Health Records Privacy in California (Spanish)

Registros de salud en California

Cómo proteger la privacidad de sus registros médicos digitales

Esta hoja informativa proporciona una introducción a los registros electrónicos de salud y sus derechos de privacidad médica. Para más información, consulte el recurso adicional en inglés, Health Records Privacy in California: Answers to Frequently Asked Questions, que proporciona información adicional en un formato de preguntas y respuestas.

Introducción

Cuando usted visita a un médico, surte una receta, obtiene una radiografía o se hace una prueba de sangre, debe estar seguro que sus registros personales de salud se mantendrán privados a menos que exista un motivo legítimo médico o empresarial para que se utilicen. A través de los años, se han puesto en práctica muchas medidas de seguridad para impedir el acceso no autorizado a la información sobre el paciente, incluso algunas que abordan cambios recientes en la manera en que la información personal de salud se recoge, se administra y se comparte.

A medida que el país pasa de los archivos en papel a la historia clínica digital, es importante estar consciente de los beneficios y los riesgos potenciales del uso compartido de archivos electrónicos y comprender sus derechos a la privacidad en asuntos médicos y las medidas que se pueden tomar para mantener la confidencialidad de sus registros de salud en cualquier formato.

Informática de la salud

La informática en el sector de salud hace posible que su médico, otros proveedores de atención médica, un hospital, laboratorios médicos, procesadores de reclamaciones de seguro médico y otros utilicen las computadoras para crear, almacenar y compartir su información médica electrónicamente. El almacenar y compartir archivos de salud personal en formato digital tiene la capacidad de:

• posibilitar una recuperación casi instantánea de toda su información de salud crítica, incluso cuando está lejos de casa;
• reducir de gran manera la posibilidad de que distintos médicos receten medicamentos incompatibles o dupliquen pruebas;
• eliminar errores debidos a escritura ilegible;
• proteger los registros incluso durante un desastre, cuando los archivos de papel podrían ser destruidos o estar inaccesibles;
• permitir a los pacientes ver los resultados de pruebas y su información personal de salud en línea; y
• limitar quién puede ver los registros (con el uso de codificación criptográfíca y contraseñas) y llevar el control de quienes visitan los archivos de pacientes.

Nuevos riesgos a la privacidad

unto con estos y otros beneficios vienen algunos nuevos riesgos a la privacidad. Como los registros digitales de salud reúnen tanta información (datos personales, detalles de pago y notas médicas) y permiten que los archivos de tantos pacientes se almacenen en un solo lugar, una sola instancia de acceso no autorizado (violación de seguridad de datos) podría amenazar a un gran número de registros electrónicos y resultar particularmente dañina para las personas afectadas.

Una violación de seguridad puede ser accidental, como cuando un empleado erróneamente carga registros de pacientes en Internet sin criptografía. O puede ser intencional y criminal. La información robada puede utilizarse para cometer fraude de tarjetas de crédito o para obtener servicios médicos usando los planes de salud de otras personas.

Aparte de las violaciónes de seguridad, los comercializadores, los recaudadores de fondos y las compañías farmacéuticas que obtienen su información pueden utilizarla para venderle productos y solicitar donaciones.

Sus derechos de privacidad médica

Independientemente del formato (papel o electrónico), es importante entender cómo la ley protege, o no protege, su información médica.

La ley federal principal que regula la recolección, almacenamiento, uso y divulgación de la “información de salud protegida” es Health Insurance Portability and Accountability Act (HIPAA). (La información de salud protegida incluye al menos un elemento, como nombre, dirección o número de Seguro Social, que podría utilizarse para revelar su identidad.)

Aunque HIPAA aplica por lo general a los registros de salud en cualquier formato, la regla de seguridad de HIPAA (“HIPAA Security Rule”) aplica específicamente a los registros electrónicos. Requiere que las entidades cubiertas implementen medidas de seguridad apropiadas para proteger la privacidad de la información de pacientes almacenada en formato digital.

Una entidad cubierta por HIPAA es cualquier proveedor de cuidado de salud (médicos, enfermeras, hospitales, farmacéuticos, dentistas, etc.), cualquier plan de salud (incluyendo las HMO y programas como Medicare) y cualquier entidad conocida como “healthcare clearinghouse” que transmite reclamos, facturación y otra información sobre el paciente. Otros individuos y empresas que contratan para proporcionar servicios a entidades cubiertas generalmente también deben cumplir con las normas de HIPAA.

Los estados pueden crear reglas más fuertes (pero no más débiles) para proteger la privacidad del paciente.

Los residentes de California están protegidos por las leyes federales, y también por algunas regulaciones del estado aun más enérgicas. Según HIPAA y la ley Confidentiality of Medical Information Act de California (ley de confidencialidad de información médica o CMIA) y otras leyes estatales, usted tiene derecho a ser informado. Los proveedores de atención médica deben entregarle un aviso sobre sus prácticas de privacidad que explica claramente cómo puede ser usada su información médica, quién la puede ver, cuáles son sus derechos y dónde presentar sus quejas.

Su firma en el aviso de prácticas de privacidad significa sólo que lo recibió y lo entendió, y no que autoriza el uso o la divulgación de su información de salud para fines que no sean de rutina (los proveedores de atención médica pueden usar y divulgar su información de salud protegida para tratamientos, cuestiones de pago y asuntos administrativos, sin obtener primero su permiso firmado) o los permitidos por la ley.

Si su proveedor utiliza un servicio externo para enviar y recibir los registros digitales de salud, le podría presentar la oportunidad de optar para compartir los registros electrónicos (“opt-in”) u optar para no compartirlos (“opt-out”). Cuando se trata de una política de consentimiento en la que no se compartirán los registros a menos que usted opte por compartirlos, se le pedirá que firme un formulario dando o negando su permiso. Cuando la política de consentimiento es de “optar para no compartir”, se considera que su acuerdo de compartir es automático, a menos que, dentro de cierto plazo, usted deniegue el permiso presentando un documento con ese propósito.

No se le puede negar atención médica o seguro médico ni tampoco penalizarlo por negarse a compartir su información cuando se le da la opción. Sin embargo, su decisión de no compartirla puede ser ignorada en una emergencia médica o crisis de salud pública.

Protección de su privacidad médica

Aunque algunos de los usos de su información están fuera de su control, puede tomar ciertos pasos para mejorar la privacidad y seguridad de sus registros de salud.

Entienda lo que está firmando. Lea detenidamente los formularios en los que se otorga autorización para divulgar los registros médicos. Si no entiende algo, pida una explicación. No firme autorizaciones amplias o confusas. Si es necesario, edite el formulario tachando aquello con lo que no está de acuerdo y escribiendo restricciones específicas y plazos límite. Escriba sus iniciales junto a los cambios.

Discuta sus preocupaciones sobre privacidad médica con su proveedor. Los registros electrónicos de salud pueden ofrecer mejores opciones de seguridad que los archivos de papel, como codificiación criptográfica (de forma que un usuario no autorizado no los pueda leer), control de acceso electrónico (registra quién tiene acceso a los archivos y qué cambios se hacen) y configuración de seguridad de acceso (contraseñas y números de identificación personales o PIN). Pregúntele a su proveedor cómo impide el acceso no autorizado.

Solicite una restricción. Si no desea que se divulgue un cierto tratamiento, una condición médica, una visita, etc., incluso con fines de rutina, envíe una solicitud por escrito a su proveedor. El proveedor de atención médica no está obligado a aceptar la restricción, pero si lo hace, no debe usar o revelar la información restringida a menos que sea necesario para su tratamiento en caso de emergencia. Si su solicitud es denegada, pida una explicación.

No conteste preguntas en formularios que no se refieran al tema. Si usted está recibiendo atención para una torcedura en la muñeca, no es probable que su proveedor deba saber si usted fuma. Si realmente se necesita alguna respuesta, el proveedor le preguntará.

Tenga cuidado al compartir con entidades que no son proveedores. Muchas de las leyes de privacidad médica aplican sólo a proveedores de atención médica y otras “entidades cubiertas”. Cuando usted participa en encuestas de salud y pruebas de detección o exámenes de salud gratuitos o de bajo costo, se inscribe por Internet o de otra forma para recibir muestras gratis, usa aplicaciones de salud y bienestar en su dispositivo móvil y visita foros y sitios web de salud en línea, no puede controlar quién ve la información que proporciona. Lea la política de privacidad de la empresa y los formularios de autorización antes de revelar cualquier información. (Los sitios web y aplicaciones móviles que recogen en California información personal identificable están obligados a mantener una política de privacidad de fácil acceso para el consumidor). No descargue una aplicación hasta entender qué información recopila y cómo la utilizará y compartirá.

Límite quién ve su información. Los proveedores de atención médica pueden utilizar y divulgar su información cuando sea necesario, sin su permiso por escrito, para propósitos de tratamiento, pago y administración.

En general, cualquier otro uso de su información de salud protegida no específicamente permitido o requerido por la ley (por ejemplo con fines policiales y de salud pública) requiere su “autorización” por escrito (a menudo llamado “consentimiento” en California.)

Una autorización válida debe especificar qué información de salud se puede compartir, quién está autorizado a revelarla y recibirla, el propósito de compartir la información y una fecha de caducidad.

Usted tiene derechos sobre el uso y la divulgación de su información.

Niegue su consentimiento o autorización. Usted podrá negarse a compartir su información con terceros. Si paga en efectivo, puede notificar a su proveedor que no comparta información sobre su tratamiento con su plan de seguro médico.

Revoque su consentimiento o autorización. Usted puede cancelar su permiso para divulgar su información médica (papel o electrónica) en cualquier momento. También puede dar permiso si lo hubiera negado previamente.

Si retira su consentimiento para intercambiar su información electrónicamente, cualquier información de salud compartida electrónicamente hasta ese momento continuará siendo almacenada digitalmente, pero no se podrá obtener acceso de esa manera en tratamientos futuros.

Sepa quién ha visto su información. Cuando usted lo solicite, el médico debe presentarle una “contabilidad de accesos,” que es una lista que describe cómo se ha compartido su información médica en los últimos seis años con fines que no hayan sido de tratamiento, pago o asuntos administrativos. El informe lo debe recibir dentro de 60 días de haberlo solicitado.

También se le debe notificar sobre cualquier violación de seguridad de su información de salud electrónica sin criptografía. En California, el aviso debe incluir el tipo de información que fue violada, cuándo ocurrió y los números de teléfono de llamada gratuita y direcciones de las principales agencias de informes de crédito.

Deje de recibir mensajes de mercadotecnia. A los proveedores de cuidado de salud no se les permite dar o vender su información para propósitos de mercadotecnia directa sin su autorización firmada. Le deben explicar claramente cómo se utilizará la información y si recibirán algún pago por proporcionarla. Usted también tiene el derecho a optar por no recibir los mensajes de recaudación de fondos de un proveedor.

Aun así, su plan de salud tiene permitido enviarle información sobre sus propios servicios de salud, incluso tratamientos y medicamentos, sin su permiso por escrito.

Sus registros médicos

Un doctor o un plan de salud debe permitirle ver sus registros de salud durante horas de trabajo dentro de los cinco días hábiles de haber recibido su solicitud por escrito. La ley de California permite que los proveedores cobren costos administrativos relacionados con la disposición de registros de pacientes.

Las copias solicitadas deben proporcionarse dentro de un plazo de 15 días, o 10 días si usted acepta recibir un resumen de sus registros. En California, los proveedores pueden cobrar hasta 25¢ por página por fotocopias o 50¢ por página por copias de microfilm, además de un cargo “razonable” por gastos administrativos de poner a su disposición sus registros y de franqueo si le envían copias por correo. El cargo por las copias de radiografías y registros similares debe basarse en el costo real de las mismas.

Puesto que la mayoría de los registros médicos contienen muchas páginas, considere solicitar copias sólo de los elementos que necesita en lugar del registro completo. Si su registro médico se mantiene en formato digital, podría resultarle más barato y conveniente recibir la información en un CD, DVD o por descarga de Internet en un dispositivo de memoria USB o “flash drive”.

Usted tiene derecho a recibir una copia gratuita de la parte pertinente de su registro médico si la necesita para apelar una negación de su calificación para recibir beneficios públicos como los de Medi-Cal o los del Seguro Social por discapacidad. Si su apelación es exitosa, su proveedor puede entonces cobrarle por la copia.

Si piensa que le están cobrando demasiado o tiene dificultad para obtener sus registros, póngase en contacto con el Medical Board of California para quejarse y obtener asistencia.

En California, se le puede negar el acceso a sus registros de salud mental si el proveedor considera que ver el expediente podría ser perjudicial para usted u otra persona. También se le puede negar el acceso a la información que alguien que no sea proveedor de atención médica haya proporcionado acerca de usted en carácter confidencial si el hacerlo revelaría la identidad de la persona. Si se le niega acceso a una parte de sus registros, se debe indicar la razón, y se le debe informar si tiene derecho a que la decisión sea revisada y la forma de presentar una queja.

Efectúe cambios en sus expedientes médicos. Usted puede pedir un cambio en su registro médico si la información que contiene es inexacta o incompleta. Si el proveedor de la información considera que es precisa y completa y no realiza el cambio, usted puede agregar a su archivo una declaración de desacuerdo de 250 palabras.

Cuando se violan sus derechos de privacidad médica

Si usted cree que se han violado sus derechos de privacidad médica, comience por presentar una queja directamente con su proveedor de atención médica. El aviso de prácticas de privacidad que recibió debe incluir información sobre cómo puede presentar una queja. Según la ley federal, una entidad cubierta no puede tomar represalias contra usted si usted se queja.

Leyes federales y estatales independientes cubren violaciones de la privacidad, así que si eleva su queja a una entidad más allá de su proveedor, es posible que deba registrar sus quejas en más de una agencia.

Entidades cubiertas por HIPAA. En casos de violaciones cometidas por entidades cubiertas por HIPAA o sus asociados comerciales, puede presentar una queja con la oficina de salud y servicios humanos del departamento de derechos civiles de los Estados Unidos, U.S. Department of Health and Human Services Office for Civil Rights (OCR): www.hhs.gov/ocr/privacy/hipaa/complaints. Utilice el paquete de queja de OCR (www.hhs.gov/ocr/privacy/hipaa/complaints/hipcomplaintform.pdf), que incluye información sobre cómo enviar por correo su formulario de queja. Para obtener más información, llame al 800-368-1019 (TDD: 800-537-7697) o por correo electrónico a .(JavaScript must be enabled to view this email address).

Planes de salud y HMO. El departamento de atención médica administrada de California, California Department of Managed Health Care, maneja quejas de los pacientes con respecto a los planes de salud y de HMO: www.hmohelp.ca.gov/dmhc_consumer/pc/pc_complaint.aspx. Para quejas urgentes, llame al 888-466-2219 (TDD: 877-688-9891). Para quejas que no son urgentes, llene y envíe por correo un formulario de queja: www.hmohelp.ca.gov/dmhc_consumer/pc/pc_forms.aspx.

Instalaciones de la “División 2”. El departamento de licencias de salud pública y división de certificación de California, California Department of Public Health Licensing and Certification Division, investiga las quejas que implican a clínicas, hospitales de cuidados agudos, instalaciones de enfermería especializada, centros de tratamiento en institutuciones penales, agencias de servicio médico a domicilio, hospicios y unidades móviles. Para encontrar la oficina de distrito más cercana, visite http://www.cdph.ca.gov/certlic/facilities/Pages/LCDistrictOffices.aspx.

Otros proveedores y empresas. Para reportar una violación de seguridad o privacidad médica por cualquier otro tipo de proveedor o persona, presente una queja con el fiscal del distrito (“district attorney”) del condado en que ocurrió el incidente (www.cdaa.org/district-attorney-roster).

Beneficiarios de Medi-Cal. Si usted recibe beneficios de Medi-Cal, podrá presentar su queja en el departamento de servicios de salud de California, California Department of Health Care Services, (916-445-4646; www.dhcs.ca.gov; .(JavaScript must be enabled to view this email address)).

Quejas sobre privacidad general. La comisión federal de comercio, Federal Trade Commission, procesa judicialmente a organizaciones que violan los derechos de privacidad de los consumidores o que no mantienen la seguridad de la información delicada del consumidor. Para obtener más información o presentar una queja: www.ftccomplaintassistant.gov.

Acción legal. Los californianos pueden demandar a una persona o entidad que por negligencia divulga información o registros confidenciales en violación de la ley de California; esto no es una opción bajo la ley federal. Póngase en contacto con la procuraduría estatal de California (“attorney general”) (800-952-5225; www.oag.ca.gov) o con el fiscal del distrito (“district attorney”) www.cdaa.org/district-attorney-roster. También puede encontrar y buscar una lista sobre las violaciones de seguridad de datos en la página web del procurador estatal.

Published / Reviewed Date

Published: July 09, 2013

Download File

Health Records Privacy in California (Spanish)
File Name: health_info_privacy_Sp.pdf
File Size: 1.05MB

Sponsors

Rose Foundation

Filed Under

Medical/Healthcare   ♦   Privacy Rights   ♦  

Copyright

© 2013 –2024 Consumer Action. Rights Reserved.