A menudo nos preguntan si la HIPAA se aplica al sector del cannabis. Como ocurre con todo lo relacionado con la atención sanitaria, la respuesta puede ser compleja. La HIPAA se promulgó en 1996 para ayudar a proteger la información sanitaria de los pacientes. Aunque la HIPAA es amplia, en la medida en que la legislación estatal sea más restrictiva o protectora, la ley estatal prevalecerá en esos casos. 45 CFR § 160.201 y siguientes. Pero la primera pregunta es si la HIPAA se aplica al sector del cannabis.
¿Están cubiertos los dispensarios de cannabis?
Para que la información esté protegida en virtud de la HIPAA, hay que analizar varios aspectos. Reducida a sus aspectos básicos, la HIPAA se aplicará cuando una "Entidad Cubierta" tenga "Información Sanitaria Protegida". Al igual que con cualquier otro régimen legal, el primer lugar para comenzar con el análisis son las definiciones. Una "entidad cubierta" incluye un plan de salud (por ejemplo, un tercero pagador), una cámara de compensación de asistencia sanitaria (por ejemplo, un sistema de terceros que interpreta datos de reclamaciones entre sistemas de proveedores de asistencia sanitaria y terceros pagadores) y un proveedor de asistencia sanitaria. 45 CFR § 160.103. Entonces, ¿es un dispensario un "proveedor de atención sanitaria"? Para los dispensarios de uso recreativo o para adultos, la respuesta es no. Sin embargo, para los dispensarios de marihuana medicinal, es esencial profundizar en la normativa HIPAA.
La definición de proveedor de asistencia sanitaria incluye: (1) un proveedor de servicios, tal como se define en la Ley de la Seguridad Social, (2) un proveedor de servicios médicos o de asistencia sanitaria, de nuevo, tal como se define en la Ley de la Seguridad Social, y (3) cualquier otra persona u organización que proporcione, facture o reciba un pago por la asistencia sanitaria en el curso normal de su actividad. Id. Con arreglo a esta definición, claramente un hospital, un médico, una clínica de atención sanitaria y muchos otros tipos de proveedores de atención sanitaria son entidades cubiertas.
Pero un dispensario no es una de las entidades enumeradas específicamente en la ley. ¿Significa esto que un dispensario de marihuana medicinal no es un proveedor de atención sanitaria? No. Para ayudar a aclarar la definición de un proveedor de atención médica, también es importante entender la definición de "atención médica". Tal y como establecen las normas de la HIPAA, "atención sanitaria significa cuidados, servicios o suministros relacionados con la salud de una persona." Id. A continuación, la normativa ofrece ejemplos concretos (que no pretenden ser exhaustivos) de asistencia sanitaria. En general, la atención sanitaria incluye:
(1) Atención preventiva, diagnóstica, terapéutica, rehabilitadora, de mantenimiento o paliativa, y asesoramiento, servicio, evaluación o procedimiento con respecto a la condición física o mental, o estado funcional, de un individuo o que afecte a la estructura o función del cuerpo; y
(2) Venta o dispensación de un medicamento, dispositivo, equipo u otro artículo con receta médica. Id.
Bajo cualquiera de las secciones anteriores, se puede argumentar que los dispensarios de marihuana medicinal son proveedores de atención médica. Dependiendo del estado en el que se viva, la marihuana medicinal puede "recetarse" para cuidados "terapéuticos" o "paliativos". Véase, por ejemplo, A.R.S. 36-2801(11) (En Arizona, "'Uso médico' significa la adquisición, posesión, cultivo, fabricación, uso, administración, entrega, transferencia o transporte de marihuana o parafernalia relacionada con la administración de marihuana para tratar o aliviar la condición médica debilitante de un paciente calificado registrado o los síntomas asociados con la condición médica debilitante del paciente"). Además, cuando se requiere una "receta" para obtener marihuana terapéutica, entonces sí que se aplicaría la segunda parte de la definición anterior (por ejemplo, la "venta o dispensación de un" "artículo de conformidad con una prescripción").
Se puede argumentar de forma convincente que un dispensario de marihuana medicinal es una entidad cubierta por la HIPAA. La determinación definitiva se hace caso por caso y las leyes estatales desempeñan un papel integral en la evaluación de estas cuestiones.
Información sanitaria protegida
La segunda parte del análisis consiste en determinar si un dispensario de marihuana medicinal posee "información sanitaria protegida". Al igual que en el análisis anterior, las definiciones son el punto de partida.
La HIPAA define la "información sanitaria protegida" como la información sanitaria identificable individualmente: (1) transmitida por medios electrónicos; (2) conservada en medios electrónicos; o (3) transmitida o conservada en cualquier otra forma o medio. Id. Así pues, antes de analizar la aplicabilidad de la información sanitaria protegida en el contexto del cannabis, es esencial la definición de "información sanitaria identificable individualmente". La información sanitaria identificable individualmente incluye
Información demográfica recopilada de un individuo, y: (1) es creada o recibida por un proveedor de asistencia sanitaria, un plan de salud, un empleador o un centro de intercambio de información sobre asistencia sanitaria; y (2) está relacionada con la salud o el estado físico o mental pasado, presente o futuro de una persona; la prestación de asistencia sanitaria a una persona; o el pago pasado, presente o futuro por la prestación de asistencia sanitaria a una persona; y (i) que identifica a la persona; o (ii) con respecto a la cual existe una base razonable para creer que la información puede utilizarse para identificar a la persona. Id.
Ciertamente, un dispensario de marihuana medicinal podría muy bien mantener información sanitaria protegida. Por ejemplo, si el dispensario mantiene información que incluye el nombre del paciente, el número de la seguridad social y/o cualquier otra información identificativa, así como el diagnóstico del paciente y la información de compra, entonces no es difícil ver cómo se aplicaría la HIPAA.
¿Qué debe hacer un dispensario si es una entidad cubierta?
Aunque lo anterior es principalmente un ejercicio académico, instituir protecciones conformes a la HIPAA es mucho más práctico. La Oficina de Derechos Civiles ("OCR"), que depende del Departamento de Salud y Servicios Humanos de EE.UU., es la autoridad reguladora en virtud de la HIPAA. La OCR está facultada para imponer sanciones pecuniarias por infracciones de la HIPAA, que pueden ser bastante importantes. Además, una infracción de la HIPAA puede dar lugar a demandas por parte de los pacientes afectados con arreglo a diversas teorías jurídicas, incluida la invasión de la intimidad y otras reclamaciones extracontractuales.
Para evitar las infracciones de la HIPAA, algunas de las medidas básicas son la aplicación de políticas y procedimientos exhaustivos y la formación periódica del personal del dispensario. Además, el propietario de un dispensario haría bien en contratar un seguro de responsabilidad cibernética en caso de infracción de la HIPAA. En futuras entradas, detallaremos más requisitos de la HIPAA.
La HIPAA es una ley compleja. Como se ha señalado anteriormente, también existe una interacción con la legislación estatal que hace que el análisis sea aún más complejo. El propietario de un dispensario de marihuana medicinal haría bien en buscar asesoramiento sobre si se aplica la HIPAA y, en caso afirmativo, sobre cómo cumplirla (y posiblemente también las leyes de privacidad estatales).
¿Necesita ayuda con la Ley del Cannabis de Arizona?
