Para obtener información sobre la historia y los detalles de cada una de las normas de la HIPAA, visite https://www.hhs.gov/hipaa/for-professionals/index.html y haga clic en «Privacidad», «Seguridad» o «Notificación de infracciones» en la barra de herramientas de la izquierda.
Resultados de la aplicación a partir del 28 de febrero de 2021
Desde la fecha de cumplimiento de la Regla de Privacidad en abril de 2003, la OCR ha recibido más de 257.250 quejas sobre la HIPAA y ha iniciado más de 1.070 revisiones de cumplimiento. Hemos resuelto el noventa y nueve por ciento de estos casos (253.573).
La OCR ha investigado y resuelto más de 28.654 casos exigiendo cambios en las prácticas de privacidad y acciones correctivas por parte de, o proporcionando asistencia técnica a, las entidades cubiertas por la HIPAA y sus asociados comerciales. Las acciones correctivas obtenidas por la OCR de estas entidades han dado lugar a un cambio que es sistémico y que afecta a todos los individuos a los que sirven. La OCR ha hecho cumplir con éxito las normas de la HIPAA aplicando medidas correctoras en todos los casos en los que una investigación indica el incumplimiento por parte de la entidad cubierta o su asociado comercial. Hasta la fecha, la OCR ha llegado a un acuerdo o ha impuesto una sanción monetaria civil en 97 casos, con un importe total de 135.203.482,00 dólares. La OCR ha investigado quejas contra muchos tipos diferentes de entidades, incluyendo: cadenas nacionales de farmacias, grandes centros médicos, planes de salud de grupo, cadenas de hospitales y pequeñas oficinas de proveedores.
En otros 12.864 casos, nuestras investigaciones encontraron que no se había producido ninguna violación.
Además, en 46.558 casos, la OCR ha intervenido de forma temprana y ha proporcionado asistencia técnica a las entidades cubiertas por la HIPAA, a sus asociados comerciales y a los individuos que ejercen sus derechos en virtud de la Regla de Privacidad, sin necesidad de una investigación.
En el resto de nuestros casos completados (165.497), la OCR determinó que la queja no presentaba un caso elegible para la aplicación. Estos incluyen casos en los que:
- OCR carece de jurisdicción bajo la HIPAA. Por ejemplo, en los casos en los que se alega una violación por parte de una entidad no cubierta por la HIPAA;
- La queja es extemporánea, o retirada por el presentador; y
- La actividad descrita no viola las Reglas de la HIPAA. Por ejemplo, en los casos en los que la entidad cubierta ha divulgado información sanitaria protegida en circunstancias en las que la Regla de Privacidad permite dicha divulgación.
- Usos y divulgaciones inadmisibles de información sanitaria protegida;
- Falta de salvaguardas de la información sanitaria protegida;
- Falta de acceso del paciente a su información sanitaria protegida;
- Falta de salvaguardas administrativas de la información sanitaria protegida electrónica; y
- Uso o divulgación de más información sanitaria protegida que la mínima necesaria.
- Hospitales generales;
- Prácticas y médicos privados;
- Instituciones para pacientes externos;
- Farmacias; y
- Planes de salud (planes de salud de grupo y emisores de seguros de salud).
Desde la fecha de cumplimiento hasta la actualidad, los problemas de cumplimiento que más se alegan en las reclamaciones son, recopilados de forma acumulativa, por orden de frecuencia:
Los tipos más comunes de entidades cubiertas que han cometido presuntas infracciones son, por orden de frecuencia:
Referencias
El OCR remite al Departamento de Justicia (DOJ) para que investigue penalmente los casos apropiados que impliquen la divulgación u obtención a sabiendas de información sanitaria protegida en violación de las Normas. A la fecha de este resumen, la OCR ha realizado 1.045 remisiones de este tipo al DOJ.
Esté atento a las actualizaciones mensuales que informan del número de casos recibidos, investigados o resueltos.