Confidencialidade e HIPAA

PorThaddeus Mason Pope, JD, PhD, Mitchell Hamline School of Law
Revisado/Corrigido: out. 2023
Visão Educação para o paciente

Tradicionalmente, o tratamento médico ético sempre inclui a necessidade de manter confidenciais as informações médicas dos pacientes. Contudo, a Lei de Portabilidade e Responsabilidade dos Planos de Saúde [HIPAA, ver Pub. L 104-191 (1996)] definiu a responsabilidade dos fornecedores de serviços médicos, planos de saúde, centros de informações médicas e seus parceiros de negócio que transmitem eletronicamente informações médicas e relacionadas (por exemplo, registros médicos, inscrição, faturamento, verificação de elegibilidade). Colectivamente, estes são entidades abrangidas pela lei HIPAA (do inglês Health Insurance Portability and Accountability Act). (Ver também U.S. Department of Health and Human Services: HIPAA for Professionals.)

As principais disposições do HIPAA estão incorporadas em três regras (agora contidas em uma regra geral), todas as quais destinadas a proteger a privacidade e a segurança das informações médicas individualmente identificáveis, chamadas de informações de saúde protegidas (ISP):

  • Regra de Privacidade: estabelece as normas para a proteção das ISP e dá aos pacientes direitos importantes no que diz respeito às informações sobre sua saúde

  • Regra de Segurança: estabelece salvaguardas que as entidades cobertas e seus parceiros comerciais devem implementar a fim de proteger a privacidade, a integridade e a segurança das informações sob sigilo nos prontuários eletrônicos

  • Regra de Notificação da Violação: exige que entidades cobertas notifiquem os indivíduos afetados, o governo federal e, em alguns casos, os meios de comunicação, sobre uma violação de informações médicas não protegidas

O Escritório de Direitos Civis do Departamento de Saúde e Serviços Humanos dos Estados Unidos é responsável por impor as três regras da HIPAA: a Regra de Privacidade, a Regra de Segurança e a Regra de Notificação de Violação.

Os aspectos fundamentais da regra de privacidade estão descritos abaixo.

Acesso a prontuários médicos

Em geral, os pacientes ou seus representantes legais devem ser capazes de ver e obter cópias de seus registros médicos e solicitar correções no caso de identificar erros ou enganos. Para fins da Regra de Privacidade, um "representante pessoal" autorizado do paciente é um responsável legal ou tutor com autoridade sobre decisões de saúde, um agente ou procurador nomeado em uma diretiva antecipada ou uma procuração para cuidados de saúde (durable power of attorney for health care), ou um familiar ou amigo autorizado a atuar como substituto para decisões de saúde de acordo com a lei estadual. Os pacientes também têm o direito de conceder a outra pessoa acesso a todo ou parte de seus registros médicos por meio de uma autorização assinada e por escrito.

Notificação de práticas de privacidade

Os provedores de cuidados de saúde devem fornecer um aviso sobre seus possíveis usos de PHI e sobre os direitos do paciente conforme as regulamentações da HIPAA.

Limites sobre o uso de informações de saúde protegidas (ISP)

O HIPAA limita como os serviços de saúde podem utilizar informações sob o ISP. A lei não impede médicos, enfermeiras e outros profissionais de saúde de compartilharem informações necessárias para tratar o paciente. Divulgações para intercâmbio de informações sobre saúde e agências de saúde pública para fins de saúde pública durante eventos como a pandemia de covid-19 também são divulgações permitidas sob as diretrizes do Escritório de Direitos Civis do Departamento de Saúde e Serviços Humanos dos Estados Unidos. Contudo, os profissionais de saúde podem utilizar ou compartilhar apenas uma quantidade mínima de informações protegidas necessárias para um propósito específico. Na maioria das outras situações, as ISP não podem ser utilizadas com finalidades não relacionadas com tratamentos da saúde. Por exemplo, é necessário que o paciente assine uma autorização antes do agente de saúde liberar informações médicas para seguro de vida, banco, firma de marketing ou outro negócio externo para propósitos não relacionados com o tratamento de saúde do paciente.

Marketing

O marketing é uma comunicação estabelecida para estimular indivíduos a comprar um produto ou serviço particular. O HIPAA requer que autorização específica do paciente seja obtida antes de revelar ISP para propósitos de marketing. Os agentes de saúde devem revelar qualquer pagamento recebido como resultado de marketing. Entretanto, os agentes de saúde podem comunicar livremente aos pacientes sobre as opções de tratamento, produtos e outros serviços relacionados com a saúde, incluindo programas de tratamento de doenças.

Comunicações confidenciais

Os profissionais de saúde devem tomar medidas satisfatórias para assegurar que a comunicação com o paciente seja mantida confidencial e de acordo com as preferências do paciente. Por exemplo, as conversas clínicas entre o médico e o paciente geralmente devem ser reservadas, ou o paciente pode preferir que o médico telefone para seu escritório em vez de sua residência. Entretanto, a menos que o paciente se oponha, os médicos podem compartilhar as ISP com parentes imediatos ou alguém conhecido por ser um amigo pessoal próximo se as informações estiverem relacionadas com o envolvimento dessa pessoa com o atendimento do paciente ou pagamento pelo atendimento e as informações forem limitadas ao que é necessário para o envolvimento dessa pessoa. Espera-se que os médicos exerçam julgamento profissional.

Deve-se tratar o representante individual autorizado do paciente da mesma maneira que o paciente no que diz respeito ao acesso a informações e à participação na tomada de decisões. Assim, o representante tem o mesmo acesso às informações e pode exercer os mesmos direitos referentes à confidencialidade das informações. Contudo, profissionais de saúde devem restringir as informações ou avaliar se há preocupações razoáveis acerca de violência doméstica, abuso ou negligência pelo representante.

Algumas comunicações não podem permanecer confidenciais. Ocasionalmente, profissionais de saúde são obrigados por lei estadual ou local a divulgar certas informações, geralmente porque a condição pode representar um perigo para outras pessoas. O HIPAA permite a divulgação de informações de saúde protegidas para autoridades de saúde pública que estão legalmente autorizadas a receber essas informações com a finalidade de prevenir ou controlar uma doença, lesão ou invalidez (1). (Ver também U.S. Department of Health and Human Services: HIPAA for Professionals: Disclosures for Public Health Activities.) Por exemplo, certos tipos de doenças infecciosas (p. ex., covid-19, HIV sífilis, TB) devem ser informados ao serviço de saúde estadual ou a agências de serviço de saúde público locais. Sinais de abuso infantil e, em muitos estados, abuso ou negligência de adultos ou idosos, geralmente devem ser relatados aos serviços de proteção. Em alguns estados, condições que podem prejudicar gravemente a capacidade do paciente de dirigir, como demência e convulsões, devem ser comunicadas ao departamento de trânsito.

Queixas

Os pacientes podem fazer queixas sobre a adesão a essas práticas de privacidade. As queixas podem ser encaminhadas diretamente ao profissional de saúde, ao Escritório de Direitos Civis do Departamento de Saúde e Serviços Humanos dos Estados Unidos ou ao responsável pela adesão à privacidade designado pela instituição de acordo com a HIPAA. Embora os pacientes não tenham o direito de apresentar uma ação privada sob a HIPAA, eles podem entrar com ações judiciais sob outras leis que protegem a privacidade e a confidencialidade. O Escritório de Direitos Civis regularmente impõe penalidades civis e criminais por divulgação inadequada de informações pessoais de saúde. A melhor conduta para os profissionais de saúde é se manter bem informado sobre a HIPAA, agir de boa-fé e fazer tentativas cabíveis para respeitar a lei.

Referência

Informações adicionais

  1. U.S. Department of Health and Human Services: HIPAA for Professionals: Provides detailed information about HIPAA and its rules and administration, including frequently asked questions about HIPAA.

quizzes_lightbulb_red
Test your KnowledgeTake a Quiz!
Baixe o aplicativo  do Manual MSD!ANDROID iOS
Baixe o aplicativo  do Manual MSD!ANDROID iOS
Baixe o aplicativo  do Manual MSD!ANDROID iOS