County of Sonoma
Language
Economic Development Board Business Services HIPAA, vacunación COVID-19 y el lugar de trabajo
SoCo Lanzamiento

HIPAA, vacunación COVID-19 y el lugar de trabajo

vaccination-shot-1280x530

El contenido a continuación fue creado por la Oficina de Prensa de la Oficina de Derechos Civiles.

El contenido a continuación fue creado el 30 de septiembre de 2021, y se puede encontrar en inglés en el siguiente enlace: https://www.hhs.gov/hipaa/for-professionals/privacy/guidance/hipaa-covid-19-vaccination-workplace/index.html

 

HIPAA, vacunación COVID-19 y el lugar de trabajo(1)

1. ¿La regla de privacidad de la HIPAA prohíbe que las empresas o las personas pregunten si sus clientes han recibido alguna vacuna COVID-19?

No. La Regla de Privacidad(2) no prohíbe a ninguna persona (por ejemplo, un individuo o una entidad como una empresa), incluidas las entidades cubiertas por HIPAA y los socios comerciales, preguntar si un individuo ha recibido una vacuna en particular, incluidas las vacunas COVID-19.

Primero, la Regla de Privacidad(3) aplica solo a las entidades cubiertas(4) (planes de salud, centros de atención médica y proveedores de atención médica que realizan transacciones electrónicas estándar) y, hasta cierto punto, sus socios comerciales.(5)

En segundo lugar, la Regla de Privacidad no regula la capacidad de las entidades cubiertas y los socios comerciales de solicitar información a los pacientes o visitantes. Más bien, la Regla de Privacidad regula cómo y cuándo las entidades cubiertas y los socios comerciales tienen permitido usar(6) y divulgar(7) información médica protegida(8) (IMP) (por ejemplo, IMP sobre si una persona ha recibido una vacuna COVID-19) que las entidades cubiertas y los socios comerciales crean, reciben, mantienen o transmiten. Por lo tanto, la Regla de Privacidad no prohíbe que una entidad cubierta (por ejemplo, un médico, hospital o plan de cobertura médica) o un socio comercial pregunte si una persona (por ejemplo, un paciente o visitante) ha recibido una vacuna en particular, incluidas cualquiera de las vacunas COVID-19, aunque regula cómo y cuándo una entidad cubierta o su socio comercial pueden usar o divulgar información sobre el estado de vacunación de una persona.

Ejemplos adicionales. La Regla de Privacidad no aplica cuando una persona:

  • Es cuestionada por una escuela(9), empleador, tienda, restaurante, lugar de entretenimiento u otra persona sobre su estado de vacunación.
  • Pregunta a otra persona, su médico o un proveedor de servicios si están vacunados.
  • Pregunta a una empresa, como una agencia de salud en el hogar, si los miembros de su fuerza laboral están vacunados.

Otras leyes estatales o federales abordan si las personas deben revelar si han recibido una vacuna en determinadas circunstancias.

2. ¿La Regla de Privacidad de HIPAA evita que los clientes de una empresa revelen si han recibido la vacuna COVID-19?

No. La Regla de Privacidad no impide que ninguna persona revele si esa persona ha sido vacunada contra COVID-19 o cualquier otra enfermedad. La Regla de Privacidad no aplica a las divulgaciones de las personas sobre su propia información médica. Aplica solo a las entidades cubiertas(10) y, hasta cierto punto, a sus socios comerciales.(11) Por lo tanto, la Regla de Privacidad no aplica cuando un individuo le dice a otra persona, como un colega o propietario de un negocio, sobre su propio estado de vacunación.

3. ¿La Regla de Privacidad de HIPAA prohíbe a un empleador exigir a un miembro de la fuerza laboral que revele si ha recibido una vacuna COVID-19 al empleador, clientes u otros grupos?

No. La Regla de Privacidad no se aplica en los registros de empleo, incluidos los registros de empleo mantenidos por entidades cubiertas(12) o socios comerciales(13) en su calidad de empleadores.(14)En general, la Regla de Privacidad no regula qué información se puede solicitar a los empleados como parte de los términos y condiciones de empleo que un empleador puede imponer a su fuerza laboral.(15) Sin embargo, otras leyes federales o estatales abordan los términos y condiciones de empleo.(16) Por ejemplo, las leyes federales contra la discriminación no impiden que un empleador elija exigir que todos los empleados que ingresen al lugar de trabajo estén vacunados contra COVID-19 y proporcionar documentación u otra confirmación de que han cumplido con este requisito, sujeto a disposiciones de ajustes razonables y otras consideraciones de igualdad de oportunidades de empleo.(17) Sin embargo, la documentación u otra confirmación de vacunación debe mantenerse confidencial y almacenada por separado de los archivos personales del empleado bajo el Título I de la Ley de Discapacidades Americanos (ADA, por sus siglas en inglés) .(18)

4. ¿La Regla de Privacidad de HIPAA prohíbe que una entidad cubierta o un socio comercial requiera que los miembros de su fuerza laboral revelen a sus empleadores u otras partes si los miembros de la fuerza laboral han recibido una vacuna COVID-19?

No. La Regla de Privacidad no aplica a los registros del empleado, incluidos los registros de empleo mantenidos por entidades cubiertas(19) y socios comerciales(20) que actúan en su calidad de empleadores.(21) Por lo tanto, la Regla de Privacidad generalmente no regula qué información se puede solicitar a los empleados como parte de los términos y condiciones de empleo que una entidad cubierta o socio comercial puede imponer a su fuerza laboral,(22) como la capacidad de una entidad cubierta o socio comercial(23) de exigir a los miembros de su fuerza laboral que proporcionen documentación de su vacunación contra COVID-19 o que revelen a su empleador si han sido vacunados, otros miembros de la fuerza laboral, pacientes o miembros del público.

Por ejemplo, la Regla de Privacidad no prohíbe que una entidad cubierta o un socio comercial requiera o solicite a cada miembro de la fuerza laboral que:

 

  • Proporcione documentación a su actual o potencial empleador de su vacuna COVID-19 o contra la gripe.
  • Firme una autorización de HIPAA para que un proveedor de atención médica cubierto divulgue el registro de vacunación contra la varicela o el COVID-19 del miembro de la fuerza laboral a su empleador.(24)
  • Use una mascarilla, mientras se encuentre en las instalaciones del empleador, en la propiedad del empleador o en el curso normal del desempeño de sus funciones en otro lugar.
  • Revele si han recibido una vacuna COVID-19 en respuesta a consultas de pacientes actuales o potenciales.

Otras leyes federales o estatales abordan si un empleador puede exigir que un miembro de la fuerza laboral obtenga alguna vacuna como condición para el empleo y proporcione documentación u otra confirmación de la vacunación. Estas leyes también abordan cómo los empleadores deben tratar la información médica que obtienen de los empleados. Por ejemplo, la documentación u otra confirmación de la vacunación debe mantenerse confidencial y almacenarse por separado de los archivos personales del empleado según el Título I de la Ley de Americanos con Discapacidades (ADA, por sus siglas en inglés).

5. ¿La Regla de Privacidad de HIPAA prohíbe al consultorio de un médico divulgar la información médica protegida (PHI, por sus siglas en inglés) de una persona, incluso si ha recibido una vacuna COVID-19, al empleador de la persona o a otros grupos?

Generalmente sí. La Regla de Privacidad prohíbe a las entidades cubiertas(25) y sus socios comerciales(26) usar o divulgar la PHI(27) de una persona (por ejemplo, información sobre si la persona ha recibido una vacuna, como una vacuna COVID-19; el historial médico o la información demográfica de la persona) excepto con la autorización de la persona, o según lo permita o requiera expresamente la Regla de Privacidad.

 

Por lo general, cuando una entidad cubierta o un socio comercial tiene permitido divulgar la PHI, se limita a divulgar la PHI que sea razonablemente necesaria para lograr el propósito establecido para la divulgación.(28)

 

Por ejemplo, si es consistente con otras leyes y estándares éticos aplicables, bajo la Regla de Privacidad:

 

    • Un médico cubierto tiene permitido divulgar la PHI relacionada con la vacunación de una persona al plan de salud de la persona según sea necesario para obtener el pago por la administración de una vacuna COVID-19.(29)

 

    • Una farmacia cubierta tiene permitido divulgar la PHI relacionada con el estado de vacunación de una persona (por ejemplo, que una persona ha recibido una vacuna COVID-19, la fecha de vacunación, el fabricante de la vacuna) a una autoridad de salud pública, como una agencia de salud pública estatal o local.(30) En tales situaciones, la farmacia cubierta puede depender, si dicha confianza es razonable dadas las circunstancias, en una declaración de la autoridad de salud pública de que la información solicitada constituye el mínimo necesario para los propósitos declarados de la divulgación. (por ejemplo, para rastrear y comparar la efectividad de diferentes vacunas COVID-19).(31)

 

  • Un plan de salud tiene permitido revelar el estado de vacunación de una persona cuando así lo requiera la ley.(32)
  • Una enfermera especializada cubierta puede proporcionar la PHI relacionada con el estado de vacunación COVID-19 de una persona a dicho individuo.(33)
  • Un médico cubierto que sea investigador en un ensayo clínico de la vacuna COVID-19 tiene permiso de usar o divulgar la PHI al fabricante de la vacuna y a la FDA sobre los participantes del ensayo clínico con el propósito de actividades relacionadas con la calidad, seguridad o eficacia de la vacuna COVID. -19.(34)  Tales propósitos incluyen:
    • Para recopilar o informar eventos adversos, defectos o problemas del producto (incluidos problemas con el uso o etiquetado de un producto) o desviaciones biológicas del producto.
    • Para realizar un seguimiento de los productos regulados por la FDA, incluidas las vacunas COVID-19.Para permitir retirar productos, reparaciones, reemplazo o revisión retrospectiva (incluida la ubicación y notificación a las personas que han recibido productos que han sido retirados del mercado, reemplazadas o son objeto de revisión retrospectiva). 
    • Realizar vigilancia poscomercialización.
  • Un hospital cubierto tiene permitido divulgar la PHI relacionada con el estado de vacunación de un individuo al empleador de la persona para que el empleador pueda realizar una evaluación relacionada con la vigilancia médica del lugar de trabajo (por ejemplo, vigilancia de la propagación de COVID-19 dentro de la fuerza laboral) o para evaluar si la persona tiene una enfermedad relacionada con el trabajo,(35), (36)y se cumplen todas las condiciones siguientes:
    • El hospital cubierto brinda el servicio de atención médica a la persona a solicitud del empleador de la persona o como miembro de la fuerza laboral del empleador.(37)
    • La PHI divulgada consiste en hallazgos relacionados con enfermedades relacionadas con el trabajo o vigilancia médica relacionada con el lugar de trabajo.
    • El empleador necesita los hallazgos para cumplir con sus obligaciones bajo las autoridades legales de la Administración de Salud y Seguridad Ocupacional (OSHA, por sus siglas en inglés), la Administración de Salud y Seguridad Minera (MSHA, por sus siglas en inglés), o las leyes estatales que tienen un propósito similar (por ejemplo, bajo los requisitos de mantenimiento de registros de OSHA, los efectos secundarios de la vacunación para los trabajadores constituyen una "enfermedad registrable" y, por lo tanto, los empleadores son responsables de registrar dichos efectos secundarios en determinadas circunstancias38). 39, 40
    • El proveedor de atención médica cubierto notifica por escrito a la persona que la PHI relacionada con la vigilancia médica del lugar de trabajo y las enfermedades relacionadas con el trabajo serán divulgadas al empleador. (Esto se puede lograr proporcionando a la persona una copia del aviso en el momento en que se brinda la atención médica, o colocando la notificación en un lugar destacado en el lugar donde se brinda la atención médica, si la atención médica se brinda en el lugar de trabajo del empleador.)(41)

En otras circunstancias, la Regla de Privacidad generalmente requiere que una entidad cubierta obtenga la autorización escrita de una persona antes de divulgar la PHI de la persona,(42) como la divulgación respecto a si la persona ha recibido una vacuna, por ejemplo:

 

  • Un estadio deportivo o proveedor de entretenimiento.
  • Un hotel, resort o crucero.
  • Una aerolínea o agencia de alquiler de coches.

NOTA: La Regla de Privacidad no prohíbe que una persona elija proporcionar a cualquiera de estas personas o entidades información sobre su estado de vacunación.

Para obtener información adicional sobre la Regla de Privacidad y su aplicación, visite https://www.hhs.gov/hipaa/for-individuals/index.html.

Recursos

 

Los CDC emitieron “Recomendaciones actualizadas para el control y la prevención de infecciones en el cuidado de la salud en respuesta a la vacunación COVID-19”, disponible en https://www.cdc.gov/coronavirus/2019-ncov/hcp/infection-control-after-vaccination.html.

 

OSHA, en el Departamento de Trabajo de EE. UU., publicó “Protección de los trabajadores: guía para mitigar y prevenir la propagación de COVID-19 en el lugar de trabajo”, disponible en https://www.osha.gov/coronavirus/safework. Puede encontrar guías y recursos adicionales sobre COVID-19 y el lugar de trabajo en https://www.osha.gov/coronavirus

 

La Comisión de Igualdad de Oportunidades en el Empleo de EE. UU. emitió una guía titulada "Lo que debe saber sobre COVID-19 y la ADA, la Ley de rehabilitación y otras leyes de EEO", disponible en  https://www.eeoc.gov/wysk/what-you-should-know-about-covid-19-and-ada-rehabilitation-act-and-other-eeo-laws.

Notas al pie de página

1 La Oficina de Derechos Civiles (OCR, por sus siglas en inglés) del HHS publica estas preguntas frecuentes para abordar preguntas sobre cuándo y cómo aplican las Reglas de HIPAA a los usos y divulgaciones de información relacionada con la vacunación COVID-19. Sin embargo, la información en las preguntas frecuentes sobre las Reglas de HIPAA es aplicable a todas las vacunas, independientemente de la enfermedad o condición que se aborde o si la vacuna ha sido completamente aprobada o autorizada a través de una autorización de uso de emergencia.

 

2 La "Regla de Privacidad" se refiere a las regulaciones de privacidad bajo la Ley de Portabilidad y Responsabilidad de Seguros de Salud de 1996 (HIPAA), 45 CFR parte 160 y las subpartes A y E de la parte 164. La OCR administra la Notificación de Incumplimiento, Seguridad y Privacidad de HIPAA, y las Reglas de Cumplimiento (conocidas colectivamente como Reglas de HIPAA), 45 CFR partes 160 y 164. Esta guía se enfoca en la Regla de Privacidad, que regula los usos y divulgaciones de información médica protegida (PHI, por su s siglas en inglés).

 

3 Reglas de privacidad, seguridad y notificación de infracciones de HIPAA, 45 CFR Partes 160 y 164.

 

4 Ver 45 CFR 160.103 (definición de “Entidad cubierta”). Consulte también https://www.hhs.gov/hipaa/for-professionals/covered-entities/index.html.

 

5 Ver 45 CFR 160.103 (definición de “socio comercial”). Consulte también la hoja informativa sobre la responsabilidad directa de los socios comerciales en https://www.hhs.gov/hipaa/for-professionals/privacy/guidance/business-associates/factsheet/index.html. Ejemplos de socios comerciales incluyen servicios de procesamiento de reclamos de atención médica, transcriptores médicos y firmas de contabilidad que tienen acceso a información médica protegida.

 

6 Ver 45 CFR 160.103 (definición de “Uso”).

 

7 Ver 45 CFR 160.103 (definición de “Divulgación”).

 

8 Ver 45 CFR 160.103 (definición de “Información de salud protegida”).

 

9 Si bien la Regla de Privacidad no regula si las escuelas pueden preguntar a las personas si han recibido una vacuna, las Reglas de HIPAA pueden regular cómo se maneja la información una vez que está en posesión de una escuela cuando esa escuela está sujeta a las Reglas de HIPAA (es decir, cuando la escuela es una entidad cubierta) y la información de salud no cumple con la definición de “registros educativos” cubierta por la Ley de Privacidad y Derechos Educativos de la Familia (FERPA). Ver 45 CFR 160.103 excluyendo la información de salud identificable individualmente en los registros educativos cubiertos por FERPA de la definición de “información de salud protegida”. Consulte también la Orientación conjunta sobre la aplicación de la Ley de privacidad y derechos educativos de la familia (FERPA) y la Ley de portabilidad y responsabilidad del seguro médico de 1996 (HIPAA) a los registros de salud de los estudiantes, el Departamento de Salud y Servicios Humanos de EE. UU. y el Departamento de Educación de EE. UU. (Diciembre 2019), disponible en https://www.hhs.gov/sites/default/files/2019-hipaa-ferpa-joint-guidance.pdf - PDF, que describe a qué tipos de instituciones se aplica FERPA y qué información se incluye en “ registros educativos ".

 

10 Consulte 45 CFR 160.103 (definición de “entidad cubierta”).

 

11 Ver 45 CFR 160.103 (definición de “socio comercial”).

 

12 Ver 45 CFR 160.103 (definición de “Entidad cubierta”).

 

13 Ver 45 CFR 160.103 (definición de “socio comercial”).

 

14 Ver 45 CFR 160.103 (definición de “Información de salud protegida). El HHS abordó preguntas sobre la aplicación de la Regla de Privacidad de HIPAA a los empleadores en los preámbulos de la Regla de Privacidad de 2000 y las Modificaciones de 2002 a la Regla de Privacidad de HIPAA. “Con respecto a los empleadores, no tenemos autoridad legal para regularlos. Por lo tanto, está más allá del alcance de este reglamento prohibir a los empleadores solicitar u obtener información médica protegida”. 65 FR 82426, 82592 (28 de diciembre de 2000). “El Departamento debe permanecer dentro de los límites establecidos por el estatuto, que no incluye a los empleadores per se como entidades cubiertas. Por lo tanto, no podemos regular a los empleadores, incluso cuando se trata de una entidad cubierta que actúa como empleador". 67 FR 53182, 53192 (14 de agosto de 2002).

 

15 Ver 45 CFR 160.103 (definición de "Fuerza Laboral").

 

16 Consulte EEOC, Lo que debe saber sobre COVID-19 y la ADA, la Ley de rehabilitación y otras leyes de EEO, § K (28 de junio de 2021), disponible en https://www.eeoc.gov/wysk/what-you-should-know-about-covid-19-and-ada-rehabilitation-act-and-other-eeo-laws. Ver en general Shen, Wen W. (2019). “Recuadro legal: una descripción general de la autoridad estatal y federal para imponer requisitos de vacunación” (Informe de CRS No. LSB10300), disponible en https://crsreports.congress.gov/product/pdf/LSB/LSB10300. Consulte también información sobre las leyes estatales de vacunación en los sitios web de los Centros para el Control y la Prevención de Enfermedades (CDC) y la Conferencia Nacional de Legisladores Estatales (NCSL).

 

17 Consulte EEOC, Lo que debe saber, en § K.

 

18 Ver id., § K.4.

 

19 Consulte 45 CFR 160.103 (definición de “entidad cubierta”).

 

20 Ver 45 CFR 160.103 (definición de “socio comercial”).

 

21 Ver 45 CFR 160.103 (definición de “Información de salud protegida”).

22 Ver 45 CFR 160.103 (definición de “Fuerza Laboral”). Para obtener información adicional, consulte la pregunta frecuente 301,  https://www.hhs.gov/hipaa/for-professionals/faq/301/does-the-hipaa-public-health-provision-permit-health-care-providers-to-disclose-information-from-pre-employment-physicals/index.html.

 

23 Ver 45 CFR 160.103 (definiciones de “socio comercial” y “entidad cubierta”). Consulte también https://www.hhs.gov/hipaa/for-professionals/covered-entities/index.html.

 

24 Ver 45 CFR 164.508 (b) (4) (iii).

 

25 Ver 45 CFR 160.103 (definición de “Entidad cubierta”).

 

26 Ver 45 CFR 160.103 (definición de “Socio comercial”).

 

27 Ver 45 CFR 160.103 (definición de “Información de salud protegida”).

 

28 Ver 45 CFR 164.514 (d) (3).

 

29 Ver 45 CFR 164.506 (c) (1).

 

30 Ver 45 CFR 164.512 (b) (1) (i).

 

31 Ver 45 CFR 164.514 (d) (3) (iii) (A).

 

32 Ver 45 CFR 164.512 (a).

 

33 Ver 45 CFR 164.502 (a) (1) (i) (que permite a una entidad cubierta usar o divulgar la PHI de una persona a la persona). Tenga en cuenta que cuando un individuo, o su representante personal, solicita acceso a la PHI del individuo, además de que la divulgación está permitida, también se requiere bajo el derecho de acceso del individuo. Consulte 45 CFR 164.524 (que brinda a las personas el derecho de acceso para inspeccionar y obtener una copia de la PHI sobre la persona en un conjunto de registros designado).

 

34 Ver 45 CFR 164.512 (b) (1) (iii).

 

35 Ver 29 CFR 1904.5 (definición de “Enfermedad relacionada con el trabajo”). Consulte también el sitio web de OSHA para obtener orientación sobre la aplicación de los requisitos de OSHA a COVID-19.

 

36 Ver 45 CFR 164.512 (b) (1) (v). Consulte también la pregunta frecuente 301, https://www.hhs.gov/hipaa/for-professionals/faq/301/does-the-hipaa-public-health-provision-permit-health-care-providers-to-disclose-information-from-pre-employment-physicals/index.html.

37 Ver 45 CFR 164.512 (b) (1) (v) (A).

 

38 Ver OSHA, Protecting Workers: Guidance on Mitigating and Preventing the Propagación de COVID-19 en el lugar de trabajo, en § 9 (10 de junio de 2021), disponible en https://www.osha.gov/coronavirus/safework (que describe los requisitos de registro y notificación relacionados con las infecciones y muertes por COVID-19 y la excepción actual a los requisitos para registrar los efectos secundarios de los trabajadores por la vacunación del COVID-19 hasta mayo de 2022).

 

39 Ver 45 CFR 164.512 (b) (1) (v) (C).

 

40 Las entidades cubiertas deben implementar políticas y procedimientos con respecto a la PHI que estén diseñados para cumplir con los requisitos de la Regla de Privacidad, que incluiría, si corresponde a la entidad cubierta, una política y un procedimiento para garantizar que las divulgaciones a un empleador menor de 45 CFR 164.512 (b) (1) (v) cumplen con las condiciones especificadas en ese párrafo. Ver 45 CFR 164.530 (i) (1).

 

41 Ver 45 CFR 164.512 (b) (1) (v) (D).

 

42 Sujeto a los permisos para divulgaciones requeridos por la ley y aquellos necesarios para disminuir o prevenir una amenaza seria e inminente. Consulte 45 CFR 164.512 (a) y 164.512 (j).