Aviso de Privacidad y Confidencialidad.

Este Aviso aplica a QuickVisitMD d/b/a Ankur Sunildatta Fadia PLLC y a Ankur Fadia, MD, el médico tratante (en conjunto, "QuickVisitMD," "nosotros" o "nuestro"). QuickVisitMD adopta y mantiene voluntariamente protecciones de privacidad y seguridad al nivel de HIPAA para toda la información de los pacientes, y se compromete a mantener la privacidad de su información médica protegida (PHI), entregarle este Aviso y cumplir con sus términos.

Podemos usar y divulgar su PHI sin su autorización escrita para los siguientes fines:

• Tratamiento. Usamos sus respuestas de la solicitud, mensajes, fotos e historia clínica para evaluar su solicitud, decidir si la atención asíncrona en línea es apropiada, emitir recetas no controladas cuando es clínicamente indicado y coordinar con farmacias u otros proveedores tratantes.
• Pago. Usamos y divulgamos PHI para cobrar su método de pago, emitir recibos, procesar reembolsos bajo nuestra garantía de respuesta a tiempo y resolver disputas de facturación.
• Operaciones de atención médica. Usamos PHI para revisión de calidad, supervisión médica, auditoría, capacitación, credencialización, cumplimiento, planeación del negocio y actividades administrativas relacionadas con la práctica.

De acuerdo con los estándares de HIPAA, podemos usar o divulgar PHI sin su autorización para los siguientes fines, entre otros:

• Cuando la ley lo requiere.
• Actividades de salud pública, incluyendo vigilancia de enfermedades reportables.
• Reporte de sospecha de abuso, negligencia o violencia doméstica.
• Actividades de supervisión de salud como auditorías e investigaciones.
• Procedimientos judiciales y administrativos, incluyendo citaciones válidas y órdenes judiciales.
• Fines de cumplimiento de la ley donde la ley lo permita.
• Forenses, médicos examinadores y directores de funerarias.
• Donación de órganos, ojos o tejidos.
• Investigación aprobada bajo las protecciones de privacidad aplicables.
• Amenazas graves a la salud o la seguridad.
• Funciones gubernamentales especializadas, incluyendo militar y seguridad nacional.
• Compensación al trabajador según lo autorizado por la ley.

A menos que aplique una excepción, obtendremos su autorización escrita antes de:

• Usar o divulgar PHI con fines de mercadeo.
• Vender su PHI.
• Usar o divulgar notas de psicoterapia (no mantenemos notas de psicoterapia).

Usted puede revocar una autorización por escrito en cualquier momento, excepto en la medida en que ya nos hayamos basado en ella.

Al usar o divulgar información de salud protegida (PHI), o al solicitar PHI de otra entidad, hacemos esfuerzos razonables para limitar la información al mínimo necesario para lograr el propósito previsto, de acuerdo con el estándar de mínimo necesario de HIPAA. Este estándar no aplica a divulgaciones con fines de tratamiento, divulgaciones a usted sobre su propia información de salud, divulgaciones realizadas conforme a su autorización escrita, divulgaciones requeridas por ley, o divulgaciones al Departamento de Salud y Servicios Humanos de los EE.UU. para investigaciones de cumplimiento.

Utilizamos proveedores de servicios externos que pueden acceder o procesar información en nuestro nombre. Cuando un proveedor maneja información médica protegida, requerimos un Acuerdo de Asociado Comercial (BAA) consistente con los estándares de HIPAA o implementamos salvaguardas técnicas (como la minimización de PHI) para limitar la exposición. Las categorías de proveedores de servicios incluyen:

• Infraestructura en la nube y alojamiento. Nuestra aplicación y base de datos están alojadas en plataformas en la nube ubicadas en Estados Unidos que almacenan y procesan PHI de forma cifrada.
• Procesamiento de pagos. Los pagos son procesados por un procesador que cumple con PCI DSS. No almacenamos números de tarjetas de crédito en nuestros servidores.
• Correo electrónico y comunicaciones. Los correos transaccionales (códigos de inicio de sesión, alertas de estado, notificaciones posteriores a la consulta) se envían a través de servicios de entrega de correo electrónico de terceros. El contenido del correo se minimiza para evitar PHI en tránsito, a menos que el proveedor haya suscrito un BAA.
• Inteligencia artificial y asistencia en documentación médica. Las herramientas de IA pueden procesar su información de ingreso para ayudar al médico con la redacción de documentación y traducción. Los identificadores directos (nombre, correo electrónico, número de teléfono, dirección del hogar) no se envían a los servicios de IA. La información clínica necesaria para la documentación — incluyendo edad, sexo, síntomas, medicamentos, alergias, historial médico y sus respuestas durante la consulta — se envía para generar borradores de notas médicas, instrucciones para el paciente y materiales educativos. Las narrativas clínicas en texto libre que usted escriba pueden contener información que usted incluya voluntariamente. Todo el contenido generado por IA es revisado y aprobado por el médico tratante antes de que forme parte de su expediente médico. El médico toma todas las decisiones clínicas finales; las herramientas de IA se usan solo para asistencia en documentación.

No vendemos su PHI ni la compartimos con fines de mercadeo o publicidad. No permitimos que los socios comerciales utilicen la PHI para sus propios fines más allá de los servicios que nos prestan.

Su PHI se almacena en servidores ubicados en los Estados Unidos. Implementamos salvaguardas administrativas, físicas y técnicas consistentes con la Regla de Seguridad de HIPAA, que incluyen:

• Cifrado de datos en tránsito (TLS/HTTPS) y en reposo.
• Controles de acceso basados en roles que limitan el acceso a la PHI al personal autorizado.
• Registro de auditoría del acceso a los expedientes de pacientes.
• Autenticación segura para todo acceso administrativo y del portal del paciente.
• Revisión periódica de las prácticas de seguridad y del cumplimiento de los proveedores.

Ningún sistema electrónico es completamente seguro. Si bien tomamos medidas comercialmente razonables para proteger su información, no podemos garantizar seguridad absoluta contra toda amenaza.

QuickVisitMD utiliza las siguientes tecnologías en su sitio web:

• Cookies esenciales. Cookies de sesión necesarias para autenticación, estado de formularios y seguridad (por ejemplo, protección CSRF, tokens de sesión de administrador). Estas no pueden desactivarse sin afectar la funcionalidad principal.
• Almacenamiento local. Se utiliza el almacenamiento local del navegador para guardar borradores de formularios de ingreso, de modo que usted no pierda su progreso si navega fuera de la página. Los datos del borrador se almacenan únicamente en su navegador y no se transmiten a nuestros servidores hasta que usted los envía.
• Analítica agregada del sitio web. Únicamente en las páginas públicas informativas (precios, guías de condiciones y páginas informativas), utilizamos un servicio de analítica enfocado en la privacidad para medir las vistas de página agregadas, las fuentes de referencia y los tipos de navegador. Este servicio no utiliza cookies, no rastrea a usuarios individuales entre sesiones y no recopila identificadores personales. Los scripts de analítica no se cargan en ninguna página que maneje información médica protegida, incluyendo el flujo de ingreso, el portal del paciente, los expedientes médicos, el pago o las páginas administrativas.
• Monitoreo de errores. Podemos utilizar un servicio de seguimiento de errores para detectar y corregir problemas de software. Cuando está habilitado, este servicio recopila información técnica (tipo de navegador, mensajes de error, URLs de páginas). Configuramos reglas de depuración para reducir el riesgo de exposición de PHI, pero ningún sistema automatizado de depuración es perfecto. Los reportes de errores son revisados solo por personal autorizado con fines de depuración.

No utilizamos cookies publicitarias, píxeles de rastreo entre sitios, rastreadores de redes sociales ni servicios de analítica que elaboren perfiles de usuarios individuales. No participamos en redes publicitarias ni vendemos datos de navegación. No se cargan tecnologías de rastreo en las páginas que manejan información médica protegida.

Como parte de nuestro compromiso de privacidad, QuickVisitMD le ofrece las siguientes capacidades respecto a su PHI:

• Acceso. Usted puede inspeccionar y recibir una copia de su PHI, en formato electrónico cuando la mantenemos electrónicamente.
• Enmienda. Usted puede pedirnos que corrijamos PHI que considera incorrecta o incompleta.
• Registro de divulgaciones. Usted puede recibir una lista de ciertas divulgaciones que hemos hecho de su PHI.
• Restricciones. Usted puede pedirnos que limitemos cómo usamos o divulgamos su PHI. Aceptaremos si usted paga en su totalidad de su propio bolsillo por un servicio y nos pide no divulgarlo a su plan de salud, lo cual aplica a este servicio de autopago en todos los casos.
• Comunicaciones confidenciales. Usted puede pedir que nos comuniquemos por un método o en un lugar específico.
• Copia en papel. Usted puede recibir una copia en papel de este Aviso a solicitud, aunque haya aceptado recibirlo electrónicamente.
• Notificación de brechas. Usted será notificado tras una brecha de PHI no asegurada.
• Quejas. Vea la sección de Quejas más abajo.

Para ejercer cualquiera de los derechos anteriores, envíenos una solicitud escrita, fechada y firmada por uno de los métodos a continuación. Podemos pedirle verificar su identidad o, para acceso y enmienda, completar un formulario breve.

• Acceso a expedientes: use el formulario de expedientes.
• Otras solicitudes de privacidad: admin@quickvisitmd.com.
• Contáctenos por mensaje seguro del portal para solicitudes escritas.
• Correo postal: Wythe County Community Hospital, 600 West Ridge Road, Wytheville, VA 24382.

Como parte de nuestro compromiso de acceso a expedientes, responderemos a las solicitudes de acceso dentro de 30 días de recibidas. Puede aplicar una extensión de 30 días si se lo notificamos por escrito. Las solicitudes de enmienda se responden dentro de 60 días. Las solicitudes de registro de divulgaciones se responden dentro de 60 días. Podemos cobrar una tarifa razonable basada en costos por copias en papel según lo permita la ley. No hay cargo por copias electrónicas de sus expedientes.

Oficial de Privacidad: El Oficial de Privacidad de QuickVisitMD es Ankur Fadia, MD. Para preguntas relacionadas con la privacidad, contacte a admin@quickvisitmd.com.

Como parte de nuestras prácticas voluntarias de privacidad al nivel de HIPAA, nos comprometemos a:

• Mantener la privacidad y seguridad de su PHI.
• Entregarle este Aviso que describe nuestros compromisos y prácticas de privacidad.
• Cumplir con los términos del Aviso vigente.
• Notificarle si ocurre una brecha de PHI no asegurada.

Conservamos los expedientes médicos de adultos por un mínimo de 10 años desde la última consulta del paciente. Este período cumple o supera los plazos exigidos por Virginia (seis años, Va. Code § 54.1-2910.4 y 18 VAC 85-20-26) y por la Junta de Medicina de Virginia Occidental (período mínimo de retención). Dado que esta práctica atiende únicamente a pacientes adultos, no aplican las reglas pediátricas de retención. Cumplido el período de retención, los expedientes se vuelven elegibles para destrucción de forma que se proteja la confidencialidad (por ejemplo, trituración segura o destrucción digital verificada), salvo que una retención legal, una autorización del paciente o una obligación federal o contractual más larga exijan conservarlos por más tiempo. El momento de la destrucción está sujeto a revisión periódica y puede extenderse más allá del período mínimo de retención.

Si ocurre una brecha de su información de salud no asegurada, le notificaremos sin demora irrazonable y a más tardar 60 días desde el descubrimiento de la brecha, de acuerdo con los estándares de notificación de brechas de HIPAA. Para brechas mayores que afecten a 500 o más personas, también notificaremos a las agencias gubernamentales correspondientes y a medios locales según corresponda bajo la ley aplicable. Las notificaciones describen qué ocurrió, los tipos de información afectados, los pasos que puede tomar para protegerse, lo que hacemos para investigar y mitigar, y cómo comunicarse con nosotros. La práctica mantiene un seguro de responsabilidad cibernética que respalda la investigación forense, la notificación a pacientes y las acciones de remediación en caso de incidente de seguridad.

Podemos cambiar este Aviso en cualquier momento y hacer que la versión revisada sea efectiva para la PHI que ya tenemos y la PHI que recibamos en el futuro. El Aviso vigente siempre estará publicado en nuestro sitio con su fecha efectiva.

Si cree que sus derechos de privacidad han sido violados, puede presentar una queja directamente con nosotros. También puede contactar a la Oficina de Derechos Civiles del Departamento de Salud y Servicios Humanos de EE. UU. como recurso externo. No tomaremos represalias contra usted por presentar una queja.

Queja interna: inicie sesión en el portal seguro del paciente y envíe un mensaje describiendo el asunto. Por su privacidad, no incluya información médica protegida en correo electrónico no seguro. Si no tiene acceso al portal, envíe un correo a admin@quickvisitmd.com con solo su nombre y una descripción breve — nos comunicaremos con usted por un canal seguro.

Recurso externo: También puede contactar al Departamento de Salud y Servicios Humanos de EE. UU., Oficina de Derechos Civiles, si cree que la privacidad de su información de salud no ha sido protegida adecuadamente. Este es un recurso federal general que se proporciona para su conocimiento: 200 Independence Avenue SW, Washington, D.C. 20201; 1-877-696-6775; hhs.gov/ocr/privacy/hipaa/complaints/.

Si usted es residente de California, la Ley de Privacidad del Consumidor de California (CCPA) y la Ley de Derechos de Privacidad de California (CPRA) otorgan ciertos derechos sobre la información personal. Sin embargo, bajo el Código Civil de California § 1798.145(c), la mayor parte de la información médica protegida regida por HIPAA y la Ley de Confidencialidad de Información Médica (CMIA) está exenta de los requisitos de CCPA/CPRA. Dado que QuickVisitMD mantiene prácticas de privacidad y seguridad consistentes con la Regla de Privacidad y la Regla de Seguridad de HIPAA, su información médica se rige principalmente por las protecciones al nivel de HIPAA descritas en este aviso en lugar de CCPA/CPRA.

• No vendemos información personal.
• No compartimos información personal para publicidad dirigida.
• No lo discriminaremos por ejercer cualquier derecho de privacidad.

Para preguntas sobre sus derechos de privacidad, escriba a admin@quickvisitmd.com con el asunto "Consulta de privacidad."