• logotipo de la HIPAA

    Los enlaces externos a otros sitios tienen un fin informativo y no los recomienda el Departamento Estatal de Servicios de Salud de Texas. Dichos sitios podrían no ser accesibles a gente con discapacidades.

La HIPAA en el DSHS

Temas en esta página:

Entidades contempladas en la HIPAA | Disposiciones | EDI | Privacidad | Seguridad | NPI | Sanciones

Qué es la HIPAA

HIPAA son las siglas de la Ley de Transferibilidad y Responsabilidad de Seguros Médicos de 1996. Aunque el fin principal de esta regla federal fue ayudar para que la cobertura del seguro de los consumidores continuara, esta también incluye un grupo de disposiciones aparte llamado Simplificación administrativa. Esta sección de la ley tiene como objetivo mejorar la eficiencia y efectividad del sistema de salud. Los componentes clave de la Simplificación administrativa incluyen:

  • la transmisión electrónica estandarizada de transacciones administrativas y financieras comunes (como la facturación y los pagos)
  • los identificadores de salud únicos para los individuos, los empleadores, los planes médicos y los proveedores de salud
  • las normas de privacidad y seguridad que protegen la confidencialidad e integridad de la información de salud individualmente identificable

Volver arriba

Entidades contempladas en la HIPAA

El reglamento de la HIPAA se aplica a:

  • los planes médicos
  • las entidades de intercambio de información de salud (aquellas que facilitan las transacciones electrónicas, "trasladando" datos entre planes médicos y proveedores cuando estos usan sistemas de información no compatibles).
  • los proveedores de salud que transmiten de forma electrónica información de salud en relación con una de las ocho transacciones contempladas en la HIPAA o más.

El reglamento no controla directamente a los socios empresariales de las entidades contempladas en la HIPAA, pero los contratos obligatorios requieren que ellos protejan la privacidad con respecto a la información individualmente identificable. Las agencias gubernamentales específicamente mencionadas en el reglamento son entidades contempladas en la HIPAA, y son agencias que desempeñan las funciones de un plan médico o un proveedor de salud.

Volver arriba

Disposiciones

  • Intercambio electrónico de datos (o EDI)
    • Normas para las transacciones
    • Grupos de código
  • Privacidad
  • Seguridad
  • Identificadores nacionales estándar
    • Proveedor
    • Empleador
    • Plan médico

Volver arriba

Intercambio electrónico de datos (EDI)

Este reglamento se ha identificado como las Normas de grupos de código para las transacciones. Las reglas finales para el EDI y los grupos de código se implementaron el 16 de octubre, 2003. Varias de las normas de regulación de transacciones están todavía en revisión y no se han publicado.

El fin de este reglamento es estandarizar el intercambio electrónico de información (las transacciones) entre socios comerciales. Se exige que dichas transacciones sean en versión ANSI ASC X12, formato 4010. Las transacciones contempladas en la HIPAA incluyen:

  • 270 = Consulta de derecho a la participación
  • 271 = Consulta y respuesta
  • 276 = Consulta de situación de reclamación
  • 277 = Consulta y respuesta de situación de reclamación
  • 278 = Petición de autorización y respuesta de autorización
  • 820 = Pago de prima de seguro médico
  • 834 = Inscripción del beneficiario
  • 835 = Envío y pago
  • 837 = Reclamación o encuentro

El Reglamento de Grupos de Código de la HIPAA establece un estándar uniforme de elementos de datos usado para documentar las razones por las que se ve a los pacientes y los procedimientos realizados durante dichos encuentros de atención de salud. Los grupos de código especificados de la HIPAA a ser usados son:

  • Diagnósticos - ICD 9
  • Procedimientos - CPT 4, CDT
  • Suministros/dispositivos - HCPCS
  • Datos clínicos adicionales - Nivel de salud siete (o HL7)

Grupo de códigos administrativos especificados de la HIPAA a ser usados junto con ciertas transacciones y códigos locales estatales específicos eliminados de la HIPAA.

Volver arriba

Privacidad

Este reglamento establece normas para proteger la información de salud individualmente identificable y garantizar los derechos de los individuos a tener más control de tal información. El reglamento de privacidad de la HIPAA se implementó el 14 de abril, 2003.

Las reglas de privacidad definen los derechos de los individuos y las reglas de seguridad definen el proceso y la tecnología requeridos para garantizar la privacidad.

Volver arriba

Seguridad

Este reglamento establece normas para la seguridad de la información de salud electrónica protegida (o e-PHI). El reglamento de seguridad de la HIPAA se implementó el 21 de abril, 2005 para todos los planes médicos menos los pequeños (quienes deben cumplir con él antes del 20 de abril, 2006).

El reglamento final aprueba normas de seguridad para la información de salud electrónica protegida (o e-PHI). Dichas normas están organizadas en las siguientes tres categorías de alto nivel:

  • Medidas preventivas administrativas: incluyen políticas, procedimientos y prácticas que guían la gestión de la seguridad y la autorización y revocación del acceso a la información, la planificación de contingencia y la capacitación. Estas reglas se hacen cumplir por medio de sanciones y están dirigidas en gran medida al personal de la entidad contemplada en la HIPAA.
  • Medidas preventivas físicas: incluyen protecciones que minimicen el acceso físico a la información dentro de los edificios, los pisos, los departamentos, las oficinas y los escritorios. Dichas medidas preventivas incluyen puertas, cerrojos, el acceso con gafete, la ubicación de las terminales de trabajo (ocultas a la vista del público) y los controles de los medios (p. ej., la ubicación de las cintas de copia de seguridad).
  • Medidas preventivas técnicas: incluyen limitar el acceso a la información electrónica, incluidos los distintos niveles de derechos de acceso al software y el control del acceso por medio de controles de auditoría, a usuarios o grupos de usuarios específicos.

Volver arriba

Identificadores de proveedores nacionales (o NPI)

Este reglamento establece el identificador de salud único estándar para que los proveedores de salud simplifiquen los procesos administrativos, como las derivaciones y la facturación, para mejorar la exactitud de los datos y reducir los costos. La regla final se publicó el 23 de enero, 2004.

Los proveedores de salud empezaron a solicitar los NPI en la fecha en que la regla final entró en efecto, el 23 de mayo, 2005. Todos los proveedores de salud tienen derecho a que se les asigne un NPI; los proveedores de salud que sean entidades contempladas en la HIPAA deben obtener y usar el NPI.

Todas las entidades contempladas en la HIPAA deben usar el NPI antes de las fechas establecidas para el cumplimiento:

  • 23 de mayo, 2007 para todos los planes médicos menos los pequeños.
  • 23 de mayo, 2008 para los planes médicos pequeños.

Volver arriba

Sanciones por incumplimiento de la HIPAA

La legislación incluye fuertes sanciones civiles y penales por incumplimiento. La Oficina de Derechos Civiles del DHHS de los EE.UU. hará valer las sanciones civiles, las cuales podrían incluir desde sanciones de $100 por infracción hasta $25,000 por año calendario. El Departamento de Justicia de los EE.UU. hará valer las sanciones penales, las cuales podrían incluir hasta 10 años de encarcelación y una multa de $250,000.

Volver arriba

Última actualización 25 de abril de 2012