Que es TPO en HIPAA? Tratamiento, Pago y Operaciones explicados (2026)

TPO en HIPAA significa Tratamiento, Pago y Operaciones de Atencion Medica (Treatment, Payment, and Healthcare Operations). Conforme a 45 CFR 164.506, las entidades cubiertas pueden usar y divulgar informacion de salud protegida para estas tres actividades sin autorizacion del paciente, lo que permite el flujo rutinario de informacion de salud que requieren la atencion medica, la facturacion y la administracion clinica.
Que significa TPO conforme a HIPAA
TPO es un termino abreviado que se usa en el cumplimiento de la privacidad de la atencion medica. Significa Tratamiento, Pago y Operaciones de Atencion Medica. Estas tres categorias representan las actividades centrales que mantienen funcionando al sistema de salud, desde la prestacion de atencion al paciente hasta el procesamiento de reclamaciones de seguros y la gestion del lado administrativo de un consultorio medico.
La Regla de Privacidad de HIPAA, codificada en 45 CFR Part 164, Subpart E, reconoce que los proveedores de atencion medica, los planes de salud y las camaras de compensacion necesitan compartir informacion de salud protegida (PHI) para llevar a cabo sus funciones cotidianas. Sin un marco viable para el intercambio rutinario de informacion, el sistema de salud se paralizaria. TPO proporciona ese marco.
Conforme a 45 CFR 164.506, las entidades cubiertas pueden usar y divulgar PHI para tratamiento, pago y operaciones de atencion medica sin obtener una autorizacion escrita del paciente. Esta es una de las disposiciones mas importantes de la Regla de Privacidad porque permite el flujo rutinario de informacion de salud del que depende la atencion medica, sin dejar de mantener las protecciones de privacidad.
Las definiciones formales de las tres categorias de TPO aparecen en 45 CFR 164.501. Entender exactamente que abarca cada categoria es esencial para el cumplimiento, porque las divulgaciones que van mas alla de TPO por lo general requieren la autorizacion del paciente u otra excepcion legal especifica.
Tratamiento: el primer elemento de TPO
Definicion conforme a la ley federal
La Regla de Privacidad define el "tratamiento" como la prestacion, coordinacion o gestion de la atencion medica y los servicios relacionados por uno o mas proveedores de atencion medica. Esto incluye la coordinacion o gestion de la atencion medica por parte de un proveedor con un tercero, la consulta entre proveedores en relacion con un paciente y la remision de un paciente de un proveedor a otro (45 CFR 164.501).
El tratamiento es el elemento mas amplio y mas frecuentemente invocado de TPO en la practica clinica diaria. Cada vez que un medico revisa el expediente de un paciente, ordena una prueba de laboratorio o comenta un caso con un especialista, esa actividad forma parte del elemento de tratamiento.
Ejemplos de divulgaciones de tratamiento
Un medico de atencion primaria remite a un paciente a un cardiologo y envia los registros medicos del paciente al consultorio del especialista. Esta divulgacion de PHI con fines de tratamiento no requiere autorizacion del paciente.
El departamento de emergencias de un hospital se comunica con el medico de atencion primaria de un paciente para obtener el historial de medicamentos del paciente durante una visita de emergencia. El medico de atencion primaria puede compartir esta informacion sin necesitar el permiso escrito del paciente.
Un laboratorio recibe una muestra de sangre junto con la informacion clinica pertinente del medico que la solicita. El laboratorio procesa la muestra y devuelve los resultados. Tanto el envio como la recepcion de PHI en este escenario califican como divulgaciones de tratamiento.
Los farmaceuticos que consultan con los medicos que emiten recetas sobre posibles interacciones medicamentosas, el personal de enfermeria que coordina la atencion medica domiciliaria despues del alta y los proveedores de salud mental que analizan los planes de tratamiento con el administrador de casos de un paciente representan actividades de tratamiento conforme a la Regla de Privacidad.
El tratamiento y el estandar de lo minimo necesario
Una de las distinciones mas importantes de la Regla de Privacidad tiene que ver con la forma en que el estandar de lo minimo necesario se aplica a las divulgaciones de tratamiento. Conforme a 45 CFR 164.502(b)(2), el requisito de lo minimo necesario no se aplica a las divulgaciones realizadas con fines de tratamiento.
Esto significa que un proveedor puede compartir el expediente medico completo con otro proveedor tratante cuando sea clinicamente apropiado. La razon es sencilla: los proveedores necesitan acceso a informacion completa para brindar una atencion segura y eficaz. Restringir lo que un proveedor tratante puede ver podria dar lugar a un diagnostico erroneo, interacciones medicamentosas daninas u otros problemas de seguridad del paciente.
Pago: el segundo elemento de TPO
Definicion conforme a la ley federal
El "pago" conforme a 45 CFR 164.501 abarca las actividades realizadas por un plan de salud para obtener primas, determinar o cumplir con sus responsabilidades de cobertura y proporcionar beneficios. Tambien cubre las actividades de los proveedores de atencion medica o de los planes de salud para obtener o proporcionar el reembolso por la prestacion de atencion medica.
La definicion de pago es deliberadamente amplia porque el proceso de facturacion y reembolso involucra multiples pasos y multiples partes. Desde el momento en que un proveedor documenta un servicio hasta la adjudicacion final de una reclamacion, ocurren numerosas divulgaciones de PHI relacionadas con el pago.
Actividades especificas de pago
La Regla de Privacidad enumera actividades especificas que forman parte de la categoria de pago. Estas incluyen las determinaciones de elegibilidad o cobertura, la coordinacion de beneficios y la adjudicacion o subrogacion de reclamaciones de beneficios de salud. Los ajustes de riesgo basados en el estado de salud del afiliado y las caracteristicas demograficas tambien califican.
La facturacion, la gestion de reclamaciones y las actividades de cobro forman parte del pago. Tambien lo hace la obtencion de pago conforme a un contrato de reaseguro, incluido el seguro de stop-loss y el seguro de exceso de perdida. Las actividades relacionadas de procesamiento de datos de atencion medica tambien se incluyen.
La revision de los servicios de atencion medica con respecto a la necesidad medica, la cobertura conforme a un plan de salud, la idoneidad de la atencion o la justificacion de los cargos constituye una actividad de pago. La revision de la utilizacion, incluida la precertificacion y la preautorizacion de servicios, asi como la revision concurrente y retrospectiva de servicios, forman parte de esta categoria.
Como funcionan las divulgaciones de pago en la practica
Un hospital presenta una reclamacion a la compania de seguro medico de un paciente que incluye codigos de diagnostico, codigos de procedimiento y fechas de servicio. Esta divulgacion de PHI es una actividad de pago que no requiere autorizacion del paciente.
Un plan de salud solicita registros medicos a un proveedor para determinar si un procedimiento fue medicamente necesario antes de aprobar el reembolso. El proveedor puede enviar esos registros conforme a la excepcion de pago.
El departamento de facturacion de un medico envia la cuenta de un paciente a una agencia de cobro despues de que el paciente no paga un saldo pendiente. La informacion compartida con la agencia de cobro con fines de cobro califica como una divulgacion de pago, aunque la agencia de cobro por lo general necesitaria tener vigente un acuerdo de socio comercial.
El estandar de lo minimo necesario y el pago
A diferencia de las divulgaciones de tratamiento, el estandar de lo minimo necesario si se aplica a los usos y divulgaciones relacionados con el pago. Una entidad cubierta debe limitar la PHI divulgada con fines de pago a la cantidad minima razonablemente necesaria para lograr el proposito previsto.
Por ejemplo, cuando un plan de salud solicita registros para verificar una reclamacion, el proveedor debe enviar solo los registros pertinentes al servicio especifico que se esta revisando, no todo el historial medico del paciente. Se exige a las entidades cubiertas que desarrollen e implementen politicas y procedimientos que identifiquen la informacion minima necesaria para las divulgaciones de pago rutinarias y recurrentes.
Operaciones de Atencion Medica: el tercer elemento de TPO
Definicion conforme a la ley federal
Las operaciones de atencion medica representan las actividades administrativas, financieras, legales y de mejora de la calidad que una entidad cubierta necesita para dirigir su negocio y respaldar las funciones centrales de tratamiento y pago. La definicion en 45 CFR 164.501 proporciona una lista exhaustiva de seis categorias de actividades que califican.
A diferencia del tratamiento y el pago, las operaciones de atencion medica constituyen una lista cerrada. Solo califican las actividades especificamente enumeradas en el reglamento. Si una actividad no aparece en la lista, no puede justificarse como una operacion de atencion medica conforme a TPO.
Las seis categorias de operaciones de atencion medica
Evaluacion y mejora de la calidad. Esto incluye la evaluacion de resultados, el desarrollo de guias clinicas, las actividades de seguridad del paciente segun se definen en 42 CFR 3.20, las actividades basadas en la poblacion relacionadas con la mejora de la salud o la reduccion de costos, el desarrollo de protocolos, la gestion de casos, la coordinacion de la atencion y el contacto con proveedores y pacientes con informacion sobre alternativas de tratamiento. La limitacion clave: si el proposito principal de un estudio es producir conocimiento generalizable, cruza al terreno de la investigacion y deja de calificar como operaciones de atencion medica.
Revision de la competencia profesional. Las entidades cubiertas pueden usar PHI para revisar la competencia o las cualificaciones de los profesionales de la atencion medica, evaluar el desempeno de los profesionales y proveedores, evaluar el desempeno del plan de salud, realizar programas de capacitacion para estudiantes y profesionales, capacitar a profesionales ajenos a la atencion medica y respaldar las actividades de acreditacion, certificacion, licencias o credenciales.
Actividades de suscripcion y de seguros. Los planes de salud pueden usar PHI para la suscripcion, la inscripcion, la clasificacion de primas y otras actividades relacionadas con la creacion, renovacion o reemplazo de contratos de seguro de salud o de beneficios de salud. Esto tambien incluye la cesion, la obtencion o la colocacion de contratos de reaseguro de riesgo relacionados con las reclamaciones de atencion medica.
Funciones de revision medica, legales y de auditoria. La realizacion o la organizacion de la revision medica, los servicios legales y las funciones de auditoria forman parte de las operaciones de atencion medica. Esta categoria incluye especificamente los programas de deteccion de fraude y abuso y de cumplimiento.
Planificacion y desarrollo empresarial. Los analisis de gestion de costos, las actividades de planificacion relacionadas con la gestion y operacion de la entidad, el desarrollo y la administracion de formularios, y el desarrollo o la mejora de los metodos de pago o las politicas de cobertura, todos califican.
Gestion empresarial y administracion general. Esta amplia categoria final abarca las actividades relacionadas con la implementacion y el cumplimiento de la Regla de Privacidad y otras Reglas de Simplificacion Administrativa, el servicio al cliente, la resolucion de quejas internas, la venta o transferencia de activos, la creacion de informacion de salud desidentificada o un conjunto de datos limitado, y la recaudacion de fondos en beneficio de la entidad cubierta.
Las operaciones de atencion medica y el estandar de lo minimo necesario
Al igual que con el pago, el estandar de lo minimo necesario se aplica a las operaciones de atencion medica. Una entidad cubierta debe desarrollar politicas de acceso basadas en funciones que limiten que miembros del personal pueden acceder a la PHI para las operaciones de atencion medica, y debe limitar las divulgaciones solo a la informacion razonablemente necesaria para el proposito operativo especifico.
Que no forma parte de TPO
Entender los limites de TPO es tan importante como entender lo que abarca. Varias categorias de uso y divulgacion de PHI quedan fuera de TPO y requieren una autorizacion separada del paciente conforme a 45 CFR 164.508.
Marketing
La Regla de Privacidad de HIPAA requiere la autorizacion escrita del paciente para practicamente todos los usos y divulgaciones de PHI con fines de marketing. El marketing se refiere a una comunicacion sobre un producto o servicio que anima al destinatario a comprar o usar el producto o servicio. Solo existen dos excepciones estrechas: las comunicaciones cara a cara entre la entidad cubierta y la persona, y los obsequios promocionales de valor nominal. Si una entidad cubierta recibe una remuneracion economica de un tercero por realizar una comunicacion de marketing, la autorizacion debe revelar ese hecho.
Investigacion
El uso de PHI para investigacion no es una actividad de TPO, incluso cuando la investigacion se lleva a cabo dentro de una organizacion de atencion medica. La investigacion requiere ya sea la autorizacion del paciente o una exencion de autorizacion otorgada por una Junta de Revision Institucional (IRB) o una Junta de Privacidad. La distincion entre la mejora de la calidad (que puede calificar como operaciones de atencion medica) y la investigacion (que no puede) depende de si el proposito principal es producir conocimiento generalizable.
Notas de psicoterapia
Las notas de psicoterapia reciben una proteccion especial conforme a HIPAA. Estas son notas registradas por un profesional de salud mental que documentan o analizan el contenido de una sesion de consejeria. Se mantienen por separado del expediente medico. El uso o la divulgacion de notas de psicoterapia requiere la autorizacion del paciente incluso cuando el uso o la divulgacion de otro modo formaria parte de TPO, con excepciones muy limitadas, como el uso de tratamiento por parte del proveedor de origen o ciertas situaciones de aplicacion de la ley.
Venta de PHI
La venta de informacion de salud protegida requiere la autorizacion del paciente conforme a HIPAA. Una entidad cubierta no puede vender PHI sin obtener primero una autorizacion valida que indique que la divulgacion dara lugar a una remuneracion para la entidad. Existen excepciones limitadas para fines de tratamiento y pago, actividades de salud publica y ciertas actividades de investigacion, pero la regla general prohibe la venta comercial de informacion del paciente sin autorizacion.
El Aviso de Practicas de Privacidad y TPO
Toda entidad cubierta debe proporcionar a los pacientes un Aviso de Practicas de Privacidad (NPP) que explique como la entidad puede usar y divulgar PHI. El NPP debe describir especificamente los usos y divulgaciones relacionados con TPO de la entidad, junto con al menos un ejemplo de cada categoria.
Requisitos de distribucion
Los proveedores de atencion medica con una relacion de tratamiento directa deben proporcionar el NPP a los pacientes a mas tardar en la fecha de la primera prestacion del servicio. El proveedor debe hacer un esfuerzo de buena fe para obtener un reconocimiento escrito del paciente de que recibio el aviso. Los planes de salud deben enviar el NPP a los nuevos afiliados en el momento de la inscripcion y deben redistribuir el aviso al menos una vez cada tres anos si ha habido cambios sustanciales.
Lo que debe incluir el NPP
El NPP debe contener una descripcion de los tipos de usos y divulgaciones que la entidad cubierta puede realizar para tratamiento, pago y operaciones de atencion medica. Debe describir los derechos de la persona conforme a la Regla de Privacidad, incluido el derecho a solicitar restricciones sobre ciertos usos y divulgaciones. El aviso tambien debe identificar a una persona o una oficina de contacto responsable de recibir quejas y proporcionar mas informacion.
Los pacientes tienen derecho a solicitar que una entidad cubierta restrinja como usa o divulga su PHI con fines de TPO. Sin embargo, por lo general una entidad cubierta no esta obligada a aceptar dicha solicitud, con una excepcion: una entidad cubierta debe cumplir con una solicitud de restringir la divulgacion a un plan de salud con fines de pago o de operaciones de atencion medica si el paciente pago el servicio en su totalidad de su propio bolsillo.
TPO y los socios comerciales
Cuando una entidad cubierta contrata a un tercero para desempenar funciones de TPO en su nombre, ese tercero por lo general califica como un socio comercial. La entidad cubierta debe celebrar un acuerdo de socio comercial (BAA) antes de divulgar PHI a ese tercero con fines de TPO.
Los socios comerciales comunes que participan en actividades de TPO incluyen las companias de facturacion que procesan reclamaciones (pago), los servicios de transcripcion que preparan registros medicos (tratamiento) y las firmas de contabilidad que auditan registros financieros que contienen PHI (operaciones de atencion medica). El BAA establece lo que el socio comercial puede y no puede hacer con la PHI, exige salvaguardas apropiadas y ordena el reporte de violaciones en caso de acceso o divulgacion no autorizados.
Una entidad cubierta puede divulgar PHI a un socio comercial y puede permitir que el socio comercial cree, reciba, mantenga o transmita PHI en su nombre, siempre que la entidad cubierta obtenga garantias satisfactorias de que el socio comercial salvaguardara adecuadamente la informacion. Estas garantias deben documentarse en un acuerdo escrito que cumpla con los requisitos de 45 CFR 164.504(e).
Aplicacion y sanciones por el uso indebido de TPO
Las entidades cubiertas que divulgan PHI fuera de los limites de TPO sin la autorizacion adecuada se enfrentan a acciones de aplicacion por parte de la Oficina de Derechos Civiles del HHS (OCR). A partir de 2025, la OCR ha investigado mas de 31,000 casos y ha impuesto multas civiles o acuerdos por un total de mas de $144 million.
Las sanciones por violaciones de la Regla de Privacidad de HIPAA siguen una estructura escalonada. Las violaciones por causa razonable conllevan sanciones que van de $137 a $68,928 por violacion. Las violaciones por negligencia deliberada que se corrigen dentro de los 30 dias conllevan sanciones de $13,785 a $68,928 por violacion. Las violaciones por negligencia deliberada que no se corrigen a tiempo conllevan una sancion minima de $68,928 por violacion, hasta un maximo anual de $2,067,813 por disposicion identica.
Las sanciones penales tambien se aplican en casos de violaciones a sabiendas. El Departamento de Justicia puede iniciar cargos penales que conllevan multas de hasta $250,000 y hasta 10 anos de prision por violaciones cometidas con la intencion de vender, transferir o usar PHI para obtener ventaja comercial, beneficio personal o dano malicioso.
Las organizaciones que clasifican indebidamente una divulgacion como parte de TPO cuando en realidad requiere autorizacion se exponen a estas acciones de aplicacion. Mantener politicas claras sobre lo que constituye tratamiento, pago y operaciones de atencion medica, y capacitar al personal en consecuencia, es una obligacion de cumplimiento central para toda entidad cubierta.
Para obtener mas informacion sobre los requisitos de privacidad de HIPAA, visite la pagina general de HIPAA o consulte a un abogado para obtener asesoramiento especifico para su situacion.
Preguntas frecuentes
TPO requiere el consentimiento o la autorizacion del paciente?
No. Conforme a 45 CFR 164.506, las entidades cubiertas pueden usar y divulgar PHI para tratamiento, pago y operaciones de atencion medica sin obtener la autorizacion escrita del paciente. Sin embargo, las entidades cubiertas deben proporcionar un Aviso de Practicas de Privacidad que explique estos usos antes de la primera prestacion del servicio o en ese momento.
El estandar de lo minimo necesario se aplica a las tres categorias de TPO?
El estandar de lo minimo necesario se aplica a las divulgaciones de pago y de operaciones de atencion medica, pero no a las divulgaciones de tratamiento. Los proveedores pueden compartir el expediente medico completo de un paciente con otro proveedor tratante cuando sea clinicamente apropiado. Para el pago y las operaciones, la entidad cubierta debe limitar las divulgaciones solo a la PHI razonablemente necesaria para lograr el proposito.
Puede un paciente rechazar las divulgaciones de TPO?
Los pacientes pueden solicitar restricciones sobre los usos y divulgaciones de TPO, pero por lo general las entidades cubiertas no estan obligadas a aceptar. Existe una excepcion: si un paciente paga un servicio en su totalidad de su propio bolsillo, la entidad cubierta debe respetar una solicitud de restringir la divulgacion al plan de salud del paciente con fines de pago o de operaciones de atencion medica.
Compartir PHI para marketing se considera una actividad de TPO?
No. Las comunicaciones de marketing por lo general requieren una autorizacion escrita separada del paciente, incluso si la entidad cubierta esta promocionando sus propios productos o servicios relacionados con la salud. Las unicas excepciones son las comunicaciones cara a cara y los obsequios promocionales de valor nominal. Si un tercero paga a la entidad cubierta por enviar marketing, la autorizacion debe revelar ese acuerdo economico.
Como se relaciona TPO con los acuerdos de socio comercial?
Cuando una entidad cubierta contrata a un tercero para desempenar funciones de TPO, como la facturacion medica, el soporte de TI o el procesamiento de reclamaciones, ese tercero por lo general es un socio comercial. La entidad cubierta debe celebrar un acuerdo de socio comercial (BAA) antes de compartir PHI con el tercero. El BAA limita como el socio comercial puede usar la informacion y exige salvaguardas y procedimientos de notificacion de violaciones.
Fuentes y referencias
- 45 CFR 164.501 - Definiciones (Tratamiento, Pago, Operaciones de Atencion Medica)(ecfr.gov).gov
- 45 CFR 164.506 - Usos y divulgaciones para llevar a cabo TPO(ecfr.gov).gov
- Guia del HHS: Usos y divulgaciones para tratamiento, pago y operaciones de atencion medica(hhs.gov).gov
- Guia del HHS: Requisito de lo minimo necesario(hhs.gov).gov
- Guia del HHS: Aviso de Practicas de Privacidad para la informacion de salud protegida(hhs.gov).gov
- Guia del HHS: Marketing conforme a HIPAA(hhs.gov).gov
- Aspectos destacados de la aplicacion de HIPAA por el HHS(hhs.gov).gov
- Resumen de la Regla de Privacidad de HIPAA(hhs.gov).gov