El año pasado, más de 30 millones de adultos estadounidenses creían tener un problema de uso de sustancias, mientras que uno de cada cinco jóvenes que sufrieron un episodio depresivo mayor también luchaban contra el trastorno por uso de sustancias (TUS), según una encuesta de SAMHSA.
Pero hasta hace poco, las regulaciones que gobernaban si y cómo los datos de TUS cubiertos por el tratamiento de la Parte 2 podían ser compartidos con otros proveedores venían cargadas con una gruesa capa de carga administrativa, especialmente cuando se trataba de obtener el consentimiento del paciente. Este obstáculo limitaba la capacidad de coordinar cuidados y servicios con cuidado y dejaba a algunos proveedores en la oscuridad respecto a las necesidades de salud completas de sus pacientes.
Ahora, una disposición finalizada por el Departamento de Salud y Servicios Humanos (HHS) de EE. UU. a principios de este año refuerza las protecciones de privacidad en torno a estos datos de TUS mientras facilita la integración de estos datos con los registros médicos de los pacientes cuando los pacientes proporcionan un consentimiento informado. La regla final, “Confidencialidad de los Registros de Pacientes con Trastorno por Uso de Sustancias (TUS) en la Parte 2 del 42 CFR”, o más simplemente, “Parte 2”, se alinea más estrechamente con HIPAA una vez que un paciente consiente en compartir su información.
Es un movimiento que ayuda a hacer esta información más ampliamente disponible para los proveedores y amplía las instancias permitidas de intercambio de información para que estos datos puedan incorporarse mejor en la atención general de un paciente. Para los líderes de la salud, sin embargo, presenta una serie de nuevas consideraciones sobre cómo gestionar eficazmente el consentimiento del paciente para lograr los objetivos ambiciosos de la regla final y las tecnologías faltantes para hacerlo.
Entendiendo la provisión de la Parte 2
Quizás el cambio más grande en la regulación revisada de la Parte 2, que se finalizó en abril de 2024, es que permite a los pacientes proporcionar un consentimiento único para compartir información de TUS regulada por la Parte 2 para fines de tratamiento, pago y operaciones de salud. Este consentimiento es válido siempre que el paciente lo desee, incluido no tener una fecha de caducidad, aunque los pacientes pueden revocar su consentimiento por escrito en cualquier momento.
Bajo la regla final de la Parte 2, un formulario de consentimiento firmado es todo lo que se necesita para compartir registros con socios de atención pasados, actuales y futuros a menos que el paciente cambie o revoque esta autorización. Anteriormente, cada divulgación requería el consentimiento por escrito del paciente, y los registros no podían ser divulgados más allá de lo permitido por las regulaciones. Además, la versión anterior de la Parte 2 no permitía a los pacientes consentir generalmente a que sus datos sean compartidos, a menos que fuera un consentimiento general para compartir con los proveedores de tratamiento. Prácticamente, esta restricción significaba que un paciente y un proveedor tenían que completar un consentimiento cada vez que un paciente quería compartir información con pagadores, coordinadores de atención o cualquier persona que no fuera un proveedor de tratamiento.
Si bien la regla final de la Parte 2 simplifica los procesos para los pacientes, hay mucho que los líderes de la salud deben considerar para determinar cómo proteger categorías de información sensible como los registros relacionados con la salud conductual y el diagnóstico y tratamiento de TUS que están cubiertos por la Parte 2.
Por ejemplo, está el asunto de cómo comunicar este cambio tanto a los pacientes como al personal clínico. Ya estamos viendo mucha información errónea relacionada con la regla de la Parte 2, como la creencia de que el proceso para compartir registros de TUS cubiertos por la Parte 2 es “como HIPAA ahora”. No es exactamente como HIPAA, no cuando todavía hay un requisito de obtener un consentimiento del paciente informado por separado para permitir que las entidades cubiertas por HIPAA compartan estos registros específicos.
En segundo lugar, y al igual que la Regla de Privacidad de HIPAA para la psicoterapia, las notas de las sesiones de asesoramiento de TUS deben manejarse de manera diferente. Para los líderes, esto plantea la pregunta tecnológica: “¿Cómo vamos a separar las notas de terapia de otros datos en el expediente médico de TUS de un paciente para asegurar que estas notas no se divulguen accidentalmente?”
También está el asunto de cómo implementar los consentimientos informados revisados de CFR 42 Parte 2 a los pacientes antes de que la regla final entre en vigencia el 16 de febrero de 2026. Los proveedores pueden tener consentimientos en archivo, pero es probable que estos consentimientos no permitan compartir para todos los propósitos de tratamiento, pago y operaciones, lo que significa que los proveedores tendrían que recopilar nuevos consentimientos para este tipo de intercambio de datos.
Además, debido a que se permite a los pacientes revocar los consentimientos, los tecnólogos y otros líderes deben continuar rastreando estos datos incluso una vez que se haya proporcionado el consentimiento. Un paciente puede decidir no consentir más, y los tecnólogos tendrían que dejar de compartir estos datos dentro de sus sistemas.
Acciones clave para los proveedores
Hay mucho en juego cuando se trata de implementar la regla final de la Parte 2, en particular, la confianza del paciente. A medida que se amplían las instancias permitidas para el intercambio de datos de TUS, si los proveedores no se adhieren a las pautas para compartir datos, entonces todo el trabajo que se ha dedicado a revisar esta regulación habrá sido en vano. Pero el camino hacia el cumplimiento no tiene por qué ser abrumador. Aquí hay tres pasos esenciales para los líderes de la salud en la navegación del panorama de la Parte 2 que pronto será.
Determinar cómo comunicar a los pacientes el valor de autorizar el consentimiento. Los datos relacionados con el diagnóstico y tratamiento de TUS son altamente sensibles, y es natural que los pacientes teman que podrían ser estigmatizados por otros profesionales de la salud y agencias de servicios sociales si se compartieran. Por eso es importante comunicar a los pacientes no solo cómo se utilizarán los datos, para asegurar que reciban los servicios que necesitan más rápido y para la provisión de atención integral de toda la persona, sino también que en última instancia están en control de sus datos. Enfatice que los pacientes tienen derecho a saber a quién se divulga su información y que pueden cambiar o revocar su consentimiento en cualquier momento.
Evaluar cómo se mantienen los consentimientos existentes de la Parte 2 y cómo resisten bajo la regla final revisada de la Parte 2. Para casos en los que los pacientes ya han dado su consentimiento informado, es importante que se firmen nuevos consentimientos para reflejar la introducción de la revisión de la Parte 2 para permitir la divulgación para pago y operaciones además del tratamiento. A partir de ahí, las organizaciones tendrán que hacer un seguimiento de qué pacientes que previamente dieron su consentimiento han firmado el nuevo acuerdo y cuáles no y asegurarse de que aquellos que solo han consentido en compartir sus datos para fines de tratamiento no se estén divulgando para otros usos recién permitidos. Si su organización participa con otros servicios de intercambio de datos e interoperabilidad, como un intercambio de información de salud (HIE), ahora es el momento de evaluar los planes para incorporar los diversos tipos de consentimiento antes de que la regla final entre en vigencia a principios de 2026.
Auditar sus capacidades tecnológicas para cumplir con la Parte 2. Aunque el intercambio de datos probablemente será más fácil bajo la nueva regla, los datos aún deben etiquetarse dentro de un sistema para que estos datos continúen siguiendo las reglas de la Parte 2, incluida la posibilidad de que los pacientes revocen su consentimiento. Con una serie de regulaciones estatales y federales en evolución relacionadas con los registros médicos de TUS, la capacidad de manejar el consentimiento y el análisis de datos seguirá siendo un desafío continuo en todo el sector de la salud. Con poco más de un año antes de que entre en vigencia la regla final, ahora es el momento de evaluar las capacidades de interoperabilidad y gestión de datos de su organización y sumergirse en el trabajo de cumplir con la regla final de la Parte 2 para allanar el camino para una implementación fluida.
Al tomar medidas para planificar la nueva regulación de la Parte 2, los líderes de la salud pueden ganar una ventaja en el compromiso de los pacientes y sus equipos clínicos e informáticos y socios en este esfuerzo. Esa es una receta para la confianza en la protección de datos sensibles para todos.