Pryvii
Todos os artigos
Regulatory Updates
22 de fevereiro de 2026

Prazo da Parte 2 da HIPAA Perdido: O que Acontece com seus Registros de Transtorno por Uso de Substâncias Agora

O prazo de 16 de fevereiro de 2026 para a conformidade com a Parte 2 da HIPAA acabou de passar. Este artigo aborda o que os sites de saúde e entidades cobertas devem fazer imediatamente se não atualizaram seu Aviso de Práticas de Privacidade para registros de transtorno por uso de substâncias, incluindo etapas de remediação e riscos de penalidades.

Compartilhar:

O Relógio Marcou: Prazo da Parte 2 da HIPAA Passou — Aja Agora nos Registros de Transtorno por Uso de Substâncias

Se sua organização de saúde perdeu o prazo de 16 de fevereiro de 2026 para atualizar seu Aviso de Práticas de Privacidade (APP) para registros de transtorno por uso de substâncias (TUS), você não está sozinho — mas também não está isento de responsabilidade. O Departamento de Saúde e Serviços Humanos dos EUA (HHS) finalizou em 2024 emendas à 42 CFR Parte 2, alinhando as regras de confidencialidade de TUS mais estreitamente com a HIPAA, mantendo proteções reforçadas para esses registros sensíveis.1 2 3 A partir de hoje, 20 de fevereiro de 2026, o Escritório de Direitos Civis (OCR) do HHS começou a aceitar reclamações e a fazer cumprir violações sob uma estrutura unificada no estilo da HIPAA, incluindo penalidades monetárias civis, ações corretivas e até penalidades criminais em casos graves.4 5 Este artigo detalha os riscos imediatos aos seus registros de TUS, ações de remediação passo a passo e estratégias para minimizar a exposição.

Compreendendo o Prazo Perdido e seu Escopo

A data de conformidade de 16 de fevereiro de 2026 exigia que todas as entidades cobertas pela HIPAA — incluindo prestadores de serviços, planos de saúde e programas da Parte 2 (instalações de tratamento de TUS) — integrassem as proteções da Parte 2 em seus APPs se criassem, recebessem, mantivessem ou transmitissem registros de TUS.1 6 3 Mesmo entidades que não operam programas de TUS devem cumprir se lidarem com esses registros de pacientes.2 4

Essas mudanças decorrem das regras do HHS de 2024 emitidas pela Administração de Serviços de Abuso de Substâncias e Saúde Mental (SAMHSA) e OCR, harmonizando a Parte 2 com a Regra de Privacidade da HIPAA (45 CFR § 164) sob o mandato da Lei CARES.2 3 Mudanças importantes incluem permitir um único consentimento do paciente para divulgações de tratamento, pagamento e operações de saúde (TPO) — substituindo o modelo anterior de dois consentimentos da Parte 2 — ao mesmo tempo em que proíbe redisclausuras sem permissão específica.6 3

Quem é afetado?

  • Programas da Parte 2: Prestadores de tratamento de TUS que lidam diretamente com registros.
  • Entidades Cobertas: Qualquer organização regulamentada pela HIPAA que receba dados de TUS, mesmo indiretamente.
  • Associados de Negócios: Fornecedores que processam esses registros, que podem precisar de acordos atualizados.2

Perder o prazo não invalida seu APP existente, mas expõe você a fiscalização. O OCR agora investiga reclamações da Parte 2 junto com as da HIPAA, com violações de registros de TUS não seguros desencadeando notificações obrigatórias.1 4 5

Riscos Imediatos aos seus Registros de TUS

A não conformidade deixa os registros de TUS vulneráveis a uso indevido e escrutínio regulatório. Aqui está o que acontece agora:

  • Intensificação da Fiscalização: A partir de 16 de fevereiro de 2026, qualquer pessoa pode apresentar reclamações da Parte 2 ao OCR, alegando compartilhamento indevido de registros de TUS.4 5 O HHS anunciou um programa de fiscalização civil "agressivo", incluindo auditorias, investigações e penalidades alinhadas com os níveis da HIPAA (até $1,5 milhão por tipo de violação anualmente, além de planos corretivos).1 4

  • Exposição a Penalidades:

    Tipo de ViolaçãoConsequências PotenciaisExemplos do Contexto da Parte 2
    Penalidades Monetárias Civis$100–$50.000 por violação; teto de $1,5M/ano por tipoFalha em atualizar APP ou divulgação indevida de TPO sem consentimento.1 4
    Penalidades CriminaisMultas de até $250.000; prisão de até 10 anosDivulgação indevida sabendo que é proibida (por exemplo, em processos legais sem ordem judicial).3 4
    Notificações de ViolaçãoNotificação em 60 dias para indivíduos afetados, HHS; potenciais ações coletivasViolações de registros de TUS não seguros sem notificação ao paciente.1 2

  • Vulnerabilidades Operacionais: APPs desatualizados enganam pacientes sobre direitos, arriscando processos. Registros de TUS não podem ser usados em processos civis, criminais, administrativos ou legislativos sem consentimento por escrito ou ordem judicial (com intimação e notificação ao paciente).6 3 A redisclausura para fins não-TPO permanece restrita.

  • Erosão da Confiança do Paciente: Pacientes esperam linguagem clara no APP sobre proteções de TUS, incluindo direitos de optar por não participar de captação de recursos e acessar registros. A não conformidade sinaliza má gestão da privacidade.2

Ações recentes do HHS confirmam o escrutínio: o OCR começou a receber reclamações no dia do prazo, priorizando violações de TUS de alto risco.4 5

Remediação Passo a Passo: O que Fazer Imediatamente

Não entre em pânico — a remediação é direta e pode demonstrar boa fé aos reguladores. Priorize essas ações nos próximos 30 dias para limitar a responsabilidade.

1. Avalie seu Status Atual de Conformidade

  • Inventarie todos os sistemas, bancos de dados e fornecedores que lidam com registros de TUS (por exemplo, registros eletrônicos de saúde, módulos de saúde comportamental).3
  • Audite APPs: Verifique se descrevem deveres da Parte 2, como consentimentos únicos de TPO, requisitos de ordem judicial e nenhuma redisclausura sem permissão.2 6
  • Revise consentimentos, políticas e treinamentos para alinhamento.1

2. Atualize seu Aviso de Práticas de Privacidade (APP)

Revise de acordo com 45 CFR § 164.520 e requisitos da Parte 2. Adições essenciais incluem:2 6 3

  • Declaração de que registros de TUS (registros da Parte 2) seguem confidencialidade reforçada, utilizáveis/divulgáveis para TPO com consentimento único (exceto notas de aconselhamento).
  • Proibição de uso/divulgação em processos legais sem consentimento por escrito ou ordem judicial qualificada (deve incluir intimação e notificação ao paciente).
  • Deveres do programa da Parte 2: Práticas de privacidade para registros de TUS, notificações de violação, direito de revisar APP e cumprir os termos atuais.
  • Direitos do paciente: Acesso, emenda, contabilização de divulgações, opção de não participar de captação de recursos.

Distribua APPs atualizados aos pacientes na próxima interação; publique em sites e forneça eletronicamente onde for viável.1 7

3. Revise Políticas, Consentimentos e Acordos

  • Formulários de Consentimento: Implemente formulários de consentimento único de TPO; crie formulários separados para notas de aconselhamento de TUS.4
  • Políticas Internas: Atualize protocolos de divulgação — não é necessário segregar registros de TPO, mas restrinja compartilhamento não-TPO.3
  • Acordos de Associados de Negócios (AANs): Altere para cobrir proteções da Parte 2 se dados de TUS fluírem para fornecedores.2
  • Treinamento: Retreine funcionários sobre novas regras, enfatizando mudanças na fiscalização.1 4

Lista de Verificação de Início Rápido:

  • Confirme o manuseio de registros de TUS em toda a sua organização.
  • Elabore APP revisado com revisão legal/de conformidade.
  • Implemente treinamentos (meta: 100% da força de trabalho até 20 de março de 2026).
  • Teste processos de redisclausura.
  • Notifique pacientes sobre atualizações na próxima visita ou portal.

4. Operacionalize Direitos do Paciente e Resposta a Violações

Amplie direitos da HIPAA para registros da Parte 2: Forneça solicitações de acesso, restrições e contabilização de divulgações por 6 anos.1 Para violações, siga notificações da série 45 CFR § 164.400, especificando status de TUS.2

5. Prepare-se para Auditorias e Reclamações

Documente todas as etapas de remediação com carimbos de data/hora — isso constrói uma defesa se investigado. Realize uma auditoria simulada do OCR focando em fluxos de trabalho de TUS.4

Estratégias de Longo Prazo para Fortalecer a Conformidade

Além das correções, construa resiliência:

  • Integre a Parte 2 em avaliações anuais de risco da HIPAA.
  • Monitore orientação do HHS; o OCR pode emitir FAQs pós-prazo.5
  • Aproveite a tecnologia: Use sinalizadores de EHR para registros de TUS e rastreamento automatizado de consentimento.
  • Promova uma cultura de conformidade: Reciclagens trimestrais reduzem erros humanos.

Organizações que agem rapidamente após o prazo mitigaram penalidades em casos anteriores da HIPAA, mostrando correção proativa.

Principais Conclusões

  • Ação Urgente Necessária: Atualize APPs e políticas agora — a fiscalização do OCR está ativa, com riscos reais para registros de TUS.4 5
  • Foco nos Essenciais: Consentimentos únicos de TPO, restrições de processos legais e notificações claras ao paciente são não negociáveis.6 3
  • Risco vs. Recompensa: Custos de remediação são insignificantes em comparação com penalidades de $1,5M; esforços de boa fé podem levar a leniência.
  • Lição Mais Ampla: O alinhamento da Parte 2 com a HIPAA facilita a coordenação, mas exige vigilância sobre sensibilidades de TUS.1

A confiança de seus pacientes — e o futuro de sua organização — dependem de conformidade rápida. Comece hoje.

(Contagem de palavras: 1.128)

Sources

Footnotes

  1. myhrconcierge.com

  2. butzel.com

  3. swlaw.com

  4. quarles.com

  5. hhs.gov

  6. healthlawdiagnosis.com

  7. benefitslawadvisor.com

Compartilhar:

Artigos relacionados

Regulatory Updates

Connecticut Reduz Limite da Lei de Privacidade para 35.000: Seu Site Agora é Afetado

A partir de meados de 2026, a lei de privacidade de Connecticut expande drasticamente seu alcance de 100.000 para 35.000 clientes, além de novas restrições à venda de dados de menores. Sites menores que pensavam estar isentos agora podem precisar cumprir.

Regulatory Updates

Lei DROP da Califórnia começa em 1º de agosto: Automação de solicitações de exclusão

A nova lei californiana de exclusão de corretores de dados exige o processamento automatizado de solicitações de exclusão de consumidores a cada 45 dias a partir de agosto de 2026, com multas de US$200 por dia por solicitação não atendida. Proprietários de sites que recebem tráfego da Califórnia precisam entender agora os requisitos de propagação para fornecedores.

Regulatory Updates

Estrutura de Transferência de Dados EU-EUA: Como será a Conformidade em 2026

Com o mais recente acordo de transferência de dados entre a UE e os EUA enfrentando escrutínio e potencial invalidação, explique como os proprietários de sites podem se preparar para a incerteza e garantir fluxos de dados transfronteiriços legais.

Fique em conformidade com o Pryvii

Escaneie seu site em busca de problemas de conformidade com privacidade de acordo com 17 regulamentações incluindo GDPR, CCPA e UK GDPR.