Sé que es malo que una persona o supervisor de recursos humanos que no sea médico proporcione información personal o médica sobre un asociado, pero ¿es realmente una violación de la ley HIPAA en los EE. UU.?
Sé que HIPAA definitivamente prohíbe que el personal médico revele información médica a terceros.
La Ley de Portabilidad y Responsabilidad del Seguro Médico (también conocida como HIPAA) solo se aplica a lo que el Departamento de Servicios de Salud Humana denomina "entidades cubiertas", lo que significa:
"proveedores de atención médica" es bastante amplio e incluye:
Si un empleador se dedica a administrar un plan de salud para los empleados, es posible que deba cumplir con HIPAA como lo que se denomina una "entidad híbrida", que tiene algunas limitaciones en cuanto al alcance de las restricciones de HIPAA, pero a todos los efectos son obligados a cumplir con las mismas reglas.
Además, cualquier entidad que se considere un "socio comercial" de una entidad cubierta también debe cumplir con HIPAA, y para los fines de esto, un socio comercial es una entidad que "usa o crea información de salud protegida en nombre de una entidad cubierta mientras realiza ciertas funciones o actividades", por lo que, por ejemplo, un proveedor de TI que mantiene las bases de datos para un proveedor de atención médica también estaría cubierto por HIPAA.
Entonces, en su ejemplo, un empleador no médico no estaría violando HIPAA a menos que tuviera acceso a esa información de salud como resultado de operar un plan de salud de la empresa o similar.
david k