• Tweet

Jaikumar Vijayan

Partidarios de los derechos civiles y la privacidad acusaron al Departamento de Salud y Servicios Humanos (HHS por sus siglas en inglés) de los Estados Unidos de intentar socavar una importante ley de notificación de fuga de datos para organismos de salud, que se planea entre en efecto la semana próxima.

La ley obligaría a cualquier organización cubierta bajo la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPPA por sus siglas en inglés) a notificar a sus pacientes de cualquier incidente con sus datos médicos personales. Las compañías que utilicen metodologías de cifrado y destrucción de datos para inutilizar cualquier información accedida por entes no autorizados estan exentas del requerimiento de notificación.

Sin embargo, en un veredicto interino publicado a finales del mes pasado, el HHS introdujo un nuevo "umbral de daño" para la notificación de problemas, la cual destruye completamente la intención original de la ley, según los críticos. Bajo este nuevo cambio, las entidades de salud están obligadas a notificar a los usuarios únicamente si la entidad considera que la fuga de datos causará daño financiero o a la reputación de aquellos cuya información fue comprometida.

El cambio permite a las compañías de salud realizar un autoanálisis de los riesgos potenciales derivados de las fugas de datos, y deja en sus manos decidir si una notificación está justificada. Si la compañía decide que no hay problema, no tiene la obligación de compartir la notificación de fuga con nadie - aún cuando no se hayan tomado los pasos necesarios para proteger la información médica del paciente.

"El estándar de daño contradice en todo el propósito de la notificación obligatoria, que es que las entidades cubiertas por HIPPA protejan los datos de sus pacientes con fuertes salvaguardas", dice Harley Geigle, abogado en el Centro de Democracia y Tecnología (CDT), un grupo de expertos de Washington D.C. "Ahora una entidad puede obviar tanto el cifrado de datos como la notificación porque decidieron que ninguna información que se filtre representa un riesgo".

El HHS no emitió un comunicado inmediatamente.

La ley de notificación de fugas de datos es parte de la Ley de Tecnologías de la Información de Salud para Salud Económica y Clínica (HITECH) de más de 20 mil millones de dólares que aprobó el Congreso norteamericano a principios del año, como parte del paquete de estímulos económicos del Presidente Barack Obama. La ley requiere que el HHS desarrolle nuevas reglas de notificación de fugas de datos en la industria de la salud.

El veredicto, que contiene el estándar de daño, fue publicado a finales del mes passado. Para justificar el cambio, el HHS dijo que un umbral de daño era necesario para prevenir notificaciones innecesarias. Argumentó que el impacto de las notificaciones se vería disminuido si los clientes fueran "inundados" con avisos de fugas de datos que no fueran un riesgo a su información médica privada.

El público tiene alrededor de 40 días para comentar acerca del veredicto antes de que se vuelva definitivo. Pero es poco probable que los comentarios se tomen en cuenta antes de la primera actualización en Abril del 2010, de acuerdo al CDT. Mientras tanto, el estatuto entrará en efecto la semana próxima.

Deborah Peel, fundadora y presidenta de Patient Privacy Rights (Derechos de Privacidad del Paciente), un grupo vigilante de Austin, Texas, criticó fuertemente el umbral de daño propuesto por el HHS. La decisión sugiere que la HHS ha sucumbido a la presión de la industria de la salud, dijo.

"Este requerimiento de daño viola la intención del Congreso en la Ley original", indicó. "Esto es esencialmente una re-escritura de la ley". Dada la manera en que está escrita la ley, las organizaciones no tienen incentivo para hacerse responsables de cualquier fuga de datos médicos confidenciales, comentó.

"Esto es totalmente para la protección de la industria. Elimina la protección al consumidor que el Congreso pretendía incluir en ella", dijo Peel. Añadió que su organización será parte de una "gran respuesta" al cambio propuesto por parte de organizaciones de protección al consumidor y partidarias de la privacidad.

Geiger indica que la manera en que se introdujo el requerimiento de daño en la ley de notificación, no parece probable que el HHS ceda fácilmente en el tema. Cuando hizo su ley de notificación original, la HHS no dió indicios de que la Notificación de Información fuera a incluir un umbral de daño. Como resultado, las organizaciones como el CDT y otros no tuvieron oportunidad de oponerse formalmente o tener un debate público con el HHS en relación al tema, dijo.

"En la forma que leímos el estatuto, un estándar de daño nunca habría entrado en la ecuación por principio", dijo. Originalmente, para propósitos de notificación, una fuga se definió simplemente como un evento en el que la información médica estuvo expuesta o fue accesada en forma no autorizada, indicó. "No sabemos como el HHS dió el salto del lenguaje del Congreso al veredicto interino".