Notificação sobre Práticas de Privacidade

Revisões para incentivar a divulgação de informações a familiares e outros cuidadores em determinadas situações

Crença de boa-fé

Ameaça grave e razoavelmente previsível

Esclarecimento sobre divulgações a fornecedores de TRS

Autor(es)

Jennifer L. Urban

Jennifer J. Hennessy

Aaron T. Maguregui

Samuel D. Goldstick

Informações relacionadas

OCC emite outra carta interpretativa favorável às criptomoedas: permissibilidade de transações sem risco com ativos criptográficos principais

A guerra por talentos na indústria automóvel: vencendo a corrida por trabalhadores qualificados

Fabricado na China: O que a indústria automóvel deve saber sobre o surgimento global da fabricação chinesa de veículos conectados em meio às crescentes restrições dos EUA