La Ley de Portabilidad y Responsabilidad del Seguro de Salud (HIPAA, por sus siglas en inglés) incluye procedimientos estandarizados para proteger los registros de salud. La Regla de privacidad de HIPAA trata cómo se puede usar la información y los pasos que deben tomar las entidades cubiertas para garantizar la confidencialidad. Como parte del problema de privacidad, la ley identifica métodos desechables aceptables para información personal.
Periodo de retención
HIPAA no ordena por cuánto tiempo se deben conservar los registros de un paciente. Las leyes de cada estado rigen el período de retención de registros médicos. Sin embargo, la regla de privacidad de HIPAA se aplica durante todo el período de retención hasta que los registros se hayan destruido correctamente.
Destrucción de registros en papel
Los registros en papel incluyen archivos médicos, frascos con receta con el nombre del paciente y las etiquetas de identificación o pulseras. Si el público o personal no autorizado puede acceder a un basurero, bote de basura o recipiente de reciclaje, toda la información protegida debe ser triturada o, de otro modo, indescifrable e ilegible antes de colocarla en el contenedor. El uso de un proveedor externo para destruir los registros es aceptable si los registros están protegidos hasta que el proveedor los recoja. Si está justificado por el tipo y el tamaño del proveedor de atención médica, un contenedor de basura cerrado al que solo pueden acceder aquellos con la autoridad para hacerlo puede ser utilizado para su eliminación.
Destrucción de datos electrónicos.
La Regla de privacidad de HIPAA exige que los datos grabados en medios electrónicos puedan sobrescribirse con información que no sea de naturaleza sensible o que estén expuestos a un campo magnético con suficiente fuerza para interrumpir los datos registrados. El proveedor también puede destruir físicamente los discos o cintas fundiéndolos, triturándolos, incinerándolos o pulverizándolos. Solo después de que los medios sean ilegibles, dichos medios se pueden colocar en un contenedor de basura o papelera accesible. Las cintas, los discos y las computadoras pueden reutilizarse si toda la información protegida se elimina de los medios, el hardware o el software que contenía los datos.
Destrucción de datos en poder del personal de campo
Si se proporcionan registros de salud o información al personal externo para que los utilicen en el desempeño de sus funciones, las reglas para la eliminación adecuada aún se aplican. Los empleados pueden destruir la información en el campo o devolverla al lugar de trabajo del empleador para su destrucción.