Arkansas Blue Cross and Blue Shield¹ y sus derechos con respecto a las API de Acceso para Pacientes

Todos los planes de salud en los Estados Unidos que ofrecen productos de Medicare Advantage y Medicare Advantage Parte D, incluida la familia de filiales de Arkansas Blue Cross and Blue Shield, deben brindarle acceso a información detallada sobre su historial de salud a través de una API (Interfaz de Programación de Aplicaciones) de Acceso para Pacientes, para aplicaciones de terceros que pueda adquirir para su teléfono inteligente, tableta, computadora u otro dispositivo similar.

La información disponible a través de una API de Acceso para Pacientes puede incluir información que recopilamos como administrador de su plan de salud (desde 1 de enero de 2016) y puede estar disponible mientras lo mantengamos en nuestros registros. La información, que puede estar limitada a su póliza actual, incluye lo siguiente:

• Reclamos y datos sobre servicios prestados e interacciones con proveedores de atención médica.
• Datos clínicos que recopilamos en el proceso de brindarle administración de casos, coordinación de atención u otros servicios.

Las reglas de la HIPAA (Ley de Portabilidad y Responsabilidad de Seguros Médicos) de 1996, que rigen sobre Arkansas Blue Cross y sus filiales como entidades cubiertas, y otras leyes de privacidad también rigen sobre nuestro portal en línea. Esta herramienta es mantenida por Arkansas Blue Cross, y tomamos precauciones en su diseño, seguridad y mantenimiento para salvaguardar su PHI (información de salud protegida).

Si elige una aplicación de terceros, es importante saber que la aplicación tendrá acceso a toda su información. Esto puede incluir información sobre el tratamiento de trastornos por consumo de sustancias, tratamiento de salud mental, estado serológico respecto al VIH u otra información privada.

A diferencia de nuestro portal en línea, los desarrolladores de aplicaciones de terceros podrían no estar sujetos a las reglas de la ley HIPAA y otras leyes de privacidad. En cambio, las políticas de privacidad de aplicaciones de terceros que pertenecen a organizaciones que no son entidades cubiertas por la HIPAA pueden simplemente describir limitaciones autoimpuestas sobre cómo usarán, divulgarán y (posiblemente) venderán información acerca de usted.

Lo que les pedimos a las aplicaciones de terceros que hagan

Arkansas Blue Cross solicita que los desarrolladores de aplicaciones de terceros:

• Tomen medidas para evitar exponer los sistemas de información de Arkansas Blue Cross y sus filiales a virus informáticos o malware que puedan poner en riesgo sus datos.
• Describan su entorno de seguridad interna para que Arkansas Blue Cross pueda evaluar si el desarrollador de la aplicación expondrá los sistemas informáticos de Arkansas Blue Cross a un nivel de riesgo poco razonable.
• Notifiquen a Arkansas Blue Cross de inmediato sobre cualquier infracción de seguridad que pueda afectar sus datos.²

Consideraciones de seguridad y privacidad respecto con a las aplicaciones de terceros

Claro está que cumpliremos sus deseos con respecto a una aplicación de terceros, incluso si esta no acepta cumplir los estándares solicitados. Sin embargo, si decide acceder a su información a través de una API de Acceso para Pacientes, debe revisar cuidadosamente la política de privacidad de cualquier aplicación que esté considerando usar para asegurarse de que se siente cómodo con lo que la aplicación hará con su información.

Los factores que puede considerar al seleccionar una aplicación incluyen:

• ¿Esta aplicación venderá mis datos por alguna razón?
• ¿Esta aplicación divulgará mis datos para fines como investigación o publicidad?
• ¿Cómo usará mis datos esta aplicación? ¿Con qué fines?
• ¿La aplicación me permitirá limitar cómo usa, divulga o vende mis datos?
• Si ya no quiero usar esta aplicación, o si ya no quiero que esta aplicación tenga acceso a mi información de salud, ¿puedo finalizar el acceso de la aplicación a mis datos? Si es así, ¿cuán difícil será finalizar el acceso?
• ¿Cuál es la política de la aplicación para borrar mis datos una vez que finalice el acceso? ¿Tengo que hacer algo más que borrar la aplicación de mi dispositivo?
• ¿Cómo me informará esta aplicación acerca de los cambios en sus prácticas de privacidad?
• ¿La aplicación recopilará datos no relacionados con la salud de mi dispositivo, como mi ubicación?
• ¿Qué medidas de seguridad usa esta aplicación para proteger mis datos?
• ¿Qué impacto podría tener en otras personas, como mis familiares, el hecho de compartir mis datos con esta aplicación?
• ¿La aplicación me permitirá tener acceso a mis datos y corregir imprecisiones? (Nota: La corrección de imprecisiones en los datos recopilados por la aplicación no necesariamente afectará las imprecisiones en la fuente de los datos).
• ¿La aplicación tiene un proceso para recopilar y responder a las quejas de los usuarios?

Si la política de privacidad de la aplicación no responde satisfactoriamente a estas preguntas, podría querer reconsiderar el uso de la aplicación para tener acceso a su información de salud. Su información de salud puede incluir información muy privada, por lo que debe tener cuidado de elegir una aplicación que use estándares estrictos de privacidad y seguridad para protegerla.

Entidades cubiertas y aplicación de la ley HIPAA

La OCR (Oficina de Derechos Civiles) del Departamento de Salud y Servicios Humanos de EE. UU. hace cumplir las normas en materia de notificación de incumplimiento, privacidad y seguridad de la ley HIPAA. La familia de filiales de Arkansas Blue Cross está sujeta a la ley HIPAA, al igual que la mayoría de los proveedores de atención médica (hospitales, médicos, clínicas, dentistas, etc.). Puede encontrar más información sobre las protecciones de la PHI, las entidades cubiertas por la ley HIPAA y sus derechos de privacidad de atención médica visitando https://www.hhs.gov/hipaa/for-individuals/index.html.

Para aprender más sobre cómo presentar una queja relacionada con la ley HIPAA ante la Oficina de Derechos Civiles del HHS, visite el sitio web del HHS. También puede presentar una queja ante su plan de salud comunicándose con la Oficina de Privacidad de Arkansas Blue Cross and Blue Shield, P.O. Box 3216, Little Rock, Arkansas 72201, llamando al teléfono 866-254-4001 o enviando un correo electrónico a la dirección: privacyofficeinquiries@arkbluecross.com.

Las aplicaciones y la protección de la privacidad

Un desarrollador de aplicaciones generalmente no estará sujeto a la ley HIPAA, a menos que estas se desarrollen bajo los auspicios de una aseguradora de salud o un proveedor de atención médica. Un desarrollador de aplicaciones que publica un aviso de privacidad debe cumplir los términos de ese aviso, pero la aplicación generalmente no está sujeta a otras leyes de privacidad. La ley de la FTC (Comisión Federal de Comercio) protege contra actos engañosos (como una aplicación que divulga datos personales en infracción de su aviso de privacidad). Una aplicación que infringe los términos de su aviso de privacidad está sujeta a la jurisdicción de la FTC. La FTC proporciona información sobre la privacidad y seguridad de las aplicaciones móviles para los consumidores en el sitio web de la FTC.

Si cree que una aplicación usó, divulgó o vendió su información de manera inapropiada, debe comunicarse con la FTC. Puede presentar una queja ante la FTC usando el asistente de quejas de la FTC.