El fiscal general de California, Xavier Becerra, ha anunciado recientemente un acuerdo de $935.000 con la compañía de seguros médicos Aetna ("La Compañía"). En julio de 2017, la compañía, con sede en Connecticut, envió cartas a 1.991 californianos en las que se revelaba visiblemente que los destinatarios tomaban medicación para el VIH.
Según un comunicado de prensa emitido por la Fiscalía General, la "información increíblemente sensible" era visible a través de una ventana ampliada en los sobres que contenían las cartas confidenciales.
Aetna había resuelto previamente una demanda por $17 millones en 2018, por la violación de datos que se produjo durante el verano de 2017. En total, se comprometió la información personal de casi 12.000 clientes asegurados por la empresa.
Según el Fiscal General, Aetna violó la ley estatal, así como la Ley de Confidencialidad de la Información Médica - Código de Salud y Seguridad, sección 120980.
El Sr. Becerra dijo en una declaración el 30 de enero:
"El estado del VIH de una persona es una información increíblemente sensible y la protección de esa información debe ser una prioridad máxima para toda la industria de la salud, ...Aetna violó la confianza del público al revelar la información médica privada y personal de los pacientes. Seguiremos exigiendo responsabilidades a estas empresas para evitar que se repita una violación tan grave de la privacidad."
Disposiciones de carácter judicial
El proveedor de correo de Aetna utilizó un sobre con una gran ventana transparente que mostraba el nombre, la dirección y el número de reclamación de las personas, así como las instrucciones relativas a la medicación contra el VIH.
El fiscal general dictó disposiciones cautelares en las que se estipulaba que la empresa modificaría sus procedimientos de envío por correo impreso de la información médica de los afiliados para incluir lo siguiente
-
Evaluar si es necesario incluir información médica en el envío;
-
Tomar medidas para garantizar que la información médica no sea visible para terceros a través de la ventana del sobre; o en el propio sobre antes de enviar cualquier correo;
-
Tomar medidas para confirmar que la información médica no es visible para terceros a través de la ventana del sobre; o en el propio sobre antes de enviar cualquier correo;
-
Elaborar materiales de formación y aplicar los requisitos de formación relativos al procedimiento de envío de información médica; y
-
Desarrollar y aplicar procedimientos para los litigios ("Procedimiento de Litigio") que puedan implicar a la Información Médica de los afiliados;
Otros requisitos del requerimiento estipulan que la empresa aplicará procedimientos que:
-
evitar la divulgación involuntaria de información médica a terceros cuando la información médica pueda ser utilizada en el litigio; un
-
formar al personal de litigios de Aetna y a los abogados litigantes contratados en relación con los requisitos de Aetna en virtud de la HIPAA y las leyes federales y estatales de privacidad aplicables.
Además, durante un período de 3 años, la empresa realizará una evaluación anual de los riesgos para la privacidad que aborde específicamente los envíos de correo a los miembros.
Durante los dos primeros años, Aetna contratará los servicios de un consultor independiente aprobado por el GC, y la empresa facilitará al GC un informe en el que se detalle el cumplimiento de la sentencia.
El Reportero del Área de la Bahía recibió un correo electrónico de Becerra en el que se indicaba que el acuerdo incluía una orden judicial para evitar nuevas infracciones.
El correo electrónico decía:
"Aetna está obligada a implantar y mantener procedimientos de envío específicos que preserven la confidencialidad de la información médica, a designar a un empleado responsable de la implantación y el mantenimiento del programa de envío, del cumplimiento de las leyes de privacidad federales y estatales, y de la gestión de los proveedores externos que manejen información médica, ...La compañía también está obligada a completar una evaluación anual de los riesgos para la privacidad en la que se evalúe el cumplimiento de los términos del acuerdo durante tres años."
El personal de Aetna "no prestaba atención"
Scott Schoettes, director del proyecto sobre el VIH del Fondo de Educación y Defensa Legal Lambda, dijo:
"Aetna reconoció rápidamente que había cometido un error y que éste suponía una violación de la privacidad de estas personas", "no creo que tardaran mucho en reconocer que habían metido la pata".
El Sr. Schoettes añadió que la violación de la privacidad se produjo porque los miembros del personal de Aetna no prestaron atención a lo que estaban haciendo...
"No se aseguraban de que la mano de obra con la que trabajaban reconociera la sensibilidad de la información que estaban proporcionando, que estaba sujeta a estas protecciones, y que tenían que asegurarse de que la forma en que difundían la información protegía esa información, ... Así que hubo una ruptura entre la aseguradora y el proveedor que enviaba el aviso por ellos. Creo que a veces no reconocen lo importante que es proteger la confidencialidad de la información. La ley está ahí para recordárselo".
Schoettes dijo que tiene la esperanza de que el acuerdo anime a otras empresas a ser más cuidadosas a la hora de revelar información confidencial de las personas.
Un portavoz de Aetna respondió por correo electrónico, diciendo que la compañía "a través de nuestros esfuerzos de divulgación, el programa de alivio inmediato, y los asentamientos en el último año" ha "trabajado para abordar el impacto potencial a los miembros después de este desafortunado incidente."
El portavoz Ethan Slavin añadió:
"Además, hemos puesto en marcha medidas diseñadas para garantizar que algo así no vuelva a ocurrir, como parte de nuestro compromiso con las mejores prácticas de protección de la información sanitaria sensible".
Fuentes y créditos: Oficina del Fiscal General de California, Reportero del Área de la Bahía, Sentencia definitiva y orden judicial permanente (documento completo)
¿Tiene algo que decir sobre este artículo? Agradecemos sus comentarios y opiniones.