¿Cuando hay responsabilidad directa?

¿Quién es el responsable de notificar a las personas afectadas por una violación de la seguridad de phi?

Este sitio web está actualmente en proceso de actualización. Para obtener orientación sobre la Regla de Privacidad de la HIPAA en la investigación, consulte: https://www.hhs.gov/hipaa/for-professionals/special-topics/research/index.html

La Regla de Privacidad sólo se aplica a las entidades cubiertas; no se aplica a todas las personas o instituciones que recogen información sanitaria individualmente identificable. Sin embargo, puede afectar a otros tipos de entidades que no están directamente reguladas por la Regla si, por ejemplo, dependen de las entidades cubiertas para proporcionar la PHI. Es importante que los investigadores sean conscientes de cómo puede afectarles la Norma en los distintos tipos de organizaciones en las que operan, y de lo que pueden tener que hacer para continuar su investigación o comenzar nuevos esfuerzos de investigación en y después de la fecha de cumplimiento de la Norma de Privacidad.

Las entidades cubiertas se definen en las normas de la HIPAA como (1) los planes de salud, (2) los centros de intercambio de información sanitaria y (3) los proveedores de atención sanitaria que transmiten electrónicamente cualquier información sanitaria en relación con las transacciones para las que el HHS ha adoptado normas. Por lo general, estas transacciones se refieren a la facturación y el pago de servicios o a la cobertura del seguro. Por ejemplo, los hospitales, los centros médicos académicos, los médicos y otros proveedores de atención sanitaria que transmiten electrónicamente información de transacciones de reclamaciones directamente o a través de un intermediario a un plan de salud son entidades cubiertas. Las entidades cubiertas pueden ser instituciones, organizaciones o personas.

Lee más  ¿Cuáles son las fases del proceso penal en Venezuela?

Acuerdo de asociación empresarial Hipaa

Como se establece en la Ley HITECH y en la norma final de la OCR de 2013, la OCR está facultada para adoptar medidas de ejecución contra los asociados comerciales únicamente en relación con los requisitos y las prohibiciones de las normas de la HIPAA que se indican a continuación.

Por ejemplo, cuando el acuerdo del asociado de negocios con una entidad cubierta requiere que proporcione a un individuo una copia electrónica de su ePHI a petición del individuo y el asociado de negocios no lo hace, la OCR tiene autoridad de ejecución directamente sobre el asociado de negocios por ese incumplimiento. (Véase el número 6 anterior).

Por el contrario, la OCR carece de autoridad para hacer cumplir la limitación de “honorarios razonables y basados en los costes” en 45 CFR 164.524(c)(4) contra los socios comerciales porque la Ley HITECH no aplica la disposición de limitación de honorarios a los socios comerciales.    Una entidad cubierta que contrata los servicios de un socio comercial para satisfacer la solicitud de acceso a la información médica protegida de una persona es responsable de garantizar que, cuando corresponda, no se cobre más que la tarifa razonable basada en el coste permitida por la HIPAA.    Si los honorarios cobrados superan la limitación de los honorarios, la OCR puede tomar medidas de ejecución sólo contra la entidad cubierta.

Entidad cubierta por la HIPAA

Por ley, la Regla de Privacidad de la HIPAA se aplica sólo a las entidades cubiertas: planes de salud, centros de intercambio de información sobre atención médica y ciertos proveedores de atención médica. Sin embargo, la mayoría de los proveedores de atención médica y los planes de salud no llevan a cabo todas sus actividades y funciones de atención médica por sí mismos. En su lugar, suelen utilizar los servicios de otras personas o empresas. La Regla de Privacidad permite a los proveedores y planes de salud cubiertos revelar información de salud protegida a estos “asociados comerciales” si los proveedores o planes obtienen garantías satisfactorias de que el asociado comercial utilizará la información sólo para los fines para los que fue contratado por la entidad cubierta, salvaguardará la información del mal uso y ayudará a la entidad cubierta a cumplir con algunas de las obligaciones de la entidad cubierta bajo la Regla de Privacidad. Las entidades cubiertas pueden revelar información médica protegida a una entidad en su papel de socio comercial sólo para ayudar a la entidad cubierta a llevar a cabo sus funciones de atención médica, no para el uso o los fines independientes del socio comercial, excepto cuando sea necesario para la gestión y administración adecuadas del socio comercial.

Lee más  ¿Qué es ser cómplice?

La Hipaa sólo permite a los asociados comerciales utilizar o divulgar phi

La mayoría de los estados imponen ahora una responsabilidad extracontractual estricta para los productos fabricados de forma defectuosa. Los demandantes de los estados que reconocen la responsabilidad objetiva por defectos de fabricación no necesitarán demostrar que el fabricante no tuvo el cuidado debido o fue imprudente. Un demandante puede obtener una indemnización por daños y perjuicios aunque el fabricante haya tenido todo el cuidado necesario en la elaboración del producto.

Un demandante que se acoja a la teoría de la responsabilidad objetiva tendrá que demostrar que hubo un defecto, que el defecto causó real y próximamente la lesión del demandante, y que el defecto hizo que el producto fuera irrazonablemente peligroso. No sólo los compradores del producto, sino también los transeúntes o invitados y otras personas que no tienen una relación directa con el producto pueden demandar por responsabilidad objetiva si resultan lesionados por el producto.

En algunas jurisdicciones, la teoría de la responsabilidad objetiva se utiliza en relación con las mascotas que muerden o atacan. La razón de la responsabilidad objetiva en esas jurisdicciones es que los animales no tienen conciencia, y quienes deciden tenerlos como mascotas tienen el deber de sujetarlos para evitar que se dañen.