Este documento ha sido traducido al Español con Inteligencia Artificial (IA). Para aclaraciones, por favor consultar la versión en Inglés y/o contactar directamente a la Oficina de Derechos Civiles.

Notas:
• Algunos enlaces en este documento llevarán a información en Inglés inevitablemente, ya que no toda la información está disponible en Español en las fuentes oficiales.

• Algunos enlaces pueden no ser funcionales y otros pueden no estar actualizados.

Fuente en Inglés: https://www.hhs.gov/sites/default/files/hipaa-privacy-rule-and-sharing-info-related-to-mental-health.pdf

Regla de Privacidad HIPAA y Compartición de Información Relacionada con la Salud Mental

Antecedentes

La Regla de Privacidad de la Ley de Portabilidad y Responsabilidad de los Seguros de Salud (HIPAA) otorga a los consumidores importantes derechos y protecciones de privacidad con respecto a su información de salud, incluyendo controles fundamentales sobre cómo dicha información es utilizada y divulgada por los planes de salud y los proveedores de atención médica. Garantizar protecciones sólidas de privacidad es esencial para mantener la confianza de las personas en sus proveedores de salud y su disposición a acceder a los servicios médicos necesarios. Estas protecciones son especialmente relevantes cuando se trata de información altamente sensible, como la información relacionada con la salud mental.

Al mismo tiempo, la Regla de Privacidad reconoce que existen circunstancias en las que puede ser necesario compartir información de salud para asegurar que el paciente reciba el mejor tratamiento y para otros fines importantes, como la salud y seguridad del paciente o de otras personas. La Regla está cuidadosamente equilibrada para permitir el uso y la divulgación de información —incluida la información de salud mental— con fines de tratamiento y otros propósitos, siempre bajo las protecciones adecuadas.

En esta guía abordamos algunas de las preguntas más frecuentes sobre cuándo es apropiado, según la Regla de Privacidad, que un proveedor de atención médica comparta la información de salud protegida de un paciente que está siendo tratado por una condición de salud mental. Aclaramos cuándo la HIPAA permite a los proveedores de atención médica:

• Comunicarse con los familiares, amigos u otras personas involucradas en el cuidado del paciente;

• Comunicarse con los familiares cuando el paciente es un adulto;

• Comunicarse con el padre o madre de un paciente que es menor de edad;

• Considerar la capacidad del paciente para aceptar u oponerse a que se comparta su información;

• Involucrar a los familiares, amigos u otras personas del paciente en el manejo de incumplimientos relacionados con la medicación u otra terapia;

• Escuchar a los familiares sobre sus seres queridos que reciben tratamiento de salud mental;

• Comunicarse con familiares, autoridades policiales u otros cuando el paciente represente una amenaza grave e inminente para sí mismo o para otros; y

• Comunicarse con las autoridades policiales sobre la liberación de un paciente ingresado bajo una medida de emergencia psiquiátrica.

Además, la guía ofrece recordatorios relevantes sobre temas relacionados, como las protecciones reforzadas que la Regla de Privacidad otorga a las notas de psicoterapia, el derecho de los padres a acceder a la información de salud protegida de un hijo menor como representantes personales del mismo, la posible aplicabilidad de las regulaciones federales de confidencialidad sobre el consumo de alcohol y drogas o de las leyes estatales que puedan otorgar protecciones más estrictas que la HIPAA, así como la intersección entre la HIPAA y la FERPA en el ámbito escolar.

Preguntas y Respuestas sobre la HIPAA y la Salud Mental

¿Permite la HIPAA que un proveedor de atención médica se comunique con la familia, los amigos u otras personas que participan en el cuidado del paciente?

Sí. En reconocimiento del papel fundamental que desempeñan la familia y los amigos en la atención médica de un paciente, la Regla de Privacidad de la HIPAA permite estas comunicaciones rutinarias —y a menudo críticas— entre los proveedores de atención médica y dichas personas.

Cuando el paciente está presente y tiene la capacidad de tomar decisiones sobre su atención médica, los proveedores pueden comunicarse con los familiares, amigos u otras personas que el paciente haya involucrado en su atención o en el pago de la misma, siempre que el paciente no se oponga. Véase 45 CFR 164.510(b). El proveedor puede pedirle permiso al paciente para compartir información relevante con familiares u otros, puede informarle que planea discutir la información y darle la oportunidad de aceptar u oponerse, o puede inferir de las circunstancias, utilizando su juicio profesional, que el paciente no se opone. Un ejemplo común de este último caso serían las situaciones en las que un familiar o amigo es invitado por el paciente y se encuentra presente en la sala de tratamiento junto con el paciente y el proveedor cuando se realiza la divulgación.

Cuando el paciente no está presente o se encuentra incapacitado, un proveedor de atención médica puede compartir la información del paciente con familiares, amigos u otras personas involucradas en su atención o en el pago de la misma, siempre que determine, con base en su juicio profesional, que hacerlo es en el mejor interés del paciente. Cabe señalar que, cuando se trata de alguien distinto de un amigo o familiar, el proveedor debe tener la seguridad razonable de que el paciente pidió que esa persona participara en su atención o en el pago de la misma.

En todos los casos, las divulgaciones a familiares, amigos u otras personas involucradas en la atención del paciente o en el pago de la misma deben limitarse únicamente a la información de salud protegida directamente relevante para la participación de esa persona en la atención o en el pago del paciente.

El sitio web de la OCR contiene información adicional sobre las divulgaciones a familiares y amigos en hojas informativas elaboradas para consumidores (PDF) y para proveedores (PDF).

¿Proporciona la HIPAA protecciones adicionales para la información de salud mental en comparación con otro tipo de información de salud?

En general, la Regla de Privacidad se aplica de manera uniforme a toda la información de salud protegida, sin importar el tipo de información. Una excepción a esta regla general son las notas de psicoterapia, que reciben protecciones especiales.

La Regla de Privacidad define las notas de psicoterapia como aquellas registradas por un proveedor de atención médica que sea un profesional de salud mental, documentando o analizando el contenido de una conversación durante una sesión de consejería privada o una sesión grupal, conjunta o familiar, y que se mantienen separadas del resto del historial médico del paciente.

Las notas de psicoterapia no incluyen información sobre la prescripción y el seguimiento de medicamentos, los horarios de inicio y fin de las sesiones de consejería, las modalidades y frecuencias del tratamiento proporcionado, ni los resultados de pruebas clínicas; tampoco incluyen resúmenes de diagnóstico, estado funcional, plan de tratamiento, síntomas, pronóstico o avances hasta la fecha. Además, las notas de psicoterapia no incluyen información que se mantenga en el historial médico del paciente. Véase 45 CFR 164.501.

Las notas de psicoterapia se tratan de manera diferente a otra información de salud mental, tanto porque contienen información particularmente sensible como porque son notas personales del terapeuta que, por lo general, no son necesarias ni útiles para fines de tratamiento, pago u operaciones de atención médica, excepto para el profesional de salud mental que creó las notas.

Por lo tanto, con pocas excepciones, la Regla de Privacidad exige que una entidad cubierta obtenga la autorización del paciente antes de divulgar las notas de psicoterapia por cualquier motivo, incluida la divulgación con fines de tratamiento a un proveedor de atención médica que no sea el autor de las notas. Véase 45 CFR 164.508(a)(2).

Una excepción notable se aplica a las divulgaciones requeridas por otras leyes, como los informes obligatorios de abuso, y las situaciones de “deber de advertir” obligatorias respecto a amenazas de daño grave e inminente realizadas por el paciente (las leyes estatales varían en cuanto a si dicha advertencia es obligatoria o permitida).

¿Se permite que un proveedor de atención médica discuta la información de salud mental de un paciente adulto con sus padres u otros familiares?

En situaciones en las que se le da al paciente la oportunidad y este no se opone, la HIPAA permite que el proveedor comparta o discuta la información de salud mental del paciente con familiares u otras personas involucradas en la atención o el pago de la misma. Por ejemplo, si el paciente no se opone:

• Un psiquiatra puede discutir los medicamentos que un paciente necesita tomar con la hermana del paciente que está presente en la cita de atención de salud mental.

• Un terapeuta puede brindar información al cónyuge del paciente sobre señales de alerta que podrían indicar una emergencia en desarrollo.

PERO:

• Una enfermera no puede discutir la condición de salud mental de un paciente con el hermano del paciente después de que la paciente haya indicado que no desea que su familia conozca su condición.

En todos los casos, el proveedor de atención médica solo puede compartir o discutir la información que la persona involucrada necesite conocer sobre la atención del paciente o el pago de la misma. Véase 45 CFR 164.510(b).

Finalmente, es importante recordar que otras leyes aplicables (por ejemplo, estatutos estatales de confidencialidad) o la ética profesional pueden imponer limitaciones más estrictas sobre la divulgación de información de salud personal, especialmente cuando la información se relaciona con la salud mental del paciente.

¿Cuándo constituye la enfermedad mental u otra condición mental una incapacidad según la Regla de Privacidad? Por ejemplo, ¿qué ocurre si un paciente que está experimentando psicosis temporal o se encuentra intoxicado no tiene la capacidad de aceptar u oponerse a que un proveedor de atención médica comparta información con un familiar, pero el proveedor considera que la divulgación es en el mejor interés del paciente?

La Sección 164.510(b)(3) de la Regla de Privacidad de la HIPAA permite que un proveedor de atención médica, cuando un paciente no está presente o no puede aceptar u oponerse a una divulgación debido a incapacidad o circunstancias de emergencia, determine si divulgar la información del paciente a los familiares, amigos u otras personas involucradas en la atención o el pago de la misma es en el mejor interés del paciente. Cuando el proveedor determina que dicha divulgación es en el mejor interés del paciente, se permite divulgar únicamente la información de salud protegida (PHI) que sea directamente relevante para la participación de esa persona en la atención o el pago del paciente.

Este permiso se aplica claramente cuando un paciente está inconsciente. Sin embargo, pueden existir situaciones adicionales en las que un proveedor de atención médica crea, basado en su juicio profesional, que el paciente no tiene la capacidad de aceptar u oponerse a la divulgación de su información de salud personal en un momento determinado y que compartir dicha información es en el mejor interés del paciente en ese momento.

Estas situaciones pueden incluir circunstancias en las que el paciente esté sufriendo psicosis temporal o esté bajo la influencia de drogas o alcohol. Por ejemplo, si el proveedor considera que el paciente no puede aceptar u oponerse de manera significativa a la divulgación de su información a familiares, amigos u otras personas involucradas en su atención debido a su estado mental actual, el proveedor puede discutir la condición o el tratamiento del paciente con un familiar, siempre que considere que esto sería en el mejor interés del paciente.

Al tomar esta determinación sobre el mejor interés del paciente, el proveedor debe tener en cuenta las preferencias previamente expresadas por el paciente respecto a la divulgación de su información, si las hubiera, así como las circunstancias de la situación actual. Una vez que el paciente recupere la capacidad de tomar estas decisiones por sí mismo, el proveedor debe ofrecerle la oportunidad de aceptar u oponerse a cualquier futura divulgación de su información.

Nota 1: La Regla de Privacidad permite, pero no exige, que los proveedores divulguen información en estas situaciones. Los proveedores que estén sujetos a normas de privacidad más estrictas bajo otras leyes, como ciertas leyes estatales de confidencialidad o el 42 CFR Parte 2, deberán considerar si existe un permiso de divulgación similar bajo esas leyes que se aplique en las circunstancias.

¿Si un proveedor de atención médica sabe que un paciente con una enfermedad mental grave ha dejado de tomar un medicamento recetado, puede el proveedor informarlo a los familiares del paciente?

Siempre que el paciente no se oponga, la HIPAA permite que el proveedor comparta o discuta la información de salud mental del paciente con sus familiares. Véase 45 CFR 164.510(b). Si el proveedor considera, basado en su juicio profesional, que el paciente no tiene la capacidad de aceptar u oponerse a la divulgación de la información en ese momento, y que compartirla sería en el mejor interés del paciente, el proveedor puede informar al familiar del paciente. En ambos casos, el proveedor de atención médica solo puede compartir o discutir la información que el familiar involucrado necesita conocer sobre la atención del paciente o el pago de la misma.

De lo contrario, si el paciente tiene capacidad y se opone a que el proveedor comparta información con un familiar, el proveedor solo puede divulgar la información si hacerlo es consistente con la ley aplicable y las normas de conducta ética, y si el proveedor tiene una creencia de buena fe de que el paciente representa una amenaza para la salud o la seguridad propia o de otros, y que el familiar puede razonablemente prevenir o reducir esa amenaza. Véase 45 CFR 164.512(j). Por ejemplo, si un médico sabe por experiencia que, cuando la medicación de un paciente no está en un nivel terapéutico, el paciente corre un alto riesgo de suicidio, el médico puede creer de buena fe que la divulgación es necesaria para prevenir o reducir la amenaza para la salud o la seguridad del paciente que ha dejado de tomar la medicación prescrita, y puede compartir información con los familiares u otros cuidadores que puedan evitar la amenaza. Sin embargo, en ausencia de una creencia de buena fe de que la divulgación es necesaria para prevenir una amenaza grave e inminente para la salud o la seguridad del paciente u otros, el médico debe respetar los deseos del paciente con respecto a la divulgación.

¿Puede el médico de un niño menor de edad hablar con los padres del niño sobre el estado de su salud mental y sus necesidades?

Con respecto a las situaciones de tratamiento general, un padre, tutor u otra persona que actúe in loco parentis generalmente se considera el representante personal del menor, y un proveedor de atención médica tiene permitido compartir la información del paciente con el representante personal según la Regla de Privacidad.

Sin embargo, la sección 164.502(g) de la Regla de Privacidad contiene varias excepciones importantes a esta regla general. Un padre no se considera el representante personal del menor cuando:

1. La ley estatal u otra ley no requiere el consentimiento de un padre u otra persona antes de que un menor pueda recibir un servicio de salud específico, el menor da su consentimiento para recibir dicho servicio, y el menor no ha solicitado que el padre sea tratado como representante personal;

2. Alguien distinto del padre está autorizado por la ley para dar consentimiento para la prestación de un servicio de salud específico al menor y otorga dicho consentimiento; o

3. Un padre acuerda una relación confidencial entre el menor y el proveedor de atención médica respecto al servicio de salud.

Por ejemplo, si la ley estatal otorga a un adolescente el derecho a recibir tratamiento de salud mental sin el consentimiento de los padres, y el adolescente consiente en recibir dicho tratamiento, el padre no sería el representante personal del adolescente con respecto a la información de ese tratamiento de salud mental.

Sin embargo, independientemente de si el padre se considera o no un representante personal, la Regla de Privacidad da prioridad a las leyes estatales u otras leyes aplicables que aborden expresamente la capacidad del padre para obtener información de salud sobre el menor. En este sentido, la Regla de Privacidad permite que una entidad cubierta divulgue a un padre, o le proporcione acceso a, la información de salud protegida de un menor cuando y en la medida en que esté permitido o sea requerido por leyes estatales u otras leyes aplicables (incluyendo jurisprudencia relevante). De manera similar, la Regla de Privacidad prohíbe que una entidad cubierta divulgue la información de salud protegida de un menor a un padre cuando y en la medida en que esté prohibido por leyes estatales u otras leyes aplicables (incluyendo jurisprudencia relevante). Véase 45 CFR 164.502(g)(3)(ii).

En los casos en que la ley estatal u otra ley aplicable no se pronuncie sobre la divulgación de la información de salud protegida de un menor a un padre, y el padre no sea el representante personal del menor según alguna de las circunstancias excepcionales descritas anteriormente, una entidad cubierta tiene la discreción de otorgar o denegar al padre el acceso a la información de salud del menor, siempre que hacerlo sea consistente con la ley estatal u otra ley aplicable, y la decisión sea tomada por un profesional de la salud con licencia en el ejercicio de su juicio profesional.

Para obtener más información sobre los representantes personales según la Regla de Privacidad, consulte la guía de la OCR para consumidores y proveedores.

En situaciones en las que un paciente menor de edad está siendo tratado por un trastorno de salud mental y un trastorno por abuso de sustancias, pueden ser aplicables leyes adicionales. El estatuto federal de confidencialidad y las regulaciones que se aplican a los programas de tratamiento de abuso de drogas y alcohol financiados con fondos federales contienen disposiciones más estrictas que la HIPAA. Véase 42 USC § 290dd–2; 42 CFR 2.11, y siguientes.

Nota 2: Un padre tampoco puede considerarse representante personal si existen preocupaciones de seguridad. Un proveedor puede decidir no tratar al padre como representante personal del menor si considera que el menor ha sido o podría ser víctima de violencia, abuso o negligencia por parte del padre, o si tratar al padre como representante personal pondría en peligro al menor; y el proveedor determina, en el ejercicio de su juicio profesional, que no es en el mejor interés del paciente tratar al padre como representante personal. Véase 45 CFR 164.502(g)(5).

¿A partir de qué edad de un niño el padre deja de ser el representante personal del menor para los fines de la HIPAA?

La HIPAA se remite a la ley estatal para determinar la edad de mayoría y los derechos de los padres para actuar en nombre de un niño al tomar decisiones de atención médica, y, por lo tanto, la capacidad del padre para actuar como representante personal del niño para los fines de la HIPAA. Véase 45 CFR 164.502(g).

¿Tiene un padre el derecho de recibir una copia de las notas de psicoterapia sobre el tratamiento de salud mental de su hijo?

No. La Regla de Privacidad distingue entre la información de salud mental contenida en las notas privadas de un profesional de salud mental y la que forma parte del historial médico. No otorga un derecho de acceso a las notas de psicoterapia, las cuales la Regla de Privacidad define como notas registradas por un proveedor de atención médica que sea profesional de salud mental, documentando o analizando el contenido de una conversación durante una sesión de consejería privada o una sesión grupal, conjunta o familiar, y que se mantienen separadas del resto del historial médico del paciente. Véase 45 CFR 164.501.

Las notas de psicoterapia son principalmente para uso personal del profesional tratante y, por lo general, no se divulgan para otros fines. Por ello, la Regla de Privacidad incluye una excepción al derecho de acceso del individuo (o del representante personal) para las notas de psicoterapia. Véase 45 CFR 164.524(a)(1)(i).

Sin embargo, los padres generalmente son los representantes personales de sus hijos menores y, como tal, pueden recibir una copia de la información de salud mental de su hijo contenida en el historial médico, incluyendo información sobre diagnóstico, síntomas, planes de tratamiento, etc.

Además, aunque la Regla de Privacidad no otorga un derecho al paciente o al representante personal para acceder a las notas de psicoterapia, la HIPAA generalmente da a los proveedores la discreción de divulgar la información de salud protegida del individuo (incluidas las notas de psicoterapia) directamente al individuo o a su representante personal. Dado que cualquier divulgación de este tipo es puramente opcional bajo la Regla de Privacidad, los proveedores de salud mental deben consultar la legislación estatal aplicable para verificar posibles prohibiciones o condiciones antes de realizar dichas divulgaciones.

¿Qué opciones tienen los familiares de un paciente adulto con enfermedad mental si están preocupados por la salud mental del paciente y este se niega a que un proveedor de atención médica comparta información con ellos?

La Regla de Privacidad de la HIPAA permite que un proveedor de atención médica divulgue información a los familiares de un paciente adulto que tiene capacidad y manifiesta que no desea que se haga la divulgación solo en la medida en que el proveedor perciba una amenaza seria e inminente para la salud o seguridad del paciente o de otros, y los familiares estén en posición de reducir dicha amenaza.

De lo contrario, según la HIPAA, el proveedor debe respetar los deseos del paciente adulto que se opone a la divulgación. Sin embargo, la HIPAA no impide que los proveedores de atención médica escuchen a los familiares u otros cuidadores que puedan tener preocupaciones sobre la salud y el bienestar del paciente, de modo que el proveedor pueda considerar esa información al brindar atención al paciente.

En caso de que el paciente posteriormente solicite acceso a su historial médico, cualquier información divulgada al proveedor por otra persona que no sea un proveedor de atención médica, y que haya sido proporcionada bajo una promesa de confidencialidad (como la información compartida por un familiar preocupado), puede ser retenida del paciente si la divulgación revelaría razonablemente la fuente de la información. Véase 45 CFR 164.524(a)(2)(v). Esta excepción al derecho del paciente de acceder a su información de salud protegida brinda a los familiares la capacidad de compartir información relevante sobre la seguridad con los proveedores de atención médica sin temor a afectar la relación familiar con el paciente.

¿Permite la HIPAA que un médico contacte a la familia del paciente o a las autoridades si el médico cree que el paciente podría hacerse daño a sí mismo o a otros?

Sí. La Regla de Privacidad permite que un proveedor de atención médica divulgue la información necesaria sobre un paciente a las autoridades, a los familiares del paciente u otras personas, cuando el proveedor cree que el paciente representa una amenaza seria e inminente para sí mismo o para otros. Esta autorización se describe en una carta dirigida a los proveedores de atención médica del país (PDF).

Específicamente, cuando un proveedor de atención médica cree de buena fe que una advertencia es necesaria para prevenir o reducir una amenaza seria e inminente para la salud o seguridad del paciente o de otros, la Regla de Privacidad permite que el proveedor, de acuerdo con la ley aplicable y los estándares éticos, alerte a aquellas personas que considere razonablemente capaces de prevenir o reducir la amenaza. Estas disposiciones se encuentran en la Regla de Privacidad en 45 CFR § 164.512(j).

Bajo estas disposiciones, un proveedor de atención médica puede divulgar información del paciente, incluyendo información de los registros de salud mental, si es necesario, a las autoridades, a los familiares del paciente u otras personas que razonablemente puedan prevenir o reducir el riesgo de daño. Por ejemplo, si un profesional de salud mental tiene un paciente que ha hecho una amenaza creíble de causar daño corporal serio e inminente a una o más personas, la HIPAA permite que el profesional alerte a la policía, a un padre u otro familiar, a los administradores escolares o la policía del campus, y a otros que puedan intervenir para evitar el daño.

Además de los estándares éticos profesionales, la mayoría de los Estados tienen leyes y/o decisiones judiciales que abordan, y en muchos casos requieren, la divulgación de información del paciente para prevenir o reducir el riesgo de daño. Los proveedores deben consultar las leyes aplicables a su profesión en los Estados donde ejercen, así como 42 USC 290dd-2 y 42 CFR Parte 2 bajo la ley federal (que regulan la divulgación de registros de tratamiento de abuso de alcohol y drogas) para comprender sus deberes y autoridad en situaciones donde poseen información que indique una amenaza a la seguridad pública.

Cabe destacar que, cuando un proveedor no está sujeto a dichas leyes estatales u otros estándares éticos, la HIPAA todavía permite divulgaciones con estos fines, siempre que se cumplan las demás condiciones de la autorización.

Si un oficial de policía lleva a un paciente a un hospital u otra instalación de salud mental para que se le coloque en una retención psiquiátrica temporal, y solicita ser notificado si o cuándo el paciente es liberado, ¿puede la instalación realizar esa notificación?

La Regla de Privacidad permite que una entidad cubierta por HIPAA, como un hospital, divulgue cierta información de salud protegida, incluyendo la fecha y hora de ingreso y alta, en respuesta a la solicitud de un oficial de policía, con el propósito de localizar o identificar a un sospechoso, fugitivo, testigo clave o persona desaparecida. Véase 45 CFR § 164.512(f)(2).

Bajo esta disposición, una entidad cubierta puede divulgar la siguiente información sobre un individuo:

• Nombre y dirección

• Fecha y lugar de nacimiento

• Número de seguro social

• Tipo de sangre y factor Rh

• Tipo de lesión

• Fecha y hora del tratamiento (incluye fecha y hora de ingreso y alta) o fallecimiento

• Descripción de características físicas distintivas (como altura y peso)

Sin embargo, una entidad cubierta no puede divulgar información de salud protegida bajo esta disposición relacionada con ADN o análisis de ADN, registros dentales, o tipificación, muestras o análisis de fluidos corporales o tejidos. La solicitud del oficial de policía puede hacerse de manera oral o por escrito.

Otras disposiciones de la Regla de Privacidad también pueden ser relevantes según las circunstancias, por ejemplo, cuando un oficial de policía busca información sobre una persona que puede no calificar como sospechoso, fugitivo, testigo clave o persona desaparecida, o necesita información de salud protegida no permitida bajo la disposición anterior.

Por ejemplo, las disposiciones sobre fuerzas del orden de la Regla de Privacidad también permiten que una entidad cubierta responda a una solicitud administrativa de un oficial de policía, como una demanda investigativa de información de salud protegida de un paciente, siempre que la solicitud administrativa incluya o se acompañe de una declaración escrita que especifique que la información solicitada es relevante, específica y limitada en alcance, y que la información desidentificada no sería suficiente en esa situación.

La Regla también permite que las entidades cubiertas respondan a órdenes judiciales, órdenes emitidas por tribunales, citaciones y notificaciones emitidas por jueces. Véase 45 CFR § 164.512(f)(1). Además, en la medida en que la ley estatal pueda requerir que los proveedores realicen ciertas divulgaciones, la Regla de Privacidad permitiría tales divulgaciones de información de salud protegida como divulgaciones “exigidas por la ley”. Véase 45 CFR § 164.512(a).

Finalmente, la Regla de Privacidad permite que un proveedor de atención médica cubierto, como un hospital, divulgue la información de salud protegida de un paciente, de acuerdo con los estándares legales y éticos aplicables, para evitar una amenaza seria e inminente para la salud o seguridad del paciente o de otros. Dichas divulgaciones pueden realizarse a autoridades policiales u otras personas, como familiares, que puedan prevenir o reducir la amenaza. Véase 45 CFR § 164.512(j).

Si un médico cree que un paciente podría hacerse daño a sí mismo o a otros, ¿es deber del proveedor notificar a la familia o a las autoridades policiales?

El “deber de advertir” de un proveedor de atención médica generalmente se deriva y define a partir de estándares de conducta ética y de leyes estatales y decisiones judiciales, como el caso Tarasoff v. Regents of the University of California. La HIPAA permite que un proveedor de atención médica cubierto notifique a los familiares del paciente sobre una amenaza seria e inminente para la salud o seguridad del paciente u otros, si esos familiares están en posición de reducir o prevenir la amenaza.

Por lo tanto, en la medida en que un proveedor determine que existe una amenaza seria e inminente de que un paciente se haga daño a sí mismo o a otros, la HIPAA permite que el proveedor advierta a la(s) persona(s) apropiada(s) sobre la amenaza, de manera consistente con sus obligaciones éticas profesionales y los requisitos de la ley estatal. Véase 45 CFR 164.512(j).

Además, incluso cuando el peligro no es inminente, la HIPAA permite que un proveedor cubierto se comunique con los familiares del paciente, u otras personas involucradas en el cuidado del paciente, para que estén atentos o para asegurar el cumplimiento de los regímenes de medicación, siempre que el paciente haya tenido la oportunidad de aceptar o rechazar la divulgación y no haya objetado. Véase 45 CFR 164.510(b)(2).

¿Impide la HIPAA que un administrador escolar, o un médico o enfermero escolar, comparta sus preocupaciones sobre la salud mental de un estudiante con los padres del estudiante o con las autoridades policiales?

La información de salud de los estudiantes que se encuentra en una escuela generalmente está sujeta a la Ley de Derechos Educativos y Privacidad Familiar (FERPA), y no a la HIPAA. El Departamento de Salud y Servicios Humanos (HHS) y el Departamento de Educación han desarrollado guías que aclaran la aplicación de HIPAA y FERPA (PDF).

En las circunstancias limitadas en las que la Regla de Privacidad de HIPAA, y no FERPA, pueda aplicarse a la información de salud en el entorno escolar, la regla permite divulgaciones a los padres de un paciente menor o a las autoridades policiales en diversas situaciones.

Por ejemplo, generalmente se presume que los padres son los representantes personales de su hijo menor no emancipado para efectos de privacidad bajo HIPAA, de modo que las entidades cubiertas pueden divulgar la información de salud protegida del menor a un padre. Véase 45 CFR § 164.502(g)(3).

Además, se permiten divulgaciones para prevenir o reducir amenazas serias e inminentes a la salud o seguridad del paciente u otros, notificando a quienes puedan mitigar la amenaza, incluyendo autoridades policiales, padres u otras personas según corresponda. Véase 45 CFR § 164.512(j).

Preguntas frecuentes adicionales sobre la divulgación de información relacionada con el tratamiento de salud mental o trastornos por uso de sustancias, incluyendo el abuso de opioides.

PACIENTES ADULTOS
¿Permite un poder legal de atención médica (POA) el acceso a los registros médicos y de salud mental del paciente según HIPAA?

En general, sí. Si un poder legal de atención médica (POA) está vigente, la persona designada sería el representante personal del paciente. (El período de vigencia puede depender del tipo de poder: algunos documentos de POA son efectivos inmediatamente, mientras que otros solo se activan si y cuando el paciente carece de capacidad para tomar decisiones sobre su atención médica, y dejan de ser efectivos si y cuando el paciente recupera dicha capacidad).

Los “representantes personales”, según la definición de HIPAA, son aquellas personas que tienen autoridad, conforme a la ley aplicable, para tomar decisiones sobre atención médica para un paciente. HIPAA otorga al representante personal del paciente los mismos derechos de acceso a la información de salud que el paciente, incluyendo el derecho a solicitar un registro médico completo que contenga información de salud mental. El derecho de acceso del paciente tiene algunas excepciones, que también se aplican al representante personal. Por ejemplo, con respecto a la información de salud mental, las notas separadas del psicoterapeuta sobre sesiones de consejería, mantenidas aparte del expediente del paciente, no están incluidas en el derecho de acceso bajo HIPAA.

Además, un proveedor puede decidir no tratar a alguien como representante personal del paciente si cree que el paciente ha sido o podría ser objeto de violencia, abuso o negligencia por parte de la persona designada, o si tratar a esa persona como representante personal pondría en peligro al paciente, y el proveedor determina, en el ejercicio de su juicio profesional, que no es en el mejor interés del paciente tratar a la persona como representante personal. Véase 45 CFR 164.502(g)(5).

¿Permite HIPAA que los proveedores de atención médica compartan información de salud protegida (PHI) sobre una persona con enfermedad mental con otros proveedores que estén tratando a la misma persona, con fines de coordinación o continuidad de la atención?

HIPAA permite que los proveedores de atención médica divulguen a otros proveedores de salud cualquier información de salud protegida (PHI) contenida en el expediente médico de un paciente para tratamiento, manejo de casos y coordinación de la atención, y, con pocas excepciones, trata la información de salud mental de la misma manera que otra información de salud.

Algunos ejemplos de tipos de información de salud mental que pueden encontrarse en el expediente médico y que están sujetos a los mismos estándares HIPAA que otra información de salud protegida incluyen:

• Prescripción y monitoreo de medicamentos

• Horarios de inicio y fin de las sesiones de consejería

• Modalidades y frecuencias del tratamiento proporcionado

• Resultados de pruebas clínicas

• Resúmenes de: diagnóstico, estado funcional, plan de tratamiento, síntomas, pronóstico y progreso hasta la fecha

En general, HIPAA no limita las divulgaciones de PHI entre proveedores de atención médica para tratamiento, manejo de casos y coordinación de la atención, excepto que las entidades cubiertas deben obtener la autorización del paciente para divulgar notas de sesiones de psicoterapia mantenidas por separado para dichos fines.

Las entidades cubiertas deben determinar si otras normas, como la ley estatal o los estándares de práctica profesional, imponen limitaciones adicionales a la divulgación de PHI relacionada con la salud mental.

Para más información, consulte:
¿Proporciona HIPAA protecciones adicionales para la información de salud mental en comparación con otra información de salud?

¿Permite HIPAA que los proveedores de atención médica compartan información de salud protegida (PHI) sobre una persona con enfermedad mental con un tercero que no sea un proveedor de atención médica para fines de manejo de casos o continuidad de la atención? Por ejemplo, ¿puede un proveedor derivar a un paciente sin hogar a una agencia de servicios sociales, como un proveedor de vivienda, cuando hacerlo podría revelar que la elegibilidad del paciente está relacionada con su salud mental?

HIPAA, con pocas excepciones, trata toda la información de salud, incluida la información de salud mental, de la misma manera. HIPAA permite que los proveedores de atención médica divulguen información de salud protegida (PHI), incluida la información de salud mental, a otras entidades del sector público o privado que brindan servicios sociales (como vivienda, apoyo económico, capacitación laboral) en circunstancias específicas. Por ejemplo:

• Un proveedor de atención médica puede divulgar la PHI de un paciente con fines de tratamiento sin necesidad de obtener la autorización del paciente. El tratamiento incluye la coordinación o gestión de la atención médica por un proveedor de salud con un tercero. La atención médica se refiere a cuidados, servicios o suministros relacionados con la salud de un individuo. Por lo tanto, los proveedores que consideren que divulgar información a ciertas entidades de servicios sociales es un componente necesario o puede contribuir al cuidado de la salud o salud mental del individuo, pueden divulgar la PHI mínima necesaria a dichas entidades sin la autorización del paciente. Por ejemplo, un proveedor puede divulgar PHI sobre un paciente que necesita vivienda de apoyo para salud mental a una agencia de servicios que organiza dichos servicios.

• Una entidad cubierta también puede divulgar PHI a dichas entidades con una autorización firmada por el paciente. HIPAA permite autorizaciones que se refieran a una clase de personas que pueden recibir o usar la PHI. Por lo tanto, los proveedores podrían identificar en una sola autorización una amplia gama de entidades de servicios sociales que podrían recibir la PHI si el paciente está de acuerdo. Por ejemplo, una autorización podría indicar que la PHI será divulgada a “proveedores de servicios sociales” para fines de “vivienda de apoyo, beneficios públicos, consejería y preparación laboral”.

EMERGENCIAS, HOSPITALIZACIÓN DE URGENCIA O SITUACIONES PELIGROSAS

¿En qué circunstancias permite HIPAA que un médico notifique a la familia, amigos o cuidadores de un paciente que ha sufrido una sobredosis, por ejemplo, debido al abuso de opioides?

Como se explica con más detalle a continuación, cuando un paciente ha sufrido una sobredosis, un profesional de la salud, como un médico, generalmente puede notificar a la familia, amigos o cuidadores involucrados en la atención médica o el pago de la atención del paciente si se cumple alguna de las siguientes condiciones:

1. El paciente tiene la capacidad de tomar decisiones sobre su atención médica en el momento de la divulgación, se le da la oportunidad de objetar y no se opone.

2. La familia, amigos o cuidadores han estado involucrados en la atención médica o el pago de la atención del paciente y no hay objeción por parte del paciente.

3. El paciente tenía la capacidad de tomar decisiones médicas en el momento en que se comparte la información y el médico puede inferir razonablemente, basándose en su juicio profesional, que el paciente no se opondría.

4. El paciente está incapacitado y el profesional de la salud determina, según su juicio profesional, que la notificación y divulgación de la PHI está en el mejor interés del paciente.

5. El paciente está inaccesible debido a una emergencia y el profesional de la salud determina, según su juicio profesional, que la notificación y divulgación de la PHI está en el mejor interés del paciente.

6. La notificación es necesaria para prevenir una amenaza seria e inminente para la salud o seguridad del paciente o de otros.

Si el paciente que ha sufrido una sobredosis está incapacitado y no puede aceptar ni objetar, un médico puede notificar a un familiar, representante personal u otra persona responsable del cuidado del paciente sobre la ubicación del paciente, su estado general o su fallecimiento. Véase 45 CFR 164.510(b)(1)(ii).

De manera similar, HIPAA permite que un médico comparta información adicional con un familiar, amigo o cuidador del paciente, siempre que la información compartida esté directamente relacionada con la participación de esa persona en la atención médica o el pago de la atención del paciente. Véase 45 CFR 164.510(b)(1)(i).

La incapacidad para tomar decisiones puede ser temporal o a largo plazo. Si un paciente que ha sufrido una sobredosis recupera la capacidad de decisión, los proveedores de salud deben ofrecer al paciente la oportunidad de aceptar o rechazar el compartir su información de salud con los familiares, amigos o cuidadores involucrados antes de realizar cualquier divulgación adicional.

Si un paciente se vuelve inaccesible debido a una emergencia, un profesional de la salud puede determinar, basándose en su juicio profesional, que notificar y divulgar información de salud protegida (PHI) a alguien previamente involucrado en su atención es en el mejor interés del paciente. Por ejemplo, si un paciente con adicción a opioides falta a citas médicas importantes sin explicación, un proveedor de atención primaria puede considerar que existe una emergencia relacionada con la adicción y, bajo las circunstancias, usar su juicio profesional para decidir que es mejor contactar a personas de emergencia, como padres o familiares, e informarles de la situación. Véase 45 CFR 164.510(b)(3).

Si el paciente fallece, un médico puede divulgar información relacionada con la participación de familiares, amigos o cuidadores en la atención del paciente, a menos que hacerlo sea contrario a cualquier preferencia previamente expresada por el paciente y conocida por el médico. Si la persona que recibe la notificación es el representante personal del paciente, esa persona tiene derecho a solicitar y obtener cualquier información sobre el paciente, incluyendo el expediente médico completo, según el derecho de acceso de HIPAA. Véase 45 CFR 164.524.

Cuando un paciente representa una amenaza grave e inminente para su propia salud o seguridad o la de otros, HIPAA permite que un profesional de la salud comparta la información necesaria con cualquier persona que pueda prevenir o disminuir el daño, incluidos familiares, amigos y cuidadores, sin necesidad del consentimiento del paciente. Véase 45 CFR 164.512(j). HIPAA confía en el juicio profesional de los profesionales de la salud para determinar la naturaleza y gravedad de la amenaza. Véase 45 CFR 164.512(j)(4). HIPAA presume que el profesional actúa de buena fe si se basa en su conocimiento real o en información creíble de otra persona con autoridad o conocimiento. Por ejemplo, un médico cuyo paciente ha sufrido una sobredosis de opioides se considera que cumple con HIPAA si, basado en la observación o interacción con el paciente, determina que existe una amenaza grave e inminente para la salud del paciente.

Sin embargo, incluso cuando HIPAA permite la divulgación, esta debe ser consistente con la ley estatal aplicable y los estándares éticos profesionales. HIPAA no anula ninguna ley estatal ni normas de ética profesional que impidan que un profesional de la salud comparta información protegida en las circunstancias descritas. Por ejemplo, el médico podría estar sujeto a una ley estatal que prohíba compartir información sobre salud mental o trastornos por uso de sustancias sin el consentimiento del paciente, incluso si HIPAA permitiría la divulgación.

Para más información, consulte la guía de OCR, Cómo HIPAA permite a los médicos responder a la crisis de opioides,
https://www.hhs.gov/sites/default/files/hipaa-opioid-crisis.pdf

¿Cuándo permite HIPAA que un hospital notifique a la familia, amigos o cuidadores de un paciente que ha sido hospitalizado bajo una medida psiquiátrica sobre su ingreso o alta?

Los hospitales pueden notificar a la familia, amigos o cuidadores de un paciente en varias circunstancias:
• Cuando el paciente tiene un representante personal
Un hospital puede notificar al representante personal de un paciente sobre su ingreso o alta y compartir otra información de salud protegida (PHI) con el representante personal sin limitación. Sin embargo, un hospital tiene permitido negarse a tratar a una persona como representante personal si existen preocupaciones de seguridad asociadas con proporcionar la información a esa persona, o si un profesional de la salud determina que la divulgación no es en el mejor interés del paciente.

• Cuando el paciente está de acuerdo o no se opone a la participación de la familia
Un hospital puede notificar a la familia, amigos o cuidadores de un paciente si el paciente está de acuerdo, no se opone, o si un profesional de la salud puede inferir a partir de las circunstancias, usando su juicio profesional, que el paciente no se opone. Esto incluye situaciones en las que la familia, amigos o cuidadores del paciente han estado involucrados en la atención médica del paciente anteriormente, y el individuo no se opuso.

• Cuando el paciente se vuelve incapaz de estar de acuerdo o de objetar y ya ha habido participación familiar

Cuando un paciente no está presente o no puede estar de acuerdo o objetar debido a alguna incapacidad o emergencia, un proveedor de atención médica puede compartir información relevante sobre el paciente con familiares, amigos u otras personas involucradas en la atención o el pago de la atención del paciente, si el proveedor de atención médica determina, basándose en su juicio profesional, que hacerlo es en el mejor interés del paciente.

Por ejemplo, un hospital psiquiátrico puede determinar que es en el mejor interés de un paciente incapacitado notificar inicialmente a un miembro de su hogar, como un padre, compañero de cuarto, hermano, pareja o cónyuge, e informarle sobre la ubicación y la condición general del paciente. Esto puede incluir, por ejemplo, notificar al cónyuge del paciente que éste ha sido ingresado en el hospital.

Si el proveedor de atención médica determina que es en interés del paciente, puede compartir información adicional que esté directamente relacionada con la participación del familiar o amigo en la atención o el pago de la atención del paciente, después de aclarar el nivel de involucramiento de la persona. Por ejemplo, una enfermera que trata a un paciente puede determinar que es en el mejor interés del paciente discutir con el hijo adulto del paciente, quien es su cuidador principal, los medicamentos encontrados en la mochila del paciente y preguntar sobre cualquier otro medicamento que el paciente pueda tener en casa.

La incapacidad para tomar decisiones puede ser temporal o a largo plazo. Una vez que el paciente recupere la capacidad de tomar decisiones, los proveedores de salud deben ofrecer al paciente la oportunidad de estar de acuerdo o de objetar compartir su información de salud con los familiares, amigos o cuidadores involucrados.

• Cuando se necesita la notificación para disminuir una amenaza seria e inminente de daño a la salud o seguridad del paciente u otras personas

Un hospital puede divulgar la información de salud protegida necesaria a cualquier persona que esté en posición de prevenir o disminuir el daño amenazado, incluidos familiares, amigos y cuidadores, sin el consentimiento del paciente. HIPAA se remite expresamente al juicio profesional de los profesionales de la salud al tomar decisiones sobre la naturaleza y la gravedad de la amenaza para la salud o seguridad. Por ejemplo, un proveedor de atención médica puede determinar que un paciente que atraviesa una crisis de salud mental ha ingerido una sustancia no identificada y que es necesario contactar al compañero de cuarto del paciente para ayudar a identificar la sustancia y proporcionar el tratamiento adecuado, o que el paciente ha hecho una amenaza creíble de dañar a un familiar, quien necesita ser notificado para que pueda tomar medidas para evitar el daño. OCR no cuestionaría el juicio de un profesional de la salud al determinar que un paciente representa una amenaza seria e inminente para su propia salud o seguridad, o la de otros.

¿Qué constituye una amenaza “grave e inminente” que permitiría a un proveedor de atención médica divulgar información de salud protegida (PHI) para prevenir daños al paciente, a otra persona o al público sin la autorización o permiso del paciente?

HIPAA se remite expresamente al juicio profesional de los proveedores de atención médica para determinar la naturaleza y gravedad de la amenaza a la salud o seguridad que representa un paciente. OCR no cuestionaría la creencia de buena fe de un profesional de la salud de que un paciente constituye una amenaza grave e inminente para su propia salud o seguridad, o la de otros, y que la situación requiere la divulgación de información del paciente para prevenir o reducir la amenaza. Los proveedores de atención médica pueden divulgar la información de salud protegida necesaria a cualquier persona que pueda prevenir o reducir el daño amenazado, incluidos familiares, amigos, cuidadores y autoridades policiales, sin el permiso del paciente.

Véase la Guía sobre Compartir Información Relacionada con la Salud Mental: https://www.hhs.gov/hipaa/for-professionals/special-topics/mental-health/index.html

Si un paciente adulto que podría representar un peligro para sí mismo deja de asistir a las sesiones de psicoterapia y no responde a los intentos de contacto, ¿HIPAA permite que el terapeuta se comunique con un familiar para verificar el bienestar del paciente, incluso si el paciente le ha dicho al terapeuta que no desea que se comparta información con esa persona?

Sí, bajo dos posibles circunstancias:

1. Dado que el paciente ya no está presente, si el terapeuta determina, basado en su juicio profesional, que podría existir una situación de emergencia y que contactar al familiar del paciente ausente es en el mejor interés del paciente; o

2. Si la divulgación es necesaria para disminuir una amenaza seria e inminente y el familiar está en posición de prevenir o reducir dicha amenaza.

Al tomar la determinación sobre el mejor interés del paciente, el proveedor puede tener en cuenta las preferencias previamente expresadas por el paciente respecto a la divulgación de su información, si las hubiera, así como las circunstancias de la situación actual. En cualquiera de los casos, el proveedor de atención médica solo puede compartir o discutir la información que el familiar involucrado necesite conocer sobre la atención o el pago de la atención del paciente, o el mínimo necesario para prevenir o reducir el daño amenazado.

Además, si el familiar es un representante personal del paciente, el terapeuta puede contactar a esa persona. Sin embargo, un proveedor puede decidir no tratar a alguien como representante personal si cree que el paciente ha sido o podría ser objeto de violencia, abuso o negligencia por parte del representante personal, o si el paciente podría estar en peligro al tratar a esa persona como representante personal; y el proveedor determina, en el ejercicio de su juicio profesional, que no es en el mejor interés del paciente tratar a esa persona como representante personal. Véase 45 CFR 164.502(g)(5).

Véase también:

• Guía sobre Compartir Información Relacionada con la Salud Mental: https://www.hhs.gov/hipaa/for-professionals/special-topics/mental-health/index.html

• Guía sobre Representantes Personales: https://www.hhs.gov/hipaa/for-professionals/privacy/guidance/personal-representatives/index.html

¿HIPAA exige que un proveedor de salud mental informe al paciente que va a compartir información con otros antes de divulgar PHI para prevenir o reducir una amenaza seria e inminente?

No en el momento de la divulgación; sin embargo, el Aviso de Prácticas de Privacidad debe incluir un ejemplo de este tipo de divulgación para que los pacientes estén informados de antemano sobre esa posibilidad. Véase 45 CFR 164.520(b).

En situaciones que también involucren informes a la autoridad gubernamental correspondiente de que el paciente podría ser un adulto víctima de abuso, negligencia o violencia doméstica, el proveedor de salud mental debe informar al paciente de manera pronta que se ha realizado o se realizará un informe, a menos que:
• informar al paciente crearía un peligro para el mismo; o
• el proveedor estaría informando a un representante personal, y el proveedor cree razonablemente que el representante personal es responsable del abuso, negligencia u otra lesión, y que informar a dicha persona no sería lo mejor para el paciente, según lo determine el proveedor en el ejercicio de su juicio profesional. Véase 45 CFR 164.512(c).

Otros estándares, como protocolos clínicos, reglas de ética o leyes estatales, también pueden ser aplicables para la notificación al paciente sobre divulgaciones en situaciones que involucren amenazas de daño inminente.

TRATAMIENTO DEL TRASTORNO POR CONSUMO DE SUSTANCIAS

¿Cómo interactúa HIPAA con las normas federales de confidencialidad para la información sobre el tratamiento de trastornos por consumo de sustancias, incluido el tratamiento del abuso de opioides, en una situación de emergencia? ¿Qué normas se deben seguir?

Un proveedor de salud que ofrece tratamiento para trastornos por consumo de sustancias, incluido el abuso de opioides, debe determinar si está sujeto a la Parte 2 del Título 42 del CFR (es decir, si es un "programa de la Parte 2") y si es una entidad cubierta bajo HIPAA. Generalmente, las normas de la Parte 2 brindan protecciones de privacidad más estrictas que HIPAA, incluso en situaciones de emergencia. Si una entidad está sujeta tanto a la Parte 2 como a HIPAA, es responsable de cumplir con las normas más protectoras de la Parte 2, así como con HIPAA. HIPAA está diseñado para ser un conjunto de normas federales mínimas de privacidad, por lo que generalmente es posible cumplir con HIPAA y otras leyes, como la Parte 2 del Título 42 del CFR, que protegen más la privacidad de las personas.

Por ejemplo, HIPAA permite la divulgación de información de salud protegida (PHI, por sus siglas en inglés) para fines de tratamiento (incluyendo emergencias) sin la autorización del paciente, y permite que la PHI sea utilizada o divulgada para disminuir una amenaza seria e inminente a la salud o seguridad del paciente u otros (lo cual puede ocurrir como parte de una emergencia médica) sin autorización o permiso del paciente. Debido a que HIPAA permite, pero no requiere, revelaciones para tratamiento o para prevenir daños, si la Parte 2 restringe ciertas divulgaciones durante una emergencia, una entidad sujeta a ambos conjuntos de requisitos podría cumplir con las restricciones de la Parte 2 sin violar HIPAA.

Para más información sobre la aplicación de la Parte 2 del Título 42 del CFR en una emergencia, consulte https://www.samhsa.gov/aboutus/who-we-are/laws-regulations/confidentiality-regulations-faqs.