Nuestro Aviso de prácticas de privacidad (el “Aviso”) detalla el compromiso de CareDx, Inc., incluidas sus entidades afiliadas cubiertas, como The Transplant Pharmacy, y sus agentes y empleados (en conjunto, “CareDx”, “nosotros” o “nos”) para proteger la privacidad de su información médica de carácter personal. Esta información se conoce como “información médica protegida” o “PHI” (por sus siglas en inglés: Protected Health Information), en virtud de la Ley de responsabilidad y transferibilidad de seguros médicos (Health Insurance Portability and Accountability Act, HIPAA) (según se define más adelante). La PHI incluye órdenes de pruebas de laboratorio, resultados de pruebas y recetas, así como información de seguros y facturación para los servicios de atención médica que prestamos.
Entendemos que la información médica sobre usted y su salud es personal, y estamos comprometidos a proteger esa información. Creamos un registro de las pruebas y los servicios que recibe de nosotros para brindarle atención de calidad y cumplir con determinados requisitos legales. Este Aviso se aplica a todos los registros de su atención médica generados por nosotros. Su médico personal puede tener políticas o avisos diferentes con respecto al uso que este hace de su PHI y a la divulgación de su PHI, creados en el consultorio o la clínica del médico. Le recomendamos que consulte esas otras políticas o avisos, no este Aviso, para comprender cómo procesa la PHI el consultorio o la clínica de su médico.
CareDx está obligado por ley a mantener la privacidad de su PHI y a proporcionarle este Aviso si lo solicita. Describe nuestras obligaciones legales, prácticas de privacidad y sus derechos como paciente, según lo determina la Ley de portabilidad y responsabilidad de los seguros médicos (Health Insurance Portability and Accountability Act, “HIPAA”) de 1996. En caso de una violación que involucre la PHI no resguardada, respetaremos la HIPAA para notificar a las personas afectadas.
Este Aviso describe diferentes maneras en que usamos o divulgamos su PHI. Para cada una de estas categorías de uso o divulgación, hemos proporcionado una descripción y un ejemplo más adelante, sin embargo, no todos los usos o divulgaciones para cada categoría se enumeran en este Aviso. Cualquier término en mayúscula que no se defina aquí tendrá el mismo significado según la definición de la HIPAA para ese término. En la medida permitida por la HIPAA, CareDx puede usar o divulgar su PHI, sin su consentimiento o autorización por escrito, para fines de tratamiento, pago u operaciones de atención médica. En la medida en que la HIPAA se aplique a las aplicaciones (o app) de CareDx o a las que usted descarga y acepta, este Aviso tiene validez; para aplicaciones que no sean PHI en CareDx, le solicitamos que consulte el aviso de privacidad, la política y/o los términos correspondientes que rigen esa aplicación. Usted deberá autorizar por escrito otros usos y divulgaciones de su PHI no descritos en este Aviso.
Sujeto a excepciones limitadas de la HIPAA, no usaremos ni divulgaremos su PHI para fines de “marketing” o “venta” de su PHI, a menos que usted haya firmado una autorización. Puede revocar una autorización en virtud de la HIPAA que firme en cualquier momento. Si revoca su autorización, ya no usaremos ni divulgaremos su PHI por los motivos establecidos en su autorización, excepto en la medida en que ya hayamos tomado medidas basadas en su autorización. Una vez que recibamos su revocación por escrito, solo entrará en vigencia para usos o divulgaciones futuros de PHI. Tenga en cuenta que no podemos deshacer ninguna divulgación de PHI que ya hayamos realizado en función de su autorización o cuando CareDx esté obligado por la ley aplicable a conservar su PHI. CareDx utiliza un registro médico electrónico (electronic medical record, “EMR”) y también participa en intercambios electrónicos de información médica con organizaciones de información médica. La ley nos permite usar y divulgar su información médica para los siguientes fines:
Podemos usar y divulgar su PHI con fines de tratamiento. CareDx proporciona pruebas de laboratorio para médicos y otros profesionales de la salud, y utilizamos su información en nuestro proceso de pruebas. Divulgamos su PHI a profesionales de atención médica autorizados que soliciten pruebas o necesiten acceso a los resultados de sus pruebas con fines de tratamiento. Otros ejemplos incluyen enviar recordatorios, programar una prueba de laboratorio solicitada, surtir sus recetas, comunicarse con un proveedor de servicio en el hogar o un proveedor externo de kits de prueba para ayudar a recolectar una muestra proveniente de usted y coordinar diferentes artículos y servicios que usted necesite. El tratamiento también puede incluir la divulgación de su PHI a personas no afiliadas a CareDx, como el médico que emite la receta, el centro de trasplantes y el laboratorio de remisión, familiares implicados en su atención u otras personas involucradas en la prestación de servicios que forman parte de sus pruebas y de su atención. El tratamiento también incluye coordinación y consultas con otros proveedores de servicios de salud relacionadas con su atención y derivaciones para atención médica de un proveedor de servicios de salud a otro.
Podemos usar y divulgar PHI sobre usted para facturar y cobrar el pago efectuado por usted, su compañía de seguros o un pagador externo. Por ejemplo, podemos divulgar su PHI a planes de salud u otros pagadores para determinar si usted está inscrito ante el pagador o es elegible para recibir beneficios de salud u obtener el pago de nuestros servicios. Si usted está asegurado por la póliza de seguro médico de otra persona (por ejemplo, padre/madre, cónyuge, pareja de la vida o excónyuge), también podemos enviar facturas al suscriptor cuya póliza cubre sus servicios de salud. También podemos proporcionar su PHI a sus otros proveedores para que puedan facturar sus servicios, como otros laboratorios que realizan pruebas para usted. La ley federal o estatal podría exigirnos obtener una autorización por escrito de su parte antes de divulgar determinada PHI especialmente protegida con fines de pago, y le pediremos que firme una autorización cuando sea necesario en virtud de la ley aplicable.
Podemos usar y divulgar su PHI para nuestras operaciones de atención médica, incluida la administración de casos, el servicio al cliente, la acreditación y otras actividades administrativas o de gestión. Por ejemplo, CareDx puede usar y divulgar su PHI para actividades que respalden la realización de controles de calidad, auditorías internas o el desarrollo de rangos de referencia para nuestras pruebas. Podemos usar su PHI para revisar nuestras pruebas y servicios y para evaluar el desempeño de nuestro personal, incluso la capacitación a nuestro personal. Podemos establecer bases de datos de PHI y otros datos con fines internos, como para revisión de calidad, evaluación de resultados y desarrollo de pautas y protocolos, que podemos usar y divulgar según lo permita la HIPAA. También podemos combinar su PHI con la PHI de otros proveedores de atención médica con fines internos, como decidir qué servicios adicionales debemos ofrecer, qué servicios no son necesarios y si determinados tratamientos nuevos son eficaces. Podemos eliminar identificadores sobre usted de esta información combinada para ayudar a proteger su privacidad.
Podemos enviarle posibles opciones de tratamiento, alternativas, o beneficios o servicios relacionados con la salud que puedan ser de su interés.
Podemos proporcionar su PHI a socios comerciales, que son otras compañías o personas que necesitan la información para prestarnos servicios o ayudarnos a prestarle servicios. Los socios comerciales tienen acuerdos con nosotros que les exigen mantener la privacidad y seguridad de su PHI. Por ejemplo, podemos proporcionar información a compañías que nos ayudan con la acreditación y facturación de nuestros servicios. También podemos utilizar una agencia de cobro externa para obtener el pago cuando sea necesario.
Podemos usar y divulgar su PHI según lo exijan las leyes federales, estatales o locales, incluidas las leyes que exigen la denuncia de abuso, negligencia o violencia doméstica. De acuerdo con la ley aplicable, podemos divulgar su PHI a su empleador si se nos contrata para realizar una evaluación relacionada con la vigilancia médica de su lugar de trabajo o para evaluar si tiene una enfermedad o lesión relacionada con el trabajo. Su empleador o la compañía le notificarán estas divulgaciones según lo exija la ley aplicable.
Podemos usar y divulgar su PHI, si es necesario, para prevenir o disminuir una amenaza grave para su salud y seguridad, para otra persona o para el público, o según sea necesario para que las fuerzas del orden público identifiquen o detengan a una persona. Nota: La información relacionada con el VIH, la información genética, los registros de abuso de alcohol y/o sustancias, los registros de salud mental y otra información de salud especialmente protegida podrán ampararse en algunas protecciones especiales de confidencialidad en virtud de la ley estatal y federal aplicable. La divulgación de estos tipos de registros estará sujeta a estas protecciones especiales, según corresponda.
Podemos proporcionar PHI a los funcionarios de las fuerzas del orden público según lo permita la HIPAA, por ejemplo, en respuesta a una solicitud administrativa, orden judicial, orden judicial, requerimiento de investigación o proceso legal similar, o para que los funcionarios identifiquen o localicen a un sospechoso, fugitivo, testigo esencial o persona desaparecida. También podemos divulgar la PHI de una persona a las agencias del orden público si consideramos justificadamente que una persona es víctima de abuso, negligencia, violencia doméstica; la divulgación es sobre una muerte que consideramos que puede ser el resultado de una acción penal; para denunciar un delito (incluso en nuestras instalaciones); o en circunstancias de emergencia para denunciar un delito o describir al perpetrador.
Podemos divulgar su PHI según sea necesario para cumplir con una orden judicial o administrativa, incluso en una demanda o conflicto en el que usted esté involucrado. Podemos divulgar su PHI en respuesta a una citación, solicitud de presentación de pruebas u otro proceso legal en el transcurso de un procedimiento judicial o administrativo, pero en general solo si se han empleado todos los medios posibles para informarle sobre la solicitud o para procurar/obtener una orden de protección para la información solicitada.
Podemos usar y divulgar su PHI con fines de investigación según lo permita la HIPAA. En algunas situaciones, el uso y la divulgación están permitidos sin su autorización, como cuando una junta de revisión institucional o una junta de privacidad ha revisado y aprobado la propuesta de investigación y los protocolos establecidos en un ensayo o estudio clínico, cuando usted nos ha autorizado dicha divulgación o cuando la información no lo identifica directamente. Por ejemplo, un proyecto de investigación puede implicar comparaciones de la salud y la recuperación de todos los pacientes que recibieron un medicamento en particular. Los proyectos de investigación están sujetos a un proceso de aprobación especial que equilibra las necesidades de investigación con la necesidad de privacidad del paciente. Cuando sea necesario, usted nos brindará una autorización por escrito antes de usar su información médica para la investigación. También podemos divulgar información sobre personas fallecidas a los investigadores en determinadas circunstancias. Podemos establecer bases de datos de PHI y otros datos con fines de investigación según lo permita la ley, que nosotros podremos usar y divulgar u otros podrán usar y divulgar con fines de investigación de acuerdo con la HIPAA, incluida la información que usted nos proporciona o que autoriza a otros a proporcionarnos. También podemos anonimizar la PHI que recibimos de usted o de otras personas mediante la eliminación de determinados identificadores. La información anonimizada ya no está sujeta a la HIPAA.
Según lo permita la HIPAA, podemos divulgar su PHI (incluso sin su autorización o consentimiento) para los siguientes fines o categorías:
Podemos divulgar la PHI pertinente a un familiar, amigo o cualquier otra persona que usted designe para que esa persona participe en su atención o en el pago relacionado con su atención. También podemos divulgar la PHI a aquellos que colaboran en los esfuerzos de ayuda en caso de desastre para que se pueda notificar a otros sobre su afección, estado y ubicación.
Podemos usar o divulgar su PHI para dar aviso o ayudar en la notificación a un familiar, un representante personal u otra persona responsable de su atención, sobre su ubicación, estado general o muerte. Si usted está disponible, le daremos la oportunidad de objetar estas divulgaciones y no las realizaremos si usted las objeta. Si no está disponible, determinaremos si una divulgación a su familia o amigos es lo mejor para usted, teniendo en cuenta las circunstancias y en función de nuestro criterio profesional.
Permitiremos que sus familiares y amigos actúen en su nombre para recoger recetas surtidas, suministros médicos y formas similares de PHI, cuando determinemos, a nuestro criterio profesional, que lo mejor para usted es realizar dichas divulgaciones.
Podemos comunicarnos con usted como parte de nuestros esfuerzos por recaudar fondos según lo permita la ley aplicable. Tiene derecho a excluirse de esas comunicaciones de recaudación de fondos.
Nota: a veces ocurren usos y divulgaciones incidentales de la PHI y no se consideran una violación de sus derechos. Los usos y divulgaciones incidentales son subproductos de usos o divulgaciones permitidos de otro modo que son de naturaleza limitada y no pueden evitarse razonablemente.
Cuando la ley estatal aplicable es más restrictiva que la ley federal, estamos obligados a seguir la ley estatal más restrictiva. Por ejemplo, la información genética, los registros de salud mental, los registros de abuso de alcohol y/o sustancias y otra PHI determinada pueden tener protecciones especiales en virtud de la ley estatal. La divulgación de estos tipos de registros puede estar sujeta a protecciones adicionales según corresponda a CareDx.
Tiene derecho a solicitar acceso a su PHI que tenemos sobre usted y que puede usarse para tomar decisiones sobre su atención médica. También tiene derecho a recibir los resultados de sus pruebas. Puede obtener un formulario para solicitar una copia de los resultados de sus pruebas completadas al llamar a Atención al cliente de CareDx al 1-888-255-6627 o enviar un correo electrónico al Equipo de privacidad de CareDx a privacy@caredx.com. Si se rechaza su solicitud de información (de acuerdo con la HIPAA), puede solicitar que la denegación se revise según lo permitido por la HIPAA. La HIPAA no proporciona una revisión para todas las denegaciones. También puede solicitar que CareDx transmita una copia de la PHI solicitada directamente a otra persona designada por usted, si su solicitud es por escrito, está firmada por usted e identifica claramente a la persona designada y a dónde se debe enviar la copia de la PHI. Si solicita una copia de su PHI, podremos aplicar un cargo por los costos de copiado y envío por correo de su PHI.
Tiene derecho a inspeccionar y copiar la PHI contenida en los registros de conformidad con la HIPAA, excepto:
Si existe un posible daño para usted u otras personas, podremos denegar una solicitud de acceso a la PHI. Si rechazamos una solicitud de acceso para este fin, usted tiene derecho a que se revise nuestra denegación de acuerdo con los requisitos de la ley aplicable.
Si considera que la PHI que tenemos sobre usted es incorrecta o está incompleta, puede solicitar por escrito una modificación a su PHI e indicar el motivo de su solicitud. Sin embargo, podemos rechazar la solicitud según lo permita la HIPAA (por ejemplo, si determinamos que la PHI es precisa y completa, no está disponible para su inspección según lo establecido anteriormente, no forma parte de sus registros médicos ni de facturación u otros registros utilizados para tomar decisiones sobre usted, o no creamos la PHI en cuestión [a menos que el creador de la PHI ya no esté disponible para actuar sobre la modificación solicitada]). Si rechazamos su solicitud de cambio de su PHI, le daremos una explicación por escrito del motivo de la denegación y, si corresponde, le brindaremos información adicional sobre las medidas posteriores que puede tomar. En todo caso, cualquier modificación acordada se incluirá como agregado a los registros ya existentes y no como reemplazo de estos.
Usted tiene derecho a solicitar por escrito y recibir una lista de determinadas divulgaciones de su PHI realizadas por CareDx durante un período específico dentro de los últimos seis años a partir de la fecha de su solicitud por escrito. En virtud de la HIPAA, esto generalmente no incluye divulgaciones realizadas con fines de tratamiento, pago u operaciones de atención médica, divulgaciones a usted, u otros fines determinados según se enumeran más adelante. La primera lista que solicite dentro de un período de 12 meses será gratuita. Para las listas adicionales podremos cobrarle los costos, pero se los notificaremos por anticipado. Usted puede optar por retirar o modificar su solicitud en ese momento antes de contraer algún gasto. Su derecho a solicitar un informe no se aplica a las divulgaciones que sean (i) incidentales a un uso o divulgación permitido o requerido por la ley aplicable; (ii) de conformidad con una autorización; (iii) para un centro para personas involucradas en su atención; (iv) para otros fines de notificación según lo dispuesto por la ley; (v) para fines de seguridad nacional o inteligencia según lo dispuesto por la ley; (vi) a instituciones correccionales o funcionarios encargados del cumplimiento de la ley según lo dispuesto por la ley; y (vii) que forman parte de un conjunto limitado de datos según lo dispuesto por la ley.
Puede solicitar por escrito que aceptemos restricciones sobre determinados usos y divulgaciones de su PHI para el tratamiento, el pago o las operaciones de atención médica. Esto incluye una solicitud para restringir (limitar) su PHI a alguien involucrado en su atención o pago. No estamos obligados a aceptar su solicitud, excepto las solicitudes para limitar las divulgaciones a su plan de salud con fines de pago u operaciones de atención médica si usted nos ha pagado la totalidad de ese artículo o servicio de su bolsillo y los usos o divulgaciones no son requeridos por ley.
Tiene derecho a solicitar por escrito que le enviemos su PHI por medios alternativos o a una dirección alternativa, y atenderemos las solicitudes razonables. Por ejemplo, puede solicitar que solo nos comuniquemos con usted en el trabajo.
Usted tiene derecho a obtener una copia impresa de este Aviso si lo solicita.
Puede escribirnos o enviarnos un correo electrónico con su solicitud específica, incluida la solicitud de un formulario para completar a fin de obtener una copia de los resultados de su prueba o ejercer cualquiera de los derechos de la HIPAA resumidos en este Aviso. Toda la correspondencia escrita debe enviarse al domicilio físico o a la dirección de correo electrónico que se indica más adelante. CareDx considerará su solicitud y le brindará una respuesta.
Si tiene alguna pregunta sobre este Aviso o si desea presentar una queja, envíenos un correo electrónico a privacy@caredx.com, llámenos al 1-888-255-6627 o escríbanos a la siguiente dirección:
CareDx, Inc.
Attention: Privacy Officer
8000 Marina Boulevard, 4th Floor
Brisbane, CA 94005
Si considera que se han violado sus derechos de privacidad, tiene derecho a presentar una queja ante nosotros. También tiene derecho a presentar una queja ante la Secretaría del Departamento de Salud y Servicios Humanos de los EE. UU., Oficina de Derechos Civiles. CareDx no tomará represalias ni tomará medidas contra usted ni cualquier persona por presentar una queja.
Nos reservamos el derecho a modificar los términos de este Aviso para que reflejen los cambios en nuestras prácticas de privacidad y para hacer que los nuevos términos y prácticas se apliquen a toda la PHI que mantenemos sobre usted, incluida la PHI creada o recibida antes de la fecha de entrada en vigencia de la revisión del Aviso. Este Aviso se encuentra en nuestro sitio web en caredx.com (vaya al pie de la página principal y haga clic en “Privacidad”). Debe revisar periódicamente nuestro sitio web para confirmar que está al tanto de esas actualizaciones. Hay una copia de este Aviso disponible a solicitud.
Fecha efectiva original: 29 de septiembre de 2014
Fecha de vigencia de la última revisión: 22 de junio de 2022