Atención médica, HIPAA/HITECH, Industria específica El estado dice que el HHS cometió un error al proteger la información de salud reproductiva de las fuerzas del orden Marianne Kolbasuk McGee (HealthInfoSec) • 6 de septiembre de 2024 El estado de Texas está demandando al Departamento de Salud y Servicios Humanos de EE. UU., buscando anular la Regla de privacidad de HIPAA (Imagen: Getty Images) El fiscal general de Texas, Ken Paxton, está demandando a la administración de Biden alegando que las regulaciones «ilegales» de la regla de privacidad de HIPAA están obstaculizando las investigaciones policiales del estado sobre el aborto y otros casos de atención de la salud reproductiva. Ver también: Seminario web en vivo | Construyendo una empresa y un ecosistema de atención médica más resilientes Paxton dice que el Departamento de Salud y Servicios Humanos de EE. UU. se extralimitó en su autoridad y le pide a un juez federal que no solo anule la actualización de 2024 de la Regla de privacidad de HIPAA, promulgada para restringir las divulgaciones de información médica protegida relacionada con la atención de la salud reproductiva, sino también la Regla de privacidad de HIPAA de 24 años. El fiscal general afirma que el HHS no tenía la autoridad para promulgar la Regla de Privacidad HIPAA debido a otra ley federal: la Ley de Procedimiento Administrativo, una ley federal de 1946 que regula cómo las agencias federales crean y emiten reglas. La denuncia alega que «el HHS no ha señalado y no puede señalar ninguna autoridad que le permita promulgar la Regla de Privacidad de 2000 o la Regla de Privacidad de 2024, las reglas violan la APA». «El estatuto HIPAA original tal como lo redactó el Congreso de los EE. UU. preserva explícitamente la autoridad de investigación de las fuerzas del orden estatales, y la ley de ninguna manera le da al HHS la autoridad para permitir que las instituciones reguladas por HIPAA se nieguen a cooperar con las investigaciones estatales», dijo la oficina de Paxton en su declaración. Tanto el secretario del HHS, Xavier Becerra, como la directora de la Oficina de Derechos Civiles del HHS, Melanie Fontes Rainer, están nombrados como acusados ​​​​en la demanda de Texas. El HHS, en una declaración a Information Security Media Group, se negó a hacer comentarios sobre la demanda porque es un asunto de litigio pendiente, pero defendió la regla HIPAA. «Esta regla se sostiene por sí sola. La Administración Biden-Harris sigue comprometida con la protección de la privacidad de la salud reproductiva y con garantizar que los registros médicos de ninguna mujer se utilicen en su contra, su médico o su ser querido simplemente porque recibió la atención reproductiva legal que necesitaba”, decía la declaración del HHS. La regla final de privacidad HIPAA de 291 páginas del HHS para respaldar la privacidad de la atención de la salud reproductiva, que se publicó en abril y entró en vigor en junio, prohíbe el uso o la divulgación de PHI cuando se busque investigar o imponer responsabilidad a personas, proveedores de atención médica u otras personas que busquen, obtengan, brinden o faciliten atención médica reproductiva que sea legal en las circunstancias en las que se brinda dicha atención médica (consulte: HHS refuerza las protecciones de privacidad para la información de salud reproductiva). La regla de privacidad HIPAA actualizada de 2024 también requiere que un proveedor de atención médica regulado, un plan de salud, un centro de intercambio de información o sus socios comerciales obtengan una certificación firmada de que ciertas solicitudes de PHI potencialmente relacionadas con la atención médica reproductiva no son para fines prohibidos por la regla. La OCR del HHS emitió la actualización de la regla de privacidad HIPAA de 2024 después de que la Corte Suprema de los EE. UU. en la decisión Dobbs de 2022 revocó Roe v. Wade, un precedente legal que garantizó el derecho nacional al aborto durante más de 50 años. La demanda de Texas alega que el alcance de la atención médica reproductiva que cae bajo la regla del HHS no solo incluye el aborto, sino también «la terapia hormonal y farmacológica para la disforia de género, los procedimientos quirúrgicos relacionados con la disforia de género y la experimentación de género». La regla del HHS no menciona específicamente ningún tipo de servicio de atención médica reproductiva además del aborto. «En resumen, la Regla de Privacidad de 2024 restringe a los funcionarios estatales y a las fuerzas del orden obtener evidencia de un delito u otra posible violación de la ley estatal», alega la demanda de Texas. La oficina del fiscal general de Texas no respondió de inmediato a la solicitud de comentarios de ISMG sobre su demanda. ¿Un peligro para la privacidad del paciente? Los expertos en privacidad dijeron que la medida de Texas de pedirle al tribunal federal que anule las reglas de privacidad de HIPAA no solo es impactante, sino que podría ser potencialmente devastadora para los derechos de privacidad del paciente. “Este es uno de los ataques más amplios a la Regla de Privacidad HIPAA que hemos visto desde que el HHS promulgó por primera vez la regla en 2000”, dijo el abogado de privacidad Adam Greene del bufete de abogados Davis Wright Tremaine. “Si la demanda tiene éxito, podría alterar fundamentalmente la protección de la información de salud en los EE. UU. y potencialmente invalidar las limitaciones de la Regla de Privacidad sobre las divulgaciones a las fuerzas del orden o la Regla de Privacidad en general”, dijo. El abogado de privacidad Kirk Nahra del bufete de abogados WilmerHale ofrece una evaluación similar. “Es un desafío bastante sorprendente, al menos en lo que se refiere a rechazar la Regla de Privacidad escrita en 2000, que ha estado en vigencia desde 2003 y emitida en forma final por la Administración Bush”, dijo Nahra. “Me gustaría saber qué pensarían los consumidores de Texas si sus derechos de privacidad de salud se eliminaran como resultado de esta demanda”. Si los tribunales fallan a favor de Texas, entonces, como mínimo, esto aparentemente limitaría la capacidad del HHS para regular las divulgaciones a las fuerzas del orden en ausencia de autoridad legal adicional, dijo Greene. “Si bien la demanda se centra en las divulgaciones a las autoridades, Texas pide al tribunal que anule y deje sin efecto la Regla de Privacidad en su totalidad”, dijo. “En consecuencia, si Texas ganara, habría dos grandes preguntas: si el tribunal anula partes de la Regla de Privacidad más allá de las relacionadas con las autoridades y en qué medida se aplicaría la decisión a nivel nacional”, dijo Greene. Pero ganar la demanda no es una decisión fácil para el estado. “El argumento no aborda la concesión de autoridad legal que es la base de la Regla de Privacidad”, dijo. La Sección 264(c)(1) de HIPAA establece “que, si el Congreso no logra promulgar estándares de privacidad en tres años –cosa que el Congreso no hizo– entonces el HHS debe promulgar regulaciones de privacidad que aborden los usos y divulgaciones de información de salud individualmente identificable que deberían ser autorizados o requeridos”, dijo Greene. La demanda presentada por el fiscal general de Texas no tiene en cuenta la idea de que las normas HIPAA fueron el producto del mandato del Congreso de “promulgar” normas para la privacidad de la información sanitaria de los pacientes, dijo el abogado de privacidad David Holtzman, de la firma consultora HITprivacy LLC. “Una visión cínica sería que un fiscal general estatal cobarde y con motivaciones políticas haya elaborado una demanda que se presentó deliberadamente en un tribunal federal de distrito favorable a aquellos que desdeñan el ejercicio de la acción de la agencia federal”, dijo. La demanda de Texas también parece seguir una tendencia creciente en los litigios por parte de los estados que cuestionan la autoridad federal, dijo el abogado regulador Paul Hales, del Hales Law Group. “Los estados republicanos aprobaron leyes contra el aborto después de la decisión Dobbs. Al mismo tiempo, presentaron demandas que atacaban la autoridad del HHS para establecer normas sobre los derechos reproductivos y otros temas”, dijo Hales. Además de eso, una decisión de la Corte Suprema en junio que abolió la doctrina judicial de larga data «Chevron» de deferir a las agencias gubernamentales la interpretación de los estatutos, ha alentado «ataques a regulaciones administrativas impopulares», dijo Hales (ver: Expertos advierten sobre caos regulatorio cibernético después de la anulación de Chevron). «La nueva demanda de Texas es de lejos el ataque más audaz a una agencia federal. El intento de invalidar toda la Regla de Privacidad HIPAA habría sido impensable antes de Chevron y antes de las decisiones recientes del Tribunal de Apelaciones del Quinto Circuito, que cubre los tribunales federales de Texas», dijo Hales. La demanda de Texas contra HHS «es ostensiblemente sobre la Ley de Procedimiento Administrativo, pero realmente se trata del clima emocional y político actual en nuestro país. Espero que vengan más», dijo. Círculo completo Las disposiciones de Simplificación Administrativa incorporadas a la Ley Ómnibus HIPAA hace más de una década buscaron facilitar el uso de sistemas de información electrónicos en la industria de la salud, dijo Holtzman. “Pero el Congreso temía que el gobierno federal pudiera hacer un mal uso de los datos que recogía para desarrollar un expediente electrónico que contuviera los registros médicos de todos los estadounidenses, a menos que existieran protecciones para el uso y la divulgación de la información médica de los pacientes”, dijo. “La demanda de Texas que busca socavar estas mismas protecciones de privacidad de los pacientes ahora nos lleva de nuevo al punto de partida para enfrentar la extralimitación gubernamental que el Congreso intentó evitar”, dijo. La demanda de Paxton es uno de los dos principales desafíos a las normas HIPAA del HHS que se están llevando a cabo en Texas. La Asociación Estadounidense de Hospitales y otros grupos demandaron al HHS por su norma de que las herramientas de rastreo web potencialmente violaban la Norma de Privacidad de HIPAA. El HHS retiró su apelación de un fallo de un tribunal federal de Texas que encontró que la OCR del HHS excedió su autoridad en ciertas disposiciones de la guía HIPAA relacionadas con el uso de rastreadores web (ver: HHS OCR Drops Appeal of Court’s Web Tracker Ruling). URL de la publicación original: https://www.databreachtoday.com/texas-ag-hopes-to-upend-hipaa-rules-to-investigate-abortions-a-26229