Quality Improvement Professional Research Organization

Ley HIPAA

Preguntas y Respuestas

¿Cúando pueden divulgar información las entidades cubiertas información sobre los beneficiarios de Medicare a los QIOs?

Las Organizaciones de Mejoramiento de Calidad de Medicare (QIO por sus siglas en inglés) realizan ciertas revisiones y otras funciones para los Centros para los Servicios de Medicare y Medicaid (CMS por sus siglas en inglés) bajo sus contratos con CMS. Estas funciones son requeridas bajo la Parte B del Título XI de la ley de Seguro Social. La Parte B del Título XI también requiere que las entidades cubiertas divulguen información sobre los beneficiarios de Medicare a los QIOs para que éstos puedan cumplir con los requerimientos bajos sus contratos con Medicare. Las entidades cubiertas que conducen ciertas transacciones electrónicas y que están sujetas a la Regla de Privacidad de la Ley de Portabilidad y Responsabilidad de Seguros de Salud de 1996 (HIPAA por sus siglas en inglés) generalmente no pueden divulgar información de salud protegida sobre los beneficiarios de Medicare u otros pacientes sin el permiso de éstos, a menos que la regla lo permita bajo unas situaciones específicas. Si se requiere por ley la divulgación por parte de la entidad cubierta, la ley permite divulgación sin la autorización del paciente bajo 45 CFR § 164.512(a). Por lo tanto, cuando una entidad cubierta divulgue información a un QIO información sobre beneficiarios de Medicare necesario para que el QIO cumpla bajo su contrato con CMS, no se requiere autorización por parte del paciente.

¿Cúando pueden las entidades cubiertas divulgar información sobre pacientes que no sean Medicare a los QIOs?

Las entidades cubiertas también pueden divulgar información de salud protegida de pacientes que no sean Medicare sin sus autorizaciones cuando la información está relacionada con las actividades de calidad del QIO bajo su contrato. Generalmente, cuando los QIOs reciben esta información, están funcionando como agencias de vigilancia de la salud bajo §164.512(d).

La Regla de Privacidad de HIPAA define una agencia de vigilancia de la salud para que incluya a una agencia Federal u otra gubernamental o autoridad que está autorizada por ley a vigilar el sistema de cuidado de la salud (ya sea pública o privada), o programas gubernamentales en los que la información de salud es necesaria para determinar la elegibilidad o el cumplimiento con los estándares del programa (45 CFR § 164.501). Las agencias de vigilancia también pueden incluir cualquier persona o entidad actuando bajo contrato con la agencia pública. La Parte B del Título XI requiere que los QIOs de Medicare, como contratistas de CMS, lleven a cabo actividades necesarias para la vigilancia apropiada del sistema de cuidado de la salud. Específicamente, los QIOs de Medicare son agencias de vigilancia de la salud en tanto y en cuanto están actuando bajo contrato con Medicare para vigilar el sistema de cuidado de la salud en general o el cumplimiento de los estándares de calidad bajo Medicare. Esto incluye la recopilación y revisión de medidas de ejecutorias de calidad de los hospitales con respecto a pacientes de Medicare y que no sean de Medicare, tales como informes sobre la prevención de infecciones quirúrgicas, infarto agudo del miocardio e influenza e inmunizaciones para neumococos. Cuando un QIO está actuando como una agencia de vigilancia de la salud, las divulgaciones realizadas a ellos para propósitos de vigilancia del cuidado de la salud son permitidas sin la autorización del paciente.

¿Están protegidas las entidades cubiertas cuando divulgan información a los QIOs?

La ley de Seguro Social provee ciertas protecciones a aquellos que divulguen información a los QIOs, según descrito en la §1157 de la ley. Bajo la §1157, ninguna persona que provea información al QIO puede ser considerada, por razón de haber provisto tal información, como haber violado alguna ley criminal o ser civilmente responsable bajo cualquier ley Estatal o Federal, a menos que la información provista no esté relacionada a la ejecución del contrato del QIO o la información sea falsa y el individuo sabía o tenía razón para creer que la información era falsa.