A primeira regra a ser considerada na HIPAA, é a Regra de Privacidade, que levanta questões sobre os padrões de Privacidade de Informações de Saúde Individual Identificáveis nos EUA.

Esta regra define as medidas de segurança adequadas para proteger a privacidade das informações pessoais de saúde e define limites para o uso e divulgação dessas informações sem autorização prévia dos pacientes. A Regra de Privacidade também dá aos pacientes direitos sobre as suas informações, como revisá-las, obter uma cópia de suas informações de saúde e até mesmo solicitar que correções sejam feitas.

Quando falamos sobre autorização, os convênios e profissionais de saúde devem sempre obter dos indivíduos a autorização por escrito, para qualquer uso ou divulgação das informações de saúde que não sejam para tratamentos, pagamentos ou outras operações de saúde.

Todo prestador de serviços de saúde, sendo planos de saúde, clínicas ou consultórios médicos, entre outros, de qualquer porte, que transmita eletronicamente informações de saúde vinculadas ou não a outras transações, é considerada uma entidade de saúde, e deve obedecer à Regra de Privacidade válida nos EUA.

Quais informações estão protegidas pela regra?

Todas as informações de saúde individual identificáveis, incluindo dados demográficos estão protegidas pela regra, além dos seguintes itens:

  • Prontuário e histórico de saúde, sendo ela física ou mental do paciente;
  • Informações sobre os pagamentos de serviços de saúde se existir razões para acreditar que estas podem ser usadas para identificar o paciente;
  • Qualquer informação comum como nome, filiação, endereços, contatos, data de nascimento, documentos (como o RG, por exemplo), entre outros;
  • Para uso de informações onde não existe a possibilidade de identificação do paciente não há restrições.

Divulgação de informações

A Regra de Privacidade permite a divulgação de informações de saúde em duas condições específicas:

  • Para o paciente que é dono e objeto dessas informações, ou seu representante legal, quando o mesmo pede por elas;
  • Para o órgão governamental Health and Human Services - HHS (Saúde e Serviços Humanos, numa tradução livre), em casos de investigações e ações criminais.

As exceções para a divulgação de informações sem autorização também podem acontecer quando:

  • O paciente solicita a divulgação das mesmas;
  • Para tratamento, pagamento ou serviços de saúde, estando dentre esses serviços os de coordenação, avaliação do plano de saúde, credenciamento, reviews médicos, serviços legais, análises de risco, entre outros;
  • Divulgações e usos onde o paciente tem a oportunidade de concordar ou vetar, perguntadas diretamente a ele. Em casos de emergência, onde o paciente está incapacitado de concordar ou negar com a divulgação dos dados, o médico, clínica, ou plano de saúde, pode tomar essa decisão levando em consideração o melhor para o paciente e agindo em boa fé;
  • Para incidentes em que ocorreu o uso ou divulgação indevida de informações, a regra não exige que todos os riscos acidentes sejam eliminados, mas os planos de saúde, médicos ou clínicas devem ter medidas de segurança para evitar vazamentos;
  • Em casos de vítimas de abuso, as informações sobre o estado de saúde podem ser divulgadas para as autoridades;
  • Para processos jurídicos e administrativos;
  • Caso solicitadas, para o cumprimento de leis, na identificação ou localização de suspeitos de crimes, fugitivos, testemunhas, ou ainda pessoas desaparecidas, bem como em casos em que exista a suspeita de que as informações são evidências de um crime, ou para localizar um criminoso;

E ainda, caso exista um interesse público nacional, a Regra de Privacidade cita mais 12 tópicos em que a privacidade pode ser anulada em prol da sociedade e nação. A regra também cita a possibilidade de divulgação para pesquisas na área da saúde, para descendentes e doações de cadáveres.

E ainda, sobre as divulgações, a Regra de Privacidade americana também define o "mínimo necessário", sendo este um dos conceitos mais importantes da regra, onde os médicos, planos, ou prestador de serviços de saúde, devem solicitar, usar e divulgar o mínimo de informações pessoais de saúde necessárias apenas para executar seu trabalho, e desenvolver políticas sobre o que consiste esse mínimo de informações necessário em cada caso e seus usos.

O padrão do mínimo necessário não é exigido em casos de divulgação para o tratamento do paciente, para o próprio paciente em si, usos e divulgações para se enquadrar em outras leis ou regras do HHS ou da HIPAA.

E por fim, a Regra de Privacidade pede que seja criada uma política de notificação de privacidade, onde contenha todos os direitos do paciente, incluindo o direito de abrir reclamações contra o estabelecimento ou profissional de saúde, em caso de suspeita de violação das regras de privacidade. Essa notificação também precisa conter as formas em que o paciente pode fazer essa denúncia e ter também preferencialmente em escrito, que o paciente tem conhecimento sobre essas informações, caso não seja possível o estabelecimento de saúde deve documentar o motivo.

Gostou dessas informações? Continue seguindo o blog para não perder nenhuma das novidades do Ninsaúde Apolo, e se você não for um de nossos clientes ainda, nos contate e solicite uma demonstração.

Fonte: HHS Privacy Rule