La Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) se promulgó en 1996 para proteger la privacidad de la información sanitaria de los pacientes. Su norma de privacidad restringe el acceso a los historiales médicos de los pacientes a las personas autorizadas y limita la forma en que puede compartirse la información sin el consentimiento del paciente. Aunque la intención de esta norma es razonable —evitar el uso indebido de datos médicos confidenciales— su aplicación puede tener un costo elevado. En la práctica, los estrictos requisitos de la HIPAA pueden perjudicar a los pacientes, crear un efecto paralizador en los investigadores médicos y los proveedores de atención sanitaria, y aumentar significativamente los costos médicos.
Un aspecto específico del cumplimiento de la HIPAA implica controlar quién accede a los historiales de los pacientes y por qué. Por ejemplo, la revisión por parte de un enfermero de la historia clínica completa de su paciente, incluidas las notas escritas por otros profesionales sanitarios, podría desencadenar una auditoría para garantizar el cumplimiento. Incluso cuando las acciones del enfermero son totalmente apropiadas, el proceso puede implicar entrevistas, revisiones detalladas e informes a los organismos reguladores. Este escrutinio puede disuadir a los profesionales sanitarios de acceder a la información que necesitan para prestar una atención integral, poniendo potencialmente en peligro la vida de los pacientes.
Este efecto paralizador es especialmente preocupante en los casos médicos complejos. Los historiales médicos de los pacientes son a menudo cruciales para comprender su estado actual. Por ejemplo, una enfermera que trata a un paciente diabético con una cardiopatía puede necesitar revisar las notas de un cardiólogo para evaluar plenamente los riesgos de un plan de tratamiento prescrito. Sin embargo, si los profesionales sanitarios temen que la revisión de los historiales pueda dar lugar a preguntas o a medidas disciplinarias, pueden limitarse a la información mínima necesaria, arriesgándose a descuidos que podrían dar lugar a errores médicos o retrasos en la atención.
El cumplimiento de la HIPAA también impone importantes cargas administrativas. Los hospitales y clínicas deben dedicar recursos a supervisar y documentar el acceso a los historiales de los pacientes, investigar posibles infracciones y presentar informes a los organismos gubernamentales cuando sea necesario. Por ejemplo, un responsable de cumplimiento puede pasar docenas de horas a la semana controlando y auditando los registros de acceso a los historiales. Este proceso consume tiempo, recursos y dinero, que podrían emplearse mejor en la atención al paciente. En última instancia, el costo del cumplimiento (estimado en 8.300 millones de dólares en 2019) se repercute en los pacientes, los proveedores de seguros, los investigadores y las agencias gubernamentales a través de facturas médicas más elevadas.
El costo de oportunidad es igualmente significativo. Los recursos destinados a hacer cumplir las normas de la HIPAA podrían salvar más vidas si se reorientaran a iniciativas de salud pública, investigación médica o aumento de personal. Por ejemplo, un responsable de cumplimiento que investigue el acceso rutinario a las historias clínicas podría centrarse en mejorar los sistemas que garantizan una mejor coordinación de la atención en todos los departamentos. Además, el efecto disuasorio desalienta la atención proactiva, ya que los proveedores temen ser sancionados por acciones razonables que caen en zonas grises de la normativa.
La raíz del problema radica en que la normativa no tiene en cuenta la realidad de la prestación de asistencia sanitaria. La protección de la intimidad debe equilibrarse con la necesidad de una atención oportuna y eficaz. Las normas generales que tratan todo acceso a los historiales médicos como potencialmente inapropiado crean obstáculos innecesarios para los proveedores y perjudican a las mismas personas que la HIPAA está diseñada para proteger.
Esta cuestión ilustra un problema más amplio: las normativas mal concebidas suelen tener consecuencias imprevistas, como incentivos y desincentivos perversos —por ejemplo disuadir al personal sanitario de conocer a fondo el historial médico de sus pacientes. Cuando los responsables políticos se centran estrictamente en un objetivo —en este caso, la protección de la intimidad— sin tener en cuenta las contrapartidas, las normas resultantes pueden ser más perjudiciales que beneficiosas. Además, la falta de mecanismos eficaces de retroalimentación permite que las deficiencias normativas persistan mucho tiempo después de haberse hecho evidentes. Con demasiada frecuencia, incluso las normativas bienintencionadas imponen costes que superan con creces sus beneficios.
