El autor desea agradecer a las siguientes personas por su revisión

editorial y de contenido de esta y versiones anteriores: Jaime

Arango, Evelyne Bital, Helenemarie Blake, Joey Casanova, Anita
Cava, Amanda Coltes-Rojas, Ken Goodman, Karen Hansen,
Margaret Rankovic, Daniel Smith y Sally Mann.

Introducción

Este módulo analiza los requisitos de protección de datos para la

investigación con sujetos humanos que crea, obtiene, usa o divulga
datos de salud, principalmente las protecciones que se derivan de la
Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) .

Aunque la HIPAA es la fuente más importante, otras leyes federales

y estatales, así como asociaciones profesionales y de acreditación,
también establecen requisitos asociados con la protección de la
información de salud individual. Las personas con acceso a
cualquier información de salud que permita la identificación
individual para cualquier propósito deben comprender estas
limitaciones. Si utiliza dicha información de salud para la
investigación con sujetos humanos, debe conocer las limitaciones
específicas que se aplican a esa actividad, derivadas de la HIPAA y
otras regulaciones como 45 CFR 46, Subparte A (también conocida
como la Regla común) .

Las protecciones centradas en los datos de la HIPAA, que entraron

en vigor a partir de 2003, funcionan junto con las protecciones de la
Norma común y de la Administración de alimentos y medicamentos
de los Estados Unidos (FDA); no son un reemplazo. Las revisiones
de la Junta de revisión institucional (IRB) que utilizan los criterios de
la Norma común y de la FDA siguen siendo las mismas, incluidos los
 aspectos relacionados con la protección de datos. Las IRB pueden
compartir responsabilidades para abordar algunos de los requisitos
adicionales de la HIPAA en sus revisiones cuando corresponda; o
algunas responsabilidades pueden asignarse a otro tipo de
organismo que la HIPAA permita (una Junta de privacidad ) o a un
funcionario institucional que la HIPAA requiera (un oficial de
privacidad ). Estas normas y regulaciones federales proporcionan
un estándar mínimo de práctica, complementado por los requisitos
adicionales de los estados y los organismos de acreditación .

Objetivos de aprendizaje

Al finalizar este módulo, usted debería poder:

● Resumir las protecciones de privacidad adicionales de HIPAA

para datos de salud individualmente identificables que se
utilizan para investigaciones con sujetos humanos, incluidas
las autorizaciones y contabilidad de divulgaciones.
● Describa las situaciones en las que se requieren protecciones
completas de privacidad de HIPAA y aquellas que pueden
calificar para exenciones, alteraciones o exenciones con
requisitos más limitados.
● Explicar las responsabilidades de los investigadores y las
organizaciones para cumplir con los requisitos de privacidad
de HIPAA y para las protecciones de seguridad de datos
adecuadas que son necesarias para proteger la privacidad.

Alcance regulatorio de HIPAA

Las protecciones de la HIPAA se centran en la “información de salud
individualmente identificable”, que la HIPAA define como información
en “cualquier forma o medio” que “se relacione con la salud o
condición física o mental pasada, presente o futura de un individuo;
la prestación de atención médica a un individuo; o el pago pasado,
presente o futuro por la prestación de atención médica a un
individuo” (Security and Privacy 2013).

Las protecciones de la HIPAA alcanzan solo a un subconjunto de

información de salud identificable individualmente, formalmente
llamada información de salud protegida o simplemente "PHI",
creada en o por lo que la HIPAA llama entidades cubiertas. Las
entidades cubiertas incluyen proveedores de atención médica
 individuales, organizaciones de proveedores de atención médica,
planes de salud y centros de intercambio de información de salud
que participan en transacciones electrónicas de atención médica
(consulte los Gráficos de decisiones de entidades cubiertas de
Salud y Servicios Humanos ). Las protecciones de la HIPAA para la
PHI también se extienden a los datos de ciudadanos no
estadounidenses.

Algunos datos de salud identificables utilizados para la investigación

se originan fuera de las entidades cubiertas y, por lo tanto, es
posible que no estén cubiertos por la HIPAA. Sin embargo, debe
consultar con las autoridades de privacidad de su organización
antes de asumir que su situación queda fuera del alcance de la
HIPAA.

Lea más sobre PHI…

¿Qué tipos de usuarios y usos están

cubiertos?

Las normas de la HIPAA establecen requisitos para el uso y la

divulgación de información médica protegida por parte de las
entidades cubiertas y, por extensión, para todos los miembros de la
fuerza laboral de una entidad cubierta que tengan contacto con
dicha información. Los requisitos de protección de datos de la
HIPAA también se aplican “de la misma manera” a los socios
comerciales (y, por extensión, a la fuerza laboral de dichos socios
comerciales) que realizan funciones utilizando información médica
protegida en nombre de una entidad cubierta.
 Los investigadores pueden ser parte del personal de una entidad
cubierta, o pueden ser entidades cubiertas ellos mismos si también
son proveedores de atención médica. De ser así, se ven
directamente afectados por las normas de investigación de la
HIPAA. Los investigadores que no cumplen ninguna de estas
condiciones siguen estando indirectamente afectados por las
normas de la HIPAA si una entidad cubierta es la fuente de sus
datos y esos datos cumplen con la definición de PHI.

Las normas de la HIPAA sobre el uso y la divulgación suelen estar "

basadas en el propósito ", es decir, el uso previsto establece las
normas más que el tipo de datos en sí. Las normas de investigación
que se analizan aquí son diferentes a las que se aplican, por
ejemplo, al tratamiento o a los pagos relacionados con el tratamiento
(relativamente liberales), o a las normas de marketing o de
recaudación de fondos (relativamente estrictas). Algunos tipos de
datos, como las notas de psicoterapia, reciben protección especial
en virtud de la HIPAA. Las leyes estatales también suelen tener
muchas categorías de datos con protecciones especiales, con las
que debería estar familiarizado (o estar en contacto con un
funcionario de la organización que tenga ese conocimiento).

¿Qué constituye una "investigación"?

Al igual que la Regla Común, la HIPAA define la investigación como

una “investigación sistemática, que incluye el desarrollo, la prueba y
la evaluación de la investigación, diseñada para desarrollar y
contribuir al conocimiento generalizable” (Protection of Human
Subjects 2017; Security and Privacy 2013). Tenga en cuenta que
algunos tipos de actividades de investigación que utilizan datos de
pacientes están excluidos de esta definición. Por ejemplo:
Las regulaciones son complejas. Por lo tanto, al igual que con el
estado de entidad cubierta, generalmente se requiere una
determinación por parte del IRB de una organización, los
funcionarios de privacidad designados o el asesor legal para
asegurar que una actividad “no sea investigación” y, por lo tanto,
esté sujeta a diferentes reglas de HIPAA .
¿Quién hace cumplir las protecciones de
investigación de HIPAA?

Una entidad cubierta puede optar por confiar en un IRB para evaluar
el cumplimiento de los requisitos de la FDA y las Reglas Comunes y
los requisitos de investigación de la HIPAA. Alternativamente, la
HIPAA establece que las entidades cubiertas pueden crear una
Junta de Privacidad para manejar algunas cuestiones relacionadas
con la investigación, en particular las determinaciones sobre la
elegibilidad para exenciones, modificaciones y exenciones de los
procesos de autorización. Una entidad cubierta también puede dejar
algunas decisiones sobre el cumplimiento de las disposiciones de
investigación de la HIPAA a su oficial de privacidad designado. Es
fundamental que comprenda la asignación de responsabilidades en
su organización.

Los sujetos de investigación, al igual que los pacientes en general,

tienen recurso tanto a las autoridades de su organización como a las
agencias federales y estatales en caso de que deseen presentar
quejas o tengan preguntas sobre los esfuerzos de protección de una
organización .

Al igual que cualquier otra actividad planificada relacionada con la

información médica protegida, la investigación debe mencionarse en
un aviso de privacidad que la HIPAA exige que las entidades
cubiertas proporcionen a sus pacientes/clientes. El aviso de
privacidad debe incluir las formas en que los titulares de los datos
pueden registrar quejas y denunciar problemas, ya sea a nivel local
o ante las autoridades federales. Todo investigador debe estar
familiarizado con el aviso de privacidad de su organización, en
particular las personas o departamentos que identifica como
autoridades de cumplimiento de la organización.
Normas relacionadas con la
investigación de la HIPAA

Si los datos en cuestión cumplen con la definición de PHI y se

utilizan para fines que caen dentro de la definición de investigación
de HIPAA, HIPAA generalmente requiere una autorización escrita
explícita (consentimiento) del titular de los datos para usos de
investigación.

Sin embargo, la HIPAA permite el acceso relacionado con la

investigación a los datos de salud identificables de las personas sin
autorización en determinadas circunstancias:
Los datos que no identifican a personas pueden utilizarse para
investigaciones sin autorización específica si:

1. Se utilizan únicamente datos totalmente anónimos.

2. Se utiliza un “conjunto de datos limitado”, en virtud de un
“acuerdo de uso de datos” aprobado.

Cada una de estas condiciones se describe en las secciones

siguientes.
Exenciones o modificaciones del requisito de
autorización debido a un riesgo mínimo

La Junta de Revisión Institucional (IRB) o el Consejo de Privacidad

de una organización (y en algunas organizaciones, un funcionario de
privacidad designado) pueden determinar que es adecuada una
exención o modificación del requisito de autorización. Las
condiciones se basan en los criterios para una exención del
consentimiento informado de la Norma Común.

El uso o la divulgación de la PHI no debe implicar más que un riesgo

mínimo para la privacidad de los sujetos de la investigación e incluir
los siguientes elementos:

● Un plan adecuado para proteger cualquier identificador de

datos contra usos y divulgaciones indebidas.
● Un plan adecuado para destruir los identificadores de datos lo
antes posible, de acuerdo con la realización de la
investigación (a menos que exista una justificación de salud o
de investigación para conservar los identificadores, o que
dicha retención sea requerida por ley).
● Garantías escritas adecuadas de que la PHI no será
reutilizada ni divulgada a ninguna otra persona o entidad,
excepto según lo requiera la ley para la supervisión autorizada
del proyecto de investigación o para otra investigación para la
cual el uso o la divulgación de PHI estaría permitido por
HIPAA.
● La investigación no podría llevarse a cabo sin el acceso a la
PHI y su uso.
● La investigación no podría llevarse a cabo prácticamente sin
la exención o modificación de la autorización.
 Se proporciona más información sobre lo que se considera un
identificador de datos en las secciones siguientes sobre datos
anónimos y conjuntos de datos limitados.

Actividades preparatorias para la

investigación; Excepciones a la información
sobre fallecidos

La HIPAA prevé dos excepciones más al requisito de autorización

para datos identificables:

En cada caso, el investigador debe hacer una declaración escrita u

oral a los funcionarios designados de la entidad cubierta de que
dicho acceso es necesario para los fines de la investigación (alguien
del IRB, el Consejo de Privacidad o un funcionario de
privacidad/designado), quien luego determinará la idoneidad de la
solicitud .
Investigación anterior a la entrada en vigor de
la HIPAA

Si todos los consentimientos informados y otros permisos legales

requeridos en ese momento estaban vigentes antes de que la
HIPAA entrara en vigor (abril de 2003 en la mayoría de los casos) y
no han cambiado desde entonces, no se requiere una nueva
autorización de la HIPAA ni siquiera para los datos identificados.
Obviamente, esta ya no es una vía comúnmente utilizada para eludir
las autorizaciones.

Datos anónimos

Un investigador puede utilizar datos de salud totalmente

desidentificados sin autorización de los interesados ​individuales.

Como su nombre lo indica, la información desidentificada

debe tener todos los identificadores directos e indirectos
eliminados, para eliminar (o al menos hacer altamente
improbable) la reidentificación mediante técnicas
estadísticas.

La información desidentificada ya no se considera PHI porque, por

definición, ya no es identificable individualmente.

En 2012, el HHS publicó su Guía sobre métodos para la

desidentificación de información de salud protegida. Esta guía
proporciona una descripción detallada de métodos alternativos y
 debe considerarse una lectura obligatoria para cualquier persona
que esté considerando una estrategia de desidentificación .

Según las normas HIPAA, la desidentificación exitosa puede

basarse en una "determinación de expertos" realizada por una
"persona con conocimientos adecuados" de técnicas estadísticas
que haya analizado el conjunto de datos y pueda dar fe de que el
riesgo de reidentificación es "muy pequeño" (la normativa no define
"muy pequeño"). Alternativamente, las entidades cubiertas pueden
utilizar el método de "puerto seguro" para eliminar 18 tipos de
elementos de identificación especificados en las normas HIPAA. En
cualquier caso, la entidad cubierta no debe tener conocimiento real
de que la reidentificación sea posible o probable, por ejemplo,
mediante la vinculación con otros conjuntos de datos conocidos .

Conjuntos de datos limitados y acuerdos de

uso de datos

La desidentificación sacrifica la protección de la privacidad por la

productividad de la investigación. A veces, el sacrificio es
demasiado grande y un conjunto de datos totalmente desidentificado
no satisface una necesidad de investigación. Como alternativa, una
entidad cubierta puede divulgar PHI en un conjunto de datos
limitado (LDS) a un investigador que haya firmado un acuerdo de
uso de datos adecuado .

Un LDS debe tener todos los identificadores directos

eliminados; sin embargo, aún puede incluir información que
podría identificar “indirectamente” al sujeto utilizando
métodos estadísticos.
 Es decir, el riesgo de divulgación es mayor que “muy pequeño”.

El acuerdo de uso de datos para un LDS debe:

● Delimitar los usos y divulgaciones permitidos de dicha

información por parte del destinatario, en consonancia con los
propósitos de la investigación;
● Limitar las personas que pueden utilizar o recibir los datos; y
● Exigir que el destinatario acepte no volver a identificar los
datos ni contactar a las personas.

Usos y divulgaciones mínimas necesarias

Los usos y divulgaciones de datos para investigaciones que se

permiten sin necesidad de autorización siguen estando sujetos al
estándar mínimo necesario , es decir, los usos o divulgaciones no
deben ser mayores que los mínimos requeridos para el propósito de
investigación descrito. Una entidad cubierta puede confiar en la
documentación de un investigador (o en la evaluación de un IRB o
de una Junta de Privacidad) de que la información solicitada es la
mínima necesaria para el propósito de investigación.

Por el contrario, la información de investigación obtenida mediante

una autorización no está sujeta a la norma mínima necesaria, en la
teoría de que el titular de los datos ha dado su consentimiento
explícito de conformidad con la autorización firmada. Sin embargo,
tenga en cuenta que, si bien la HIPAA puede no exigir una
justificación mínima necesaria en todo momento, la evaluación de
los riesgos y las cargas de los sujetos de investigación humanos por
parte de un IRB posiblemente sí lo haga.
Contabilidad de divulgación

Las personas cuya información médica está cubierta por la HIPAA

tienen derecho a un “informe de las divulgaciones” de su PHI. En
este contexto, una “divulgación” ocurre cuando la PHI se comunica a
una persona o entidad externa, incluida otra entidad cubierta. El
acceso dentro de la entidad cubierta (por ejemplo, por parte de
miembros de un equipo de investigación que forman parte de la
fuerza laboral de la misma organización) se considera un “uso”, no
una divulgación. No existe ningún requisito de contabilidad para
estos usos internos para la investigación .

Además de limitarse a las divulgaciones externas, la contabilidad de

divulgación no es necesaria para lo siguiente.
 Cuando se requiera una contabilidad, debe incluir las divulgaciones
durante los seis años anteriores a la solicitud del titular de los datos
e incluir ciertos tipos de información dependiendo del tamaño del
protocolo .

Si bien la HIPAA puede no exigirlo, muchas organizaciones exigirán

que los investigadores mantengan registros de todas las
divulgaciones de las recopilaciones de datos de investigación como
medida de seguridad, incluidas las transferencias a otras personas
dentro de la entidad cubierta. El almacenamiento electrónico de
datos ofrecerá cada vez más esta capacidad de forma económica y
automática; las recopilaciones más antiguas requerirán un registro
manual.

Características de las Autorizaciones

Si una actividad de investigación no cumple ninguno de los criterios

de elusión anteriores, se requiere una autorización (consentimiento).
Cuándo se requieren:
Las autorizaciones deben incluir una descripción específica de la
PHI que se utilizará o divulgará, el nombre u otra identificación de
las personas involucradas en la investigación y una descripción de
cada propósito del uso o divulgación solicitados.

Normalmente, se exige que las autorizaciones HIPAA tengan una

fecha de vencimiento explícita. En el contexto de la investigación, es
suficiente especificar un “evento” de vencimiento, como “el final del
estudio”. Una autorización de investigación también puede no tener
fecha de vencimiento, como sería el caso de una base de datos o
repositorio de investigación, u otro uso futuro, aunque esta ausencia
debe indicarse claramente.
 Las autorizaciones HIPAA normalmente no se pueden combinar con
otros tipos de documentos (como un aviso de privacidad). Sin
embargo, las autorizaciones de investigación HIPAA se pueden
combinar con cualquier otro permiso legal relacionado con el
estudio, incluido un consentimiento informado que cumpla con las
normas de la FDA o Common Rule u otro tipo de autorización .

Al igual que con cualquier documento de consentimiento informado,

se recomienda encarecidamente a los investigadores que utilicen
modelos estándar en lugar de crear sus propios formularios de
autorización, para evitar cometer errores críticos en el formato o el
contenido. La mayoría de las organizaciones ya tienen disponibles
documentos estándar; consulte con su IRB, su junta de privacidad o
su responsable de privacidad.

Si existen múltiples documentos que limitan el uso o la divulgación

de información, se aplica el más restrictivo. Ya sea en un solo
instrumento o en varios, el requisito fundamental es proporcionar
suficiente información para que el titular de los datos pueda tomar
una decisión informada .

Revocaciones de autorizaciones

Al igual que otros tipos de autorizaciones HIPAA, las autorizaciones

para investigación pueden ser revocadas por el sujeto en cualquier
momento, siempre que la revocación se haga por escrito. La
revocación de una autorización no es válida en la medida en que la
entidad cubierta haya tomado medidas basándose en ella, como en
la provisión de un tratamiento previo. Dichas revocaciones pueden
limitarse “según sea necesario para mantener la integridad del
estudio de investigación ”.
Reclutamiento para la investigación

Según la HIPAA, todavía se permite hablar sobre el reclutamiento

para una investigación con pacientes para quienes dicha
participación podría ser apropiada. Se considera que esta práctica
común se enmarca en la definición de tratamiento, al menos cuando
la conversación la lleva a cabo uno de los proveedores de atención
médica del paciente.

Recuerde, sin embargo, que la información de un sujeto de datos

generalmente no puede ser divulgada a un tercero, incluso a otro
proveedor de atención médica, para un uso de investigación sin una
autorización del individuo o una exención, alteración o excepción
aprobada a la autorización.

Las directrices del HHS sobre la HIPAA han afirmado que los
esfuerzos de reclutamiento pueden calificar como una actividad
“preparatoria para la investigación” que permitiría a un investigador
identificar a los posibles participantes de la investigación e incluso
comunicarse con ellos para solicitar su autorización (HHS 2004). Sin
embargo, tales esfuerzos deben ser aprobados y la PHI utilizada
para este propósito no puede salir de la entidad cubierta durante
esta actividad .
Investigación “retrospectiva”

A medida que las colecciones de datos sanitarios electrónicos

crecen en escala y alcance, es una práctica cada vez más común
“explorarlas” en busca de patrones interesantes que puedan
traducirse en posibilidades de investigación. De hecho, los
biorepositorios de tejidos y datos creados exclusivamente para este
fin son cada vez más comunes, y el alcance y la escala de dichos
repositorios crecen a diario. (El análisis retrospectivo de historias
clínicas en papel tampoco ha desaparecido).

El uso o la divulgación de información médica protegida para

estudios de investigación retrospectivos solo se puede realizar con
la autorización del paciente, o con una exención, modificación o
determinación de excepción de un IRB o una Junta de Privacidad.
No debería ser difícil cumplir con uno de los criterios de este último
para tales esfuerzos exploratorios. Alternativamente, la recopilación
de datos en sí puede haber sido creada con una autorización
explícita de los sujetos para futuras investigaciones. Sin embargo,
recuerde que, por lo general, no puede proceder por su cuenta sin la
aprobación de un IRB, una Junta de Privacidad u otra entidad
rectora designada.

Regla de seguridad
Los esfuerzos por cumplir con los requisitos de privacidad de las
normas comunes, la FDA y la HIPAA son solo una parte de la tarea
del investigador. La HIPAA también tiene una norma de seguridad
que complementa su norma de privacidad. La norma de seguridad
exige que las recopilaciones de PHI reciban las protecciones de
seguridad de la información adecuadas mientras existan. Si no sabe
cómo hacerlo, busque un recurso en su organización que lo haga.
Además de un oficial de privacidad, la HIPAA exige la designación
de un oficial de seguridad , que debería poder ayudar a garantizar
la protección adecuada de los datos .

Es importante tener en cuenta que los requisitos de la HIPAA

incluyen la notificación de violaciones de seguridad y exposiciones
 de datos . Además de notificar a las personas afectadas, se debe
notificar al HHS sobre las exposiciones de PHI; además de
desencadenar potencialmente una investigación, las exposiciones
que involucran a más de 500 personas se publican en el sitio web
del HHS "Breach Portal" para que todo el mundo las vea. Las leyes
estatales también pueden incluir requisitos de notificación de
violaciones.

BIO HIPAA

Resumen

Aunque los detalles son extensos, la carga administrativa neta que

la HIPAA añade a las normas comunes y a las regulaciones de la
FDA existentes no suele ser muy grande. En comparación con la
aprobación de protocolos en general (y los detalles del
consentimiento informado en particular), una autorización de la
HIPAA es relativamente fácil. Además, como se ha señalado,
existen varias vías para evitar el requisito de autorización.

Para aprobar un estudio según la Norma Común y los requisitos de

la FDA, los comités de revisión institucional han tenido que
determinar desde hace tiempo que existen disposiciones adecuadas
para proteger la privacidad de los sujetos y mantener la
confidencialidad de los datos. En los casos en que los
investigadores cumplan con esos requisitos, la HIPAA debería
cambiar muy poco más allá del “papeleo” adicional.

Como se ha señalado, la HIPAA se aplica a las entidades cubiertas

y a sus socios comerciales, y a la PHI que se origina en ellas o por
ellas. La HIPAA no alcanza a las investigaciones realizadas por
organizaciones que no califican como tales, utilizando datos que no
se derivan de ninguna fuente de entidad cubierta. En tales casos,
los requisitos de la Norma común y de la FDA siguen siendo
protecciones para la privacidad y otros intereses de los sujetos
humanos. La cuestión entonces no es la "PHI", sino lo que la Norma
común define como "información privada" identificable.
Referencias

● Protección de sujetos humanos, 45 CFR § 46 (2017).

● Seguridad y privacidad, 45 CFR § 160, 162 y 164 (2013).
● Departamento de Salud y Servicios Humanos de los Estados
Unidos (HHS). 2004. “ Investigación clínica y la regla de
privacidad HIPAA ”. Última modificación: 5 de febrero.
● Departamento de Salud y Servicios Humanos de los Estados
Unidos (HHS). 2013. " Modificaciones a las normas de
privacidad, seguridad, cumplimiento y notificación de
infracciones de la HIPAA en virtud de la Ley de Tecnología de
la Información de Salud para la Salud Económica y Clínica y
 la Ley de No Discriminación por Información Genética; Otras
modificaciones a las normas de la HIPAA; Norma final ".
Registro Federal 78(17):5566-702.
● Departamento de Salud y Servicios Humanos de EE. UU.
(HHS). 2022. " Guía sobre métodos para la desidentificación
de información médica protegida de conformidad con la regla
de privacidad de la Ley de Portabilidad y Responsabilidad del
Seguro Médico (HIPAA) ". Consultado el 6 de noviembre de
2022.