Los clientes suelen preguntar si la HIPAA se aplica a la industria del cannabis. Al igual que con cualquier otro aspecto de la atención sanitaria, la respuesta puede ser compleja. La HIPAA se promulgó en 1996 para ayudar a proteger la información sanitaria de los pacientes. Aunque la HIPAA es amplia, en la medida en que la legislación estatal sea más restrictiva o protectora, será esta última la que prevalezca en esos casos. 45 CFR § 160.201 et. seq. Pero la primera pregunta es si la HIPAA se aplica a la industria del cannabis.
¿Son los dispensarios de cannabis entidades cubiertas?
Para que la información esté protegida por la HIPAA, hay varios aspectos que deben analizarse. En esencia, la HIPAA se aplicará cuando una «entidad cubierta» tenga «información médica protegida». Al igual que con cualquier otro régimen legal, el primer paso para el análisis son las definiciones. Una «entidad cubierta» incluye un plan de salud (por ejemplo, un tercero pagador), un centro de intercambio de información sanitaria (por ejemplo, un sistema de terceros que interpreta los datos de las reclamaciones entre los sistemas de los proveedores de atención médica y los terceros pagadores) y un proveedor de atención médica. 45 CFR § 160.103. Entonces, ¿es un dispensario un «proveedor de atención médica»? En el caso de los dispensarios para adultos o recreativos, la respuesta es no. Sin embargo, en el caso de los dispensarios de marihuana medicinal, es esencial profundizar en las regulaciones de la HIPAA.
Se entiende por proveedor de atención médica: (1) un proveedor de servicios, tal y como se define en la Ley del Seguro Social; (2) un proveedor de servicios médicos o de atención médica, también tal y como se define en la Ley del Seguro Social; y (3) cualquier otra persona u organización que preste, facture o reciba pagos por servicios de atención médica en el curso normal de sus actividades. Id. Según esta definición, es evidente que los hospitales, los médicos, las clínicas de atención médica y muchos otros tipos de proveedores de atención médica son entidades cubiertas.
Pero un dispensario no es una de las entidades específicamente enumeradas en la ley. ¿Significa esto que un dispensario de marihuana medicinal no es un proveedor de atención médica? No. Para ayudar a aclarar la definición de proveedor de atención médica, también es importante comprender la definición de «atención médica». Tal y como establecen las normas de la HIPAA, «atención médica significa cuidados, servicios o suministros relacionados con la salud de una persona». Id. A continuación, la normativa ofrece ejemplos específicos (que no pretenden ser exhaustivos) de asistencia sanitaria. En general, la asistencia sanitaria incluye:
(1) Atención preventiva, diagnóstica, terapéutica, rehabilitadora, de mantenimiento o paliativa, así como asesoramiento, servicios, evaluaciones o procedimientos relacionados con la condición física o mental, o el estado funcional de una persona, o que afecten a la estructura o función del cuerpo; y
(2) Venta o dispensación de un medicamento, dispositivo, equipo u otro artículo de acuerdo con una receta médica. Ídem.
En virtud de cualquiera de las secciones anteriores, se puede argumentar que los dispensarios de marihuana medicinal son proveedores de atención médica. Dependiendo del estado en el que se resida, la marihuana medicinal puede «recetarse» para cuidados «terapéuticos» o «paliativos». Véase, por ejemplo, A.R.S. 36-2801(11) (En Arizona, «"uso médico" significa la adquisición, posesión, cultivo, fabricación, uso, administración, entrega, transferencia o transporte de marihuana o parafernalia relacionada con la administración de marihuana para tratar o aliviar la condición médica debilitante de un paciente registrado que reúna los requisitos o los síntomas asociados con la condición médica debilitante del paciente»). Además, cuando se requiere una «receta» para obtener marihuana medicinal, entonces sin duda se aplicaría la segunda parte de la definición anterior (por ejemplo, la «venta o dispensación de un [un]» «artículo de acuerdo con una receta»).
Se puede argumentar de manera convincente que un dispensario de marihuana medicinal es una entidad cubierta por la HIPAA. La decisión final se toma caso por caso y las leyes estatales desempeñan un papel fundamental en la evaluación de estas cuestiones.
Información médica protegida
La segunda parte del análisis consiste en determinar si un dispensario de marihuana medicinal posee «información sanitaria protegida». Al igual que en el análisis anterior, las definiciones son el punto de partida.
La HIPAA define «información médica protegida» como información médica identificable individualmente, es decir: (1) transmitida por medios electrónicos; (2) conservada en medios electrónicos; o (3) transmitida o conservada en cualquier otra forma o medio. Id. Por lo tanto, antes de analizar la aplicabilidad de la información médica protegida en el contexto del cannabis, es esencial definir «información médica identificable individualmente». La información médica identificable individualmente incluye:
Información demográfica recopilada de una persona y: (1) creada o recibida por un proveedor de atención médica, un plan de salud, un empleador o un centro de intercambio de información médica; y (2) relacionada con la salud o el estado físico o mental pasado, presente o futuro de una persona; la prestación de asistencia sanitaria a una persona; o el pago pasado, presente o futuro por la prestación de asistencia sanitaria a una persona; y (i) que identifica a la persona; o (ii) con respecto a la cual existe una base razonable para creer que la información puede utilizarse para identificar a la persona. Id.
Sin duda, un dispensario de marihuana medicinal podría mantener perfectamente la información sanitaria protegida. Por ejemplo, si el dispensario conserva información que incluye el nombre del paciente, su número de la seguridad social y/o cualquier otra información identificativa, así como el diagnóstico del paciente y la información sobre sus compras, no es descabellado pensar que se aplicaría la HIPAA.
¿Qué debe hacer un dispensario si es una entidad cubierta?
Si bien lo anterior es principalmente un ejercicio académico, instituir protecciones que cumplan con la HIPAA es mucho más práctico. La Oficina de Derechos Civiles (OCR), que forma parte del Departamento de Salud y Servicios Humanos de los Estados Unidos, es la autoridad reguladora en virtud de la HIPAA. La OCR tiene la facultad de imponer sanciones económicas por incumplimientos de la HIPAA, que pueden ser bastante significativas. Además, un incumplimiento de la HIPAA puede dar lugar a demandas por parte de los pacientes afectados en virtud de diversas teorías jurídicas, entre ellas la invasión de la privacidad y otras reclamaciones por daños y perjuicios.
Para evitar incumplimientos de la HIPAA, algunas de las medidas básicas incluyen la implementación de políticas y procedimientos integrales y la formación periódica del personal del dispensario. Además, sería aconsejable que el propietario de un dispensario contratara un seguro de responsabilidad cibernética en caso de incumplimiento de la HIPAA. En futuras publicaciones, detallaremos más los requisitos de la HIPAA.
La HIPAA es una ley compleja. Como se ha señalado anteriormente, también existe una interacción con la legislación estatal que complica aún más el análisis. El propietario de un dispensario de marihuana medicinal haría bien en buscar asesoramiento sobre si la HIPAA es aplicable y, en caso afirmativo, cómo cumplir con ella (y posiblemente también con las leyes estatales de privacidad).
¿Necesita ayuda con la ley sobre el cannabis de Arizona?
