Tradizionalmente, l'assistenza etica sanitaria ha sempre inglobato la necessità di mantenere la riservatezza delle informazioni mediche. Tuttavia, negli Stati Uniti, l'Health Insurance Portability and Accountability Act (HIPAA, vedi Pub. L 104-191 (1996)) ha codificato la responsabilità degli operatori sanitari, dei piani sanitari, delle camere di compensazione per la sanità, e dei loro associati che trasmettono telematicamente i dati sulla salute e le informazioni correlate (p. es., annotazioni sulla salute, arruolamento, conti e verifiche dell'eleggibilità). Collettivamente, queste sono entità coperte sotto l'Health Insurance Portability and Accountability Act (HIPAA). (Vedi anche U.S. Department of Health and Human Services: HIPAA for Professionals.)
Le principali disposizioni dell'Health Insurance Portability and Accountability Act (HIPAA) sono incarnate dalle tre regole seguenti (ora contenute in una regola onnicomprensiva) che sono tutte pianificate per proteggere la privacy e la sicurezza delle informazioni sanitarie identificabili e protette di un individuo (denominate protected health information, PHI):
Norma relativa alla Privacy: definisce gli standard per la protezione delle informazioni sanitarie e offre ai pazienti diritti importanti per quanto riguarda le loro informazioni di salute.
Norma relativa alla sicurezza: stabilisce garanzie che le entità coperte e gli associati devono implementare per proteggere la riservatezza, l'integrità e la sicurezza delle informazioni sanitarie elettroniche
Norma relativa alla Notifica delle Violazioni: richiede che le entità coperte informino gli individui affetti, il governo federale, e, in alcuni casi, i media di una violazione di informazioni sanitarie non garantita.
L'Office for Civil Rights nell'U.S. Department of Health and Human Services, Office for Civil Rights degli Stati Uniti, fa rispettare queste tre regole e fornisce indicazioni sulla conformità delle norme.
Gli aspetti chiave della Norma relativa alla Privacy sono elaborati di seguito.
Accesso ai dati clinici
Nello specifico, i pazienti o i loro rappresentanti autorizzati devono essere in grado di vedere e ottenere copie dei loro reperti medici e chiedere correzioni se identificano errori. Ai fini della Norma relativa alla Privacy, un "rappresentante personale" autorizzato del paziente è un tutore con autorità sulle decisioni sanitarie, un delegato nominato in una procura permanente o in direttive anticipate, o un familiare o un amico autorizzato a servire come surrogato per le decisioni sanitarie in base alla legge statale. I pazienti hanno anche il diritto di dare a un'altra persona l'accesso a tutte o parte delle loro cartelle cliniche mediante un'autorizzazione scritta e firmata.
Nota sulle pratiche della privacy
Gli operatori sanitari devono fornire una nota sui loro possibili impieghi dell'informazione medica personale e sui diritti del paziente in linea con il regolamento dell'Health Insurance Portability and Accountability Act (HIPAA).
Limiti all'uso delle informazioni sanitarie protette
L'Health Insurance Portability and Accountability Act (HIPAA) limita le modalità con cui gli operatori sanitari possono usufruire delle informazioni sanitarie protette. Tale modalità non limita medici, infermieri e altri operatori dal condividere le informazioni necessarie per il trattamento dei loro pazienti. Anche le divulgazioni alle agenzie di scambi di informazioni sanitarie e di sanità pubblica per scopi di salute pubblica durante eventi come la pandemia del COVID-19 sono divulgazioni consentite ai sensi delle linee guida dell'Ufficio per i diritti civili nell'U.S. Department of Health and Human Services. Tuttavia, gli operatori possono utilizzare o condividere solo la quantità minima di informazioni protette necessaria per un particolare scopo. Nella maggior parte delle situazioni, le informazioni sanitarie personali non possono essere utilizzate per propositi non legati all'assistenza sanitaria. Per esempio, un paziente deve firmare una specifica autorizzazione prima che un operatore sanitario possa rilasciare informazioni a un assicuratore, a una banca, a un'azienda di marketing o a un altro business esterno per scopi non legati all'attuale assistenza sanitaria del paziente.
Marketing
Si definisce marketing quella comunicazione designata ad incoraggiare gli individui ad acquistare un particolare prodotto o servizio. L'Health Insurance Portability and Accountability Act (HIPAA) richiede che prima di divulgare le informazioni per scopi di marketing debba essere ottenuta un'autorizzazione specifica da parte del malato. L'operatore sanitario deve segnalare tutti i pagamenti che saranno ricevuti a seguito del marketing. Tuttavia, i fornitori della prestazione sanitaria possono parlare liberamente con i pazienti delle opzioni di trattamento, dei prodotti e di altri servizi relativi alla salute, compresi i programmi di gestione della malattia.
Comunicazioni riservate
Gli operatori sanitari devono effettuare adeguati passaggi per assicurare che le loro comunicazioni con il paziente siano confidenziali ed in accordo con le sue preferenze. Per esempio, il colloquio medico-paziente può generalmente deve avvenire in privato, oppure il paziente può preferire che il medico lo chiami al suo ufficio invece che a casa. Tuttavia, a meno che il paziente non si opponga, i professionisti possono condividere le informazioni mediche con i familiari più stretti del paziente o con qualcuno noto per essere un caro amico personale se le informazioni si riferiscono al coinvolgimento di quella persona nelle cure del paziente o al pagamento per le cure, e le informazioni sono limitate a quanto è necessario al coinvolgimento di quella persona. I medici devono esercitare un giudizio professionale.
Un rappresentante personale autorizzato del paziente deve essere trattato allo stesso modo del paziente per quanto riguarda l'accesso alle informazioni e la partecipazione al processo decisionale. Così, il rappresentante ha lo stesso accesso alle informazioni e può esercitare gli stessi diritti relativi alla riservatezza delle informazioni. Tuttavia, gli operatori sanitari possono limitarne le informazioni o l'accesso se ci sono ragionevoli preoccupazioni relative a violenza domestica, abuso, incuria o negligenza da parte del rappresentante.
Alcune comunicazioni non possono essere mantenute confidenziali. A volte per legge locali o dello stato, gli operatori sanitari sono tenuti a divulgare alcune informazioni, in genere perché la condizione può comportare un pericolo per altre persone. L'HIPAA consente la divulgazione delle informazioni sanitarie protette alle autorità di sanità pubblica che sono legalmente autorizzate a ricevere tali informazioni allo scopo di prevenire o controllare malattie, lesioni o disabilità (1). (Vedi anche U.S. Department of Health and Human Services: HIPAA for Professionals: Disclosures for Public Health Activities.) Per esempio, alcune malattie infettive (p. es., COVID-19, HIV, sifilide, tubercolosi) devono essere segnalate alle agenzie sanitarie pubbliche sia statali che locali. Segni di abuso nel bambino e, in molti stati, abusi sugli adulti e sugli anziani o casi di negligenza, in genere devono essere segnalati ai servizi di protezione. Condizioni che potrebbero gravemente inficiare la capacità di guida del paziente, come la demenza o convulsioni recenti, in alcuni stati devono essere segnalate al Dipartimento dei veicoli a motore.
Lamentele
I pazienti possono presentare reclami circa la conformità di queste pratiche sulla privacy. Le lamentele possono essere rivolte direttamente agli operatori sanitari o all'Office for Civil Rights nell'U.S. Department of Health and Human Services, o il responsabile della conformità alla privacy designato dall'istituzione in conformità con l'Health Insurance Portability and Accountability Act (HIPAA). Anche se i pazienti non hanno il diritto di intentare una causa privata sotto HIPAA, possono presentare azioni legali in base ad altre leggi che tutelano la privacy e la riservatezza. L'Office for Civil Rights regularly impone regolarmente sanzioni civili e penali per la divulgazione impropria di informazioni sanitarie personali. Il corso più solido per gli operatori sanitari è quello di essere ben informati in merito a Health Insurance Portability and Accountability Act (HIPAA), agire in buona fede, ed effettuare tentativi ragionevoli per conformarsi.
Riferimento
1. United States Code of Federal Regulations (CFR): 45 CFR §164.512. Consultato il 22/09/2023.
Per ulteriori informazioni
U.S. Department of Health and Human Services: HIPAA for Professionals: Provides detailed information about HIPAA and its rules and administration, including frequently asked questions about HIPAA.