Pryvii
Todos los artículos
Regulatory Updates
22 de febrero de 2026

Se ha superado el plazo de la Parte 2 de HIPAA: ¿Qué sucede ahora con sus registros de SUD?

El plazo del 16 de febrero de 2026 para el cumplimiento de la Parte 2 de HIPAA ya ha pasado. Esta publicación cubre qué deben hacer inmediatamente los sitios web de atención médica y las entidades cubiertas si no han actualizado su Aviso de Prácticas de Privacidad para registros de trastornos por uso de sustancias, incluyendo pasos de remediación y riesgos de penalización.

Compartir:

El reloj ha marcado: Se ha superado el plazo de la Parte 2 de HIPAA—Actúe ahora sobre los registros de SUD

Si su organización de atención médica no cumplió con el plazo del 16 de febrero de 2026 para actualizar su Aviso de Prácticas de Privacidad (NPP) para registros de trastornos por uso de sustancias (SUD), no está solo, pero tampoco está exento de responsabilidad. El Departamento de Salud y Servicios Humanos de EE. UU. (HHS) finalizó enmiendas a la 42 CFR Parte 2 en 2024, alineando las reglas de confidencialidad de SUD más estrechamente con HIPAA mientras mantiene protecciones mejoradas para estos registros sensibles.1 2 3 A partir de hoy, 20 de febrero de 2026, la Oficina de Derechos Civiles (OCR) del HHS ha comenzado a aceptar quejas y hacer cumplir las violaciones bajo un marco unificado de estilo HIPAA, incluyendo sanciones monetarias civiles, acciones correctivas y hasta sanciones penales en casos graves.4 5 Esta publicación desglosa los riesgos inmediatos para sus registros de SUD, acciones de remediación paso a paso y estrategias para minimizar la exposición.

Comprender el plazo superado y su alcance

La fecha de cumplimiento del 16 de febrero de 2026 requirió que todas las entidades cubiertas por HIPAA—incluyendo proveedores, planes de salud y programas de la Parte 2 (instalaciones de tratamiento de SUD)—integraran las protecciones de la Parte 2 en sus NPP si crean, reciben, mantienen o transmiten registros de SUD.1 6 3 Incluso las entidades que no operan programas de SUD deben cumplir si manejan estos registros de pacientes.2 4

Estos cambios se derivan de las reglas del HHS de 2024 emitidas por la Administración de Servicios de Abuso de Sustancias y Salud Mental (SAMHSA) y OCR, armonizando la Parte 2 con la Regla de Privacidad de HIPAA (45 CFR § 164) bajo el mandato de la Ley CARES.2 3 Los cambios clave incluyen permitir un solo consentimiento del paciente para divulgaciones de tratamiento, pago y operaciones de atención médica (TPO)—reemplazando el modelo de dos consentimientos anterior de la Parte 2—mientras prohíbe las redisposiciones sin permiso específico.6 3

¿Quién se ve afectado?

  • Programas de la Parte 2: Proveedores de tratamiento de SUD que manejan directamente los registros.
  • Entidades cubiertas: Cualquier organización regulada por HIPAA que reciba datos de SUD, incluso indirectamente.
  • Asociados comerciales: Proveedores que procesan estos registros, que pueden necesitar acuerdos actualizados.2

No cumplir con el plazo no invalida su NPP existente, pero lo expone a la aplicación de la ley. La OCR ahora investiga quejas de la Parte 2 junto con las de HIPAA, con infracciones de registros de SUD no seguros que desencadenan notificaciones obligatorias.1 4 5

Riesgos inmediatos para sus registros de SUD

El incumplimiento deja los registros de SUD vulnerables al uso indebido y al escrutinio regulatorio. Esto es lo que sucede ahora:

  • Intensificación de la aplicación: A partir del 16 de febrero de 2026, cualquier persona puede presentar quejas de la Parte 2 con la OCR, alegando la divulgación indebida de registros de SUD.4 5 El HHS anunció un programa de aplicación civil "agresivo", incluyendo auditorías, investigaciones y sanciones alineadas con los niveles de HIPAA (hasta $1.5 millones por tipo de violación anualmente, más planes correctivos).1 4

  • Exposición a sanciones:

    Tipo de violaciónConsecuencias potencialesEjemplos del contexto de la Parte 2
    Sanciones monetarias civiles$100–$50,000 por violación; limitadas a $1.5M/año por tipoNo actualizar NPP o divulgación indebida de TPO sin consentimiento.1 4
    Sanciones penalesMultas de hasta $250,000; prisión de hasta 10 añosDivulgación indebida a sabiendas de que está prohibida (por ejemplo, en procedimientos legales sin orden judicial).3 4
    Notificaciones de infraccionesNotificación de 60 días a los individuos afectados, HHS; posibles acciones colectivasInfracciones de registros de SUD no seguros sin notificación al paciente.1 2

  • Vulnerabilidades operativas: Los NPP desactualizados engañan a los pacientes sobre sus derechos, lo que arriesga demandas. Los registros de SUD no se pueden utilizar en procedimientos civiles, penales, administrativos o legislativos sin consentimiento por escrito o una orden judicial (con citación y notificación al paciente).6 3 La redisposición para fines distintos de TPO sigue estando restringida.

  • Erosión de la confianza del paciente: Los pacientes esperan un lenguaje claro en el NPP sobre las protecciones de SUD, incluyendo derechos para optar por no participar en la recaudación de fondos y acceder a los registros. El incumplimiento señala una mala gestión de la privacidad.2

Las acciones recientes del HHS confirman el escrutinio: la OCR comenzó a recibir quejas el día del plazo, dando prioridad a las infracciones de SUD de alto riesgo.4 5

Remediación paso a paso: Qué hacer inmediatamente

No entre en pánico—la remediación es sencilla y puede demostrar buena fe a los reguladores. Priorice estas acciones dentro de los próximos 30 días para limitar la responsabilidad.

1. Evalúe su estado actual de cumplimiento

  • Inventar todos los sistemas, bases de datos y proveedores que manejan registros de SUD (por ejemplo, EHR, módulos de salud conductual).3
  • Auditar NPP: Verificar si describen los deberes de la Parte 2, como consentimientos únicos de TPO, requisitos de orden judicial y no redisposición sin permiso.2 6
  • Revisar consentimientos, políticas y capacitaciones para su alineación.1

2. Actualice su Aviso de Prácticas de Privacidad (NPP)

Revisar según 45 CFR § 164.520 y los requisitos de la Parte 2. Las adiciones esenciales incluyen:2 6 3

  • Declaración de que los registros de SUD (registros de la Parte 2) siguen una confidencialidad mejorada, utilizables/divulgables para TPO con un solo consentimiento (excepto notas de asesoramiento).
  • Prohibición de uso/divulgación en procedimientos legales sin consentimiento por escrito o orden judicial calificada (debe incluir citación y notificación al paciente).
  • Deberes del programa de la Parte 2: Prácticas de privacidad para registros de SUD, notificaciones de infracciones, derecho a revisar NPP y cumplir con los términos actuales.
  • Derechos del paciente: Acceso, enmienda, contabilidad de divulgaciones, opción de no participar en la recaudación de fondos.

Distribuir NPP actualizados a los pacientes en las próximas interacciones; publicarlos en sitios web y proporcionar electrónicamente cuando sea factible.1 7

3. Revisar políticas, consentimientos y acuerdos

  • Formularios de consentimiento: Implementar formularios de consentimiento único de TPO; crear otros separados para notas de asesoramiento de SUD.4
  • Políticas internas: Actualizar protocolos de divulgación—no se necesita segregación para registros de TPO, pero restringir la divulgación no TPO.3
  • Acuerdos de asociados comerciales (BAA): Enmendar para cubrir las protecciones de la Parte 2 si los datos de SUD fluyen a proveedores.2
  • Capacitación: Recapacitar al personal sobre las nuevas reglas, enfatizando los cambios en la aplicación.1 4

Lista de verificación de inicio rápido:

  • Confirmar el manejo de registros de SUD en toda su organización.
  • Redactar NPP revisado con revisión legal/de cumplimiento.
  • Implementar capacitaciones (objetivo: 100% de la fuerza laboral para el 20 de marzo de 2026).
  • Probar procesos de redisposición.
  • Notificar a los pacientes de las actualizaciones en la próxima visita o portal.

4. Operacionalizar los derechos de los pacientes y la respuesta a infracciones

Ampliar los derechos de HIPAA a los registros de la Parte 2: Proporcionar solicitudes de acceso, restricciones y contabilidad de divulgaciones de 6 años.1 Para infracciones, seguir las notificaciones de la serie 45 CFR § 164.400, especificando el estado de SUD.2

5. Prepararse para auditorías y quejas

Documentar todos los pasos de remediación con marcas de tiempo—esto construye una defensa si se investiga. Realizar una auditoría simulada de OCR centrada en los flujos de trabajo de SUD.4

Estrategias a largo plazo para fortalecer el cumplimiento

Más allá de las correcciones, construir resiliencia:

  • Integrar la Parte 2 en las evaluaciones anuales de riesgos de HIPAA.
  • Monitorear la guía del HHS; la OCR puede emitir preguntas frecuentes después del plazo.5
  • Aprovechar la tecnología: Utilizar banderas de EHR para registros de SUD y seguimiento automatizado de consentimiento.
  • Fomentar una cultura de cumplimiento: Refrescantes trimestrales reducen el error humano.

Las organizaciones que actúan rápidamente después del plazo han mitigado sanciones en casos anteriores de HIPAA al mostrar corrección proactiva.

Conclusiones clave

  • Acción urgente requerida: Actualizar NPP y políticas ahora—la aplicación de la OCR está en vivo, con riesgos reales para los registros de SUD.4 5
  • Enfoque en lo esencial: Consentimientos únicos de TPO, restricciones de procedimientos legales y notificaciones claras al paciente son innegociables.6 3
  • Riesgo vs. recompensa: Los costos de remediación palidecen frente a sanciones de $1.5M; los esfuerzos de buena fe pueden llevar a la indulgencia.
  • Lección más amplia: La alineación de la Parte 2 con HIPAA facilita la coordinación pero exige vigilancia sobre las sensibilidades de SUD.1

La confianza de sus pacientes—y el futuro de su organización—dependen de un cumplimiento rápido. Comience hoy.

(Recuento de palabras: 1,128)

Sources

Footnotes

  1. myhrconcierge.com

  2. butzel.com

  3. swlaw.com

  4. quarles.com

  5. hhs.gov

  6. healthlawdiagnosis.com

  7. benefitslawadvisor.com

Compartir:

Artículos relacionados

Regulatory Updates

Connecticut reduce el umbral de la ley de privacidad a 35,000: Ahora se aplica a tu sitio

A partir de mediados de 2026, la ley de privacidad de Connecticut amplía drásticamente su alcance de 100,000 a 35,000 clientes, además de nuevas restricciones en la venta de datos de menores. Los sitios web más pequeños que pensaban estar exentos ahora pueden necesitar cumplir.

Regulatory Updates

La Ley DROP de California entra en vigor el 1 de agosto: Automatización de solicitudes de eliminación

La nueva ley de eliminación de datos de intermediarios de California requiere el procesamiento automatizado de solicitudes de eliminación de consumidores cada 45 días a partir de agosto de 2026, con multas de $200/día por solicitud no atendida. Los propietarios de sitios web que manejan tráfico de California deben comprender los requisitos de propagación de proveedores ahora.

Regulatory Updates

Marco de Transferencia de Datos UE-EE.UU.: Cómo es el Cumplimiento en 2026

Con el último acuerdo de transferencia de datos entre la UE y EE.UU. bajo escrutinio y potencial invalidación, explicar cómo los propietarios de sitios web pueden prepararse para la incertidumbre y garantizar flujos de datos transfronterizos legales.

Mantente conforme con Pryvii

Escanea tu sitio web en busca de problemas de cumplimiento de privacidad según 17 regulaciones incluyendo GDPR, CCPA y UK GDPR.