Boletín para evitar la responsabilidad – Mayo 2009
… La confidencialidad es la piedra angular de la psicoterapia. Sin la promesa de confidencialidad, los pacientes y clientes serían reacios a «abrirse» con sus terapeutas y consejeros, y como consecuencia, el éxito del tratamiento probablemente se vería obstaculizado. Los terapeutas y consejeros aprenden sobre la confidencialidad al principio de su carrera y comprenden su importancia. Es de esperar que también entiendan que una violación negligente o intencionada de la confidencialidad puede tener consecuencias negativas importantes para ellos.
Típicamente y tradicionalmente, el paciente o cliente ha tenido dos recursos. Uno de ellos es demandar por daños y perjuicios en un juicio civil. Dependiendo de la naturaleza y el alcance de la infracción, y de los consiguientes daños y perjuicios para el cliente, la demanda civil podría tener un valor significativo. Es de esperar que el profesional esté cubierto por un seguro de responsabilidad profesional (mala praxis). (Los actos intencionados suelen estar excluidos de la cobertura). El otro recurso del que dispone el cliente es la presentación de una queja ante la junta de licencias. Una denuncia puede dar lugar a una multa, a la suspensión o revocación de la licencia, a varios años de libertad condicional bajo diversas y onerosas condiciones, o a una combinación de las mismas. Además, las acciones de la junta de licencias suelen ser publicadas, de una manera u otra (por ejemplo, en Internet).
Ahora es posible, al menos en un estado, que una violación inadvertida de la confidencialidad dé lugar a una responsabilidad monetaria (multas administrativas) por parte de tres entidades gubernamentales distintas: ¡una agencia federal y dos agencias estatales! Imagínese a un profesional que envía inadvertidamente registros a un tercero, pero que más tarde se da cuenta de que el formulario de autorización que el paciente firmó sólo era válido hasta una fecha determinada, que había pasado recientemente. Las posibles implicaciones de una situación así, o de otras más graves que impliquen una violación de la confidencialidad, son bastante amplias en este estado y quizás en otros.
En el estado al que se hace referencia, la junta de licencias para terapeutas matrimoniales y familiares y trabajadores sociales clínicos tiene la autoridad, como alternativa a las acciones disciplinarias habituales que pueden iniciar, de emitir una citación administrativa por violaciones de la ley que sean inadvertidas o de naturaleza menor. Dicho procedimiento permite al profesional pagar la multa impuesta por la Junta (hasta 5.000 dólares) o impugnarla, tanto de manera informal como formal.
Si el profesional es una «entidad cubierta» por la HIPAA, entonces también está sujeto a una denuncia y a una multa por parte de la Oficina Federal de Derechos Civiles, que forma parte del Departamento de Salud y Servicios Humanos de Estados Unidos. Aunque el abanico de posibles multas por violación es bastante amplio, dependiendo de las circunstancias, las violaciones inadvertidas o negligentes de la confidencialidad, especialmente en el caso de los infractores por primera vez, han sido bastante leves en virtud de las disposiciones de aplicación de la HIPAA. Recientemente, sin embargo, el Congreso aprobó el llamado «paquete de estímulo» con el fin de estimular la economía – más formalmente conocido como la Ley de Recuperación y Reinversión de Estados Unidos. Una parte de esa Ley es la Ley HITECH -que significa Health Information Technology for Economic and Clinical Health-. En esta última ley, el importe de las multas civiles que pueden imponerse a un «proveedor cubierto» se ha incrementado sustancialmente. Los proveedores pueden pagar la multa administrativa o impugnar el asunto.
Por si fuera poco, el estado al que se ha hecho referencia ha creado otra agencia más que puede multar a los profesionales sanitarios con licencia por violar la confidencialidad de un paciente. Esta nueva agencia, la Oficina de Integridad de la Información Sanitaria, es una criatura de la legislación reciente. Su objetivo general es garantizar el cumplimiento de la ley estatal que ordena la confidencialidad de la «información médica» (incluye los registros de salud mental que mantienen diversos psicoterapeutas) e imponer multas administrativas por el uso no autorizado de la información médica. La razón por la que se aprobó esta ley (en mi opinión, de forma precipitada y sin la suficiente reflexión) es directamente el resultado y la reacción a algunas violaciones flagrantes de la confidencialidad que se produjeron en relación con uno o varios artistas conocidos. Los legisladores reaccionaron rápidamente aprobando esta ley -que en cierto modo duplica las disposiciones de aplicación de la HIPAA y varias leyes de concesión de licencias y disposiciones relacionadas que permiten imponer multas administrativas y medidas disciplinarias más severas.
Las disposiciones de penalización por violar la confidencialidad han sido ampliadas por esta ley estatal recientemente aprobada. En el extremo superior de las sanciones por violación de la confidencialidad, es posible imponer una multa administrativa o una sanción civil de 250.000 dólares, por ejemplo, si un profesional de la salud con licencia obtiene, divulga o utiliza deliberadamente información médica en violación de la ley básica de confidencialidad del estado con el fin de obtener un beneficio económico. Esta fuerte multa o sanción civil (la máxima) es aplicable en caso de una tercera infracción. Una primera infracción podría acarrear una multa administrativa o una sanción civil de hasta 5.000 dólares, mientras que una segunda infracción podría dar lugar a una multa o una sanción civil de hasta 25.000 dólares. Se prevén sanciones menores en los casos en que la divulgación sea realizada por un profesional sanitario autorizado como resultado de una negligencia (en contraposición a un comportamiento consciente y deliberado) y no para obtener un beneficio económico.
Esta nueva ley exige a todos los proveedores de atención sanitaria que establezcan y apliquen las salvaguardias administrativas, técnicas y físicas adecuadas para proteger la privacidad de la información médica de los pacientes. Exige a los proveedores de atención sanitaria que protejan razonablemente la información médica confidencial de cualquier acceso no autorizado o acceso, uso o divulgación ilícitos. Aunque los requisitos mencionados anteriormente no se han recogido expresamente en la ley (salvo en la normativa de la HIPAA), el deber de confidencialidad exige obviamente, y en la práctica, que cualquier profesional que tenga el deber de preservar la confidencialidad del paciente adopte estas medidas básicas. Recientemente se ha presentado un proyecto de ley en la Asamblea Legislativa del Estado que otorgaría a la recién creada Oficina de Integridad de la Información Sanitaria el derecho a auditar los procedimientos y registros de un proveedor de asistencia sanitaria en cualquier momento para determinar el cumplimiento de estos requisitos por parte del proveedor. Espero que este proyecto de ley sea objeto de gran preocupación por parte de las asociaciones que representan a diversos proveedores de atención sanitaria.
Por último, la Ley de Confidencialidad de la Información Médica de este estado (California) establece que cualquier violación de la ley de confidencialidad, tal y como se recoge en la CMIA, que provoque una pérdida económica o un daño personal a un paciente es punible como delito menor. La «sanción civil», a la que se hace referencia, se evalúa y recupera en una acción civil (demanda) interpuesta en nombre del pueblo del Estado de California en cualquier tribunal de jurisdicción competente por cualquier fiscal de distrito, cualquier fiscal de una ciudad, el Fiscal General del Estado de California, ¡u otros! ¿Es suficiente la responsabilidad? ¿Hay algo similar en su estado?
