¿Qué es el cumplimiento de la HIPAA?

La HIPAA es una ley federal que regula la manera en que determinadas organizaciones implicadas en la prestación de atención médica manejan y protegen la información de salud.

Objetivos de aprendizaje

Después de leer este artículo podrás:

  • Explicar qué es el cumplimiento de la HIPAA
  • Comprender por qué la HIPAA es importante
  • Explorar las recomendaciones para asegurar el cumplimiento de la HIPAA

Contenido relacionado


¿Quieres saber más?

Suscríbase a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.

Revisa la política de privacidad de Cloudflare para saber más sobre cómo Cloudflare gestiona tus datos personales.

Copiar enlace del artículo

¿Qué es HIPAA?

La Ley de Transferencia y Responsabilidad de Seguros Médicos (HIPAA) es una ley federal que regula el tratamiento y la seguridad de la información de salud. La HIPAA ayuda a garantizar la protección de la información de salud al requerir controles de seguridad para la información de salud electrónica y al ordenar prácticas de privacidad.

La HIPAA tiene un impacto en dos tipos principales de organizaciones: las "entidades cubiertas", como los proveedores de atención médica, los planes de salud y los centros de información de salud; y los "socios empresariales" de las entidades cubiertas, como las empresas de facturación, los proveedores de registros médicos electrónicos (HCE), los consultores o los proveedores de TI.

¿Qué es la Información de salud protegida (PHI)?

La Información de salud protegida (PHI) es cualquier información de salud identificable individualmente relacionada con la prestación de atención médica que las entidades cubiertas y los socios empresariales crean, reciben, almacenan o transmiten. La PHI es un tipo de información de identificación personal (PII), que consiste en datos que pueden utilizarse para identificar a una persona.

A continuación se indican los campos de datos que pueden ser PHI si los procesa una entidad cubierta o un socio empresarial y en la medida en que los datos estén asociados a la prestación de atención médica:

  • Nombre
  • Dirección
  • Huellas digitales
  • Reconocimiento facial
  • Número de seguridad social
  • Fecha de nacimiento
  • Información sobre seguro médico
  • Números de registro médico
  • Números de cuenta
  • Direcciones IP
  • Registros de facturación

Es importante destacar que la PHI puede presentarse en varias formas, desde datos escritos a orales o electrónicos.

Supongamos que Michael visita a un médico general por primera vez y que el consultorio del médico registra el nombre y la dirección de Michael, toma los datos de su seguro médico y solicita verbalmente sus registros médicos a su proveedor anterior. Todos estos datos escritos y orales se consideran PHI y se deben proteger.

Ahora, supongamos que Michael tiene una cita de telemedicina con este mismo médico la siguiente semana. La información sobre las actividades en línea de Michael que revelan los detalles sobre su cita de telemedicina también puede considerarse PHI, aunque sea información electrónica y no escrita u oral.

¿Qué es la Norma de privacidad y la Norma de seguridad de la HIPAA?

La Norma de privacidad de la HIPAA requiere que las entidades cubiertas y los socios empresariales incorporen salvaguardias y políticas de privacidad adecuadas para proteger la PHI. Existen normas estrictas sobre lo que una organización puede hacer con la PHI sin el consentimiento de la persona y la Norma de privacidad otorga a las personas el derecho a saber cómo se utilizan sus datos y/o a solicitar correcciones.

La Norma de Seguridad de la HIPAA exige salvaguardias administrativas, físicas y técnicas para manejar adecuadamente la PHI de manera electrónica, desde garantizar el acceso seguro a las instalaciones y el control de los dispositivos, designar personal de seguridad y aplicar la formación de la fuerza de trabajo, hasta realizar análisis de riesgos.

¿Por qué es importante la HIPAA?

Las normas de seguridad y privacidad de la HIPAA son importantes para garantizar que la información de salud de las personas esté debidamente protegida, al mismo tiempo que permite el flujo de información de salud necesario para prestar y promover una atención médica de alta calidad, y para proteger la salud y el bienestar públicos. Estas normas son especialmente importantes dada la diversidad del mercado de la atención médica, la variedad de usos y divulgaciones que deben abordarse, así como la afluencia de nuevas tecnologías innovadoras en el campo de la atención médica, tales como la telemedicina, la terapia remota, los registros de salud electrónicos, la supervisión de la salud mediante dispositivos y la atención asistida por IA. En concreto, cada una de estas nuevas tecnologías innovadoras conlleva sus propios retos en cuanto a seguridad y privacidad, que las organizaciones deben abordar conforme a las normas de seguridad y privacidad de la HIPAA.

¿Cuáles son los incumplimientos habituales de la HIPAA?

Las infracciones de la HIPAA pueden resultar en fuertes sanciones y acciones legales. Algunas de las infracciones más comunes incluyen:

  • Fuga de datos por no proteger adecuadamente la PHI, que incluye el robo de PHI con fines lucrativos o personales
  • Acceso no autorizado, divulgación o uso inapropiado de los datos de PHI
  • Formación inadecuada y deficiente de los empleados que manejan la PHI
  • No notificar adecuadamente a las autoridades y a las personas pertinentes tras una fuga de datos
  • No se tienen las salvaguardias físicas, técnicas y administrativas necesarias

Imagina que el médico de Michael dejara el formulario del paciente con el nombre, la fecha de nacimiento, el número de seguridad social y las preocupaciones de índole médico de Michael en la sala de espera durante 24 horas, donde cualquier paciente o miembro del personal tuviera acceso a este. Luego, imagina que el médico carga la información de salud de Michael a un portal en línea, que no estaba protegido con una contraseña. Ambas situaciones son ejemplos de incumplimiento de la HIPAA.

¿Cuáles son las penalizaciones por infringir la HIPAA?

Las penalizaciones por incumplimiento de la HIPAA son importantes y pueden oscilar entre 100 USD por infracción y 1 500 000 USD por disposición anualmente. La Oficina de Derechos Civiles (OCR) clasifica las infracciones de la HIPAA con base en la gravedad y la negligencia intencionada.

  • Nivel I: desconocimiento de la infracción. La entidad no es consciente que ha incumplido con la normativa HIPAA y las sanciones oscilan entre 100 USD y 50 000 USD por infracción, con una sanción máxima de 25 000 USD al año.
  • Nivel II: causa razonable. La entidad no actuó con negligencia deliberada. Las sanciones por infracciones del nivel II oscilan entre los 1000 USD y los 50 000 USD por caso, con una sanción máxima de 100 000 USD al año.
  • Nivel III: negligencia deliberada que se corrige en un plazo de 30 días de haberse descubierto. Las sanciones pueden oscilar entre los 10 000 USD y los 50 000 USD por infracción, y pueden alcanzar un máximo de 250 000 USD al año.
  • Nivel IV: negligencia deliberada que no se corrige en 30 días. Al ser el nivel más grave, las sanciones por infracciones del nivel IV pueden alcanzar hasta 1 500 000 USD por disposición cada año.

¿Cómo los proveedores de la nube aseguran el cumplimiento de la HIPAA?

Los proveedores de servicios en la nube deben firmar con sus clientes un acuerdo de asociación empresarial (BAA, por sus siglas en inglés) conforme a la HIPAA para poder crear, recibir, mantener o transmitir la PHI. Un BAA requiere que el proveedor de servicios en la nube proporcione protecciones adecuadas para la PHI, y que realice análisis de riesgos para identificar posibles vulnerabilidades. También puede incluir instrucciones específicas sobre la disponibilidad de los datos, copias de seguridad, recuperación ante desastres y retención de datos.

Los proveedores de servicios en la nube también son responsables de cualquier divulgación no autorizada de la PHI, o de no proteger la PHI o de informar a las autoridades pertinentes sobre una fuga de datos.

Buenas prácticas para cumplir con la HIPAA

Estas son seis recomendaciones para garantizar el cumplimiento de la HIPAA:

  1. Identificar los riesgos únicos y crear políticas para gestionarlos, incluidos los programas de formación y políticas establecidas de notificación de infracciones.
  2. Supervisar el uso de la PHI y reducir el acceso a los datos protegidos siempre que sea posible.
  3. Realizar análisis de riesgos periódicos y exhaustivos, incluidas auditorías de seguridad y cumplimiento.
  4. Incorporar salvaguardias físicas y digitales, como protección por contraseña, restricciones de uso de dispositivos y medios, y controles de acceso.
  5. Incorporar salvaguardias técnicas, como controles de auditoría, encriptación y políticas de autenticación.
  6. Implementar procesos e infraestructuras de seguridad para ayudar a los proveedores de confianza a manejar adecuadamente la PHI.

¿Cómo ayuda Cloudflare a las organizaciones a cumplir con la HIPAA?

Cloudflare proporciona servicios de seguridad de la red, de la aplicación y empresariales basados en la nube que pueden ayudar a las organizaciones a cumplir los estrictos requisitos técnicos de la Norma de seguridad de la HIPAA y evitar la divulgación inadvertida o el uso indebido de la PHI que infrinja la Norma de privacidad de la HIPAA. Estos servicios incluyen los siguientes:

  • Cloudflare Zero Trust. El conjunto de productos Zero Trust de Cloudflare incluye funciones de control de acceso y prevención de pérdida de datos que permiten a las organizaciones restringir de forma granular el acceso a la información confidencial de salud en tu red y evitar la divulgación no autorizada de información confidencial de salud fuera de la red.
  • Servicios de red de Cloudflare. El conjunto de productos de Servicios de red de Cloudflare permite a las organizaciones establecer un límite de red seguro para tu organización de conformidad con la Norma de seguridad de la HIPAA.
  • Servicios de aplicación de Cloudflare. El conjunto de productos de servicios de aplicación de Cloudflare ofrece una protección eficaz para los sitios web y aplicaciones del paciente.

Los productos de Cloudflare también cumplen con las normas de seguridad y privacidad reconocidas en el sector, incluidas las normas ISO 27001, ISO 27701, SOC 2 y el Código de conducta de la nube de la UE. Aunque la HIPAA no prevé una validación formal del cumplimiento, la red, infraestructura de gestión y procesos de Cloudflare son coherentes con las normas de seguridad y privacidad de la HIPAA y con las normativas relacionadas.

Obtén más información sobre las funciones integradas de seguridad, privacidad y cumplimiento de la conectividad cloud.