El compromiso directo con el paciente por parte de los fabricantes de ciencias de la vida está en su punto más álgido. No me refiero únicamente a la publicidad directa al consumidor. Los fabricantes están involucrando a los pacientes cada vez más a través de herramientas digitales, programas de apoyo, wearables, etc. Ya sea enviando recordatorios de medicación o analizando el comportamiento de los pacientes en tiempo real para proporcionarles recursos útiles, estas tecnologías tienen el potencial de mejorar las vidas de manera significativa.
Sin embargo, con este compromiso directo, surge un nuevo desarrollo al que no todas las organizaciones de ciencias de la vida están prestando suficiente atención. A medida que los fabricantes juegan un papel activo en el recorrido sanitario del paciente, los límites entre estos y los proveedores/pagadores de salud se vuelven cada vez más difusos.
En este artículo, analizaremos cómo la interacción digital con el paciente ha complicado la relación entre la industria de las ciencias de la vida y la HIPAA, a pesar de que históricamente la industria no ha estado regulada por esta ley. También profundizaremos en estrategias de privacidad y compromiso con el paciente que los fabricantes podrían aprender de las entidades tradicionalmente reguladas por la HIPAA.
Una breve visión general de la HIPAA
La HIPAA se introdujo en 1996 para mejorar la eficiencia y eficacia del sistema sanitario estadounidense. Desde entonces, ha evolucionado significativamente para dar cabida a la información de salud electrónica. La HIPAA establece diversas reglas para que las organizaciones sanitarias protejan la privacidad y seguridad de la información sensible de salud. La HIPAA se refiere a esta información como Información de Salud Protegida (PHI).
La HIPAA se aplica a los siguientes tipos de organizaciones, conocidas colectivamente como entidades cubiertas:
- Proveedores de atención médica (médicos, clínicas, farmacias, etc.)
- Planes de salud (seguros médicos, Medicare, Medicaid, etc.)
- Entidades de procesamiento de información de salud (clearinghouses)
La HIPAA también regula a los socios comerciales (business associates), que son individuos o entidades que tienen acceso a la PHI en nombre de, o brindan ciertos servicios a, una entidad cubierta.
La HIPAA requiere que las entidades cubiertas firmen un contrato con un Socio Comercial para garantizar que la PHI esté protegida. Estos contratos se conocen como Acuerdos de Socio Comercial (BAA).
Ciencias de la Vida y HIPAA – La visión tradicional
Los fabricantes de ciencias de la vida no encajan perfectamente en ninguna de las categorías listadas anteriormente. No se les consideraba entidades cubiertas ya que no participaban directamente en la prestación de atención sanitaria o sus operaciones.
Incluso después de la introducción de la HIPAA, diversos Programas de Apoyo al Paciente (PSP) ofrecidos por los fabricantes en la década de 2000 eran mayormente manuales, en papel, y requerían una autorización firmada por los pacientes para que los fabricantes pudieran acceder a la PHI. Dado que la autorización venía directamente de los pacientes, no era necesario que el proveedor del paciente firmara un BAA con el fabricante, ya que este último no accedía a la PHI en nombre del proveedor.
En otras palabras, los fabricantes no son ni entidades cubiertas ni socios comerciales en el sentido de la HIPAA. Sin embargo, esto era antes de la introducción del compromiso digital con el paciente.
Privacidad y compromiso con el paciente en ciencias de la vida
Las herramientas digitales han revolucionado la forma en que los fabricantes se relacionan con los pacientes. Anteriormente, las marcas estaban limitadas a interactuar a través de publicidad, centros de llamadas y proveedores. Con lo digital, los fabricantes pueden comprometer a los pacientes mediante aplicaciones propias, sitios web, etc.
Ya sea que el paciente busque servicios de telesalud, médicos presenciales, educación sobre enfermedades, envío de medicación o cualquier otra cosa, los fabricantes ahora tienen la capacidad de proporcionar recursos personalizados a los pacientes de manera digital.
Pero esto también significa que, donde antes las empresas solo podían acceder a información de salud limitada mediante procesos manuales, las plataformas digitales ahora permiten la recopilación de una amplia variedad de información de salud, como datos de comportamiento del paciente, historial de tratamientos, resultados de laboratorio, etc.
Cabe señalar que dichos servicios típicamente requieren autorización explícita del paciente para que se pueda acceder a su información de salud.
Por qué se necesita un nuevo enfoque sobre la HIPAA en ciencias de la vida
Si los pacientes autorizan explícitamente la recolección de información de salud sensible para obtener servicios de apoyo, y si la industria de ciencias de la vida típicamente no está regulada por la HIPAA, ¿por qué debería importarles a los fabricantes?
En mi opinión, la respuesta a esta pregunta tiene dos facetas:
- Los fabricantes están desempeñando un papel más activo en la coordinación de la atención y el compromiso con el paciente a través de plataformas sanitarias digitales avanzadas y programas de compromiso con el paciente.
- Los pacientes no siempre entienden las responsabilidades de los diversos actores involucrados.
No podemos predecir si la industria de las ciencias de la vida será realmente regulada por la HIPAA algún día, pero una cosa parece clara. Los avances en tecnologías digitales e IA solo difuminarán aún más la línea entre fabricantes y proveedores.
HIPAA vs. regulaciones de la FTC y estatales
Una réplica común que escucho de las farmacéuticas es que la HIPAA no se aplica a ellas, y que su principal preocupación son las regulaciones de la FTC y estatales.
Los pacientes no siempre tienen claro las obligaciones de privacidad de proveedores, pagadores y fabricantes. Por ejemplo, la personalización anónima de sitios web que involucra condiciones médicas sensibles y seguimientos por correo electrónico con consentimiento podrían ser permitidos para las empresas de ciencias de la vida si cumplen con las regulaciones de la FTC y estatales sobre consentimiento, opciones de exclusión, divulgación, etc. Sin embargo, si el paciente percibe estas prácticas como demasiado intrusivas, las empresas arriesgan que su marca se vea empañada incluso si no se infringen las leyes de la FTC o estatales.
El cumplimiento de las regulaciones de la FTC y las leyes estatales no siempre garantiza la satisfacción del paciente. La insatisfacción del paciente puede llevar a un daño significativo a la marca. Dada la creciente escrutinio que enfrenta la industria, los fabricantes solo se beneficiarían al pensar como entidades reguladas por la HIPAA cuando interactúan con pacientes.
Las entidades tradicionalmente reguladas por la HIPAA tienden a usar un enfoque más seguro, como requerir que el visitante inicie sesión en un portal del paciente antes de mostrarle contenido personalizado, o asegurar que las comunicaciones por correo electrónico sean genéricas/neutrales en lugar de mencionar condiciones médicas específicas.
Piensa como una entidad regulada por la HIPAA incluso si no lo eres (aún)
Aquí hay algunos consejos prácticos para las organizaciones de ciencias de la vida que buscan adoptar una mentalidad de cumplimiento de la HIPAA y privacidad primero:
- Ve más allá de las obligaciones legales – Evita la tentación de centrarte solo en las regulaciones de la FTC y estatales. El cumplimiento por sí solo no siempre equivale a confianza en la marca.
- Piensa en PHI, no en datos del paciente – Si recopilas datos de salud sensibles o potencialmente sensibles, trátalos como PHI con los controles de seguridad apropiados.
- Verifica la identidad del paciente – No asumas la identidad del paciente. Usa inicios de sesión seguros cuando el contenido sea sensible.
- Acuerdos de Socio Comercial (BAA) – Considera pedir a proveedores y partners que firmen un contrato similar a un BAA antes de compartir PHI con ellos. Si un proveedor se niega a firmar un BAA, considera a competidores que sí estén dispuestos.
- El consentimiento debe ser explícito y granular – En cuanto al consentimiento del paciente, nunca asumas que lo tienes y nunca lo hagas demasiado amplio.
- Involucra a expertos en privacidad desde el principio – Involucra a los equipos de privacidad lo antes posible. No deberías tener que adaptar tus herramientas digitales para la privacidad a posteriori.
- Gana control sobre tu stack tecnológico – Invierte en plataformas de datos que te ayuden a recopilar, gestionar y compartir datos con la máxima flexibilidad. La capacidad de desactivar el seguimiento web de proveedores no confiables y la capacidad de anonimizar la PHI antes de compartirla son imprescindibles.
Estas prácticas ayudarían a future-proof tu estrategia de privacidad a medida que cambian las regulaciones, crearían responsabilidad entre proveedores y partners, y en última instancia aumentarían la confianza de la marca entre los pacientes.
Aclaración del autor: Las opiniones en este artículo son propias y no representan las views de mi empleador.
Foto: Dzmitry Skazau, Getty Images
Nirmal Vemanna es Especialista Principal de Producto, Healthcare y Ciencias de la Vida en Tealium, una empresa de plataforma de datos de clientes. En su rol actual, Nirmal está a cargo de la estrategia de producto y desarrollo de plataformas de datos y herramientas de análisis para el vertical de healthcare y ciencias de la vida.
Bajo el liderazgo de Nirmal, Tealium lanzó la primera plataforma de orquestación de datos centrada en la privacidad de la industria, que permite a las organizaciones de healthcare y ciencias de la vida recopilar, analizar y orquestar datos de pacientes y médicos en todo el ecosistema de compromiso con el cliente en tiempo real. Nirmal tiene más de 12 años de experiencia en la industria de healthcare y ciencias de la vida. Ha trabajado en líderes de la industria como Pfizer, GlaxoSmithKline, Merck e IQVIA construyendo plataformas de datos y herramientas de análisis de vanguardia para ayudar en el descubrimiento de fármacos, la comercialización de medicamentos y el compromiso con el cliente.
Esta publicación aparece a través del programa MedCity Influencers. Cualquier persona puede publicar su perspectiva sobre negocios e innovación en healthcare en MedCity News a través de MedCity Influencers. Haz clic aquí para saber cómo.