Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial EXPLORAR KITEWORKS

¿Qué es la Ley HIPAA y cómo me afecta?

Inicio Glosario ¿Qué es HIPAA y cómo me afecta?

¿Qué es HIPAA y cómo pueden aplicarse la regla de seguridad de HIPAA, la regla ómnibus y la regla de privacidad a mí y a mi negocio? Sigue leyendo para descubrirlo.

¿Qué significa HIPAA? HIPAA significa Ley de Portabilidad y Responsabilidad de Seguros de Salud.

¿Qué es HIPAA?

La Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA) es una ley federal aprobada por el Congreso y firmada por el Presidente Clinton en 1996 para crear un conjunto de estándares para gestionar, proteger y compartir la información de los pacientes. Más específicamente, esta ley regula cuándo, cómo y bajo qué circunstancias los proveedores de atención médica y sus asociados comerciales pueden divulgar información de salud protegida (PHI). Esta ley busca apoyar a los pacientes en el sistema de salud proporcionando varios tipos de apoyo, incluyendo los siguientes:

  • Gestión y transferencia de información y cobertura de atención médica entre diferentes proveedores de atención primaria (hospitales, médicos y compañías de seguros)
  • Reducción del robo de información y fraude de identidad
  • Estandarización de los registros y estándares de seguridad en todos los estados
  • Mantenimiento de la privacidad y confidencialidad de todos los registros de pacientes y PHI

HIPAA

HIPAA es administrada por la Oficina de Derechos Civiles del Departamento de Salud y Servicios Humanos de EE. UU. (HHS), que gestiona el cumplimiento organizacional y las reclamaciones contra organizaciones por violaciones de regulaciones o brechas en el sistema. El HHS, encargado de desarrollar e implementar las regulaciones de HIPAA, instituyó cinco secciones principales o “reglas” que delinean los derechos de los pacientes y las responsabilidades de los proveedores bajo la ley:

  1. La Regla de Privacidad
  2. La Regla de Seguridad
  3. La Regla de Transacciones
  4. La Regla de Identificadores
  5. La Regla de Cumplimiento

¿Qué cubre HIPAA?

HIPAA cubre en última instancia la privacidad y seguridad de la información de salud protegida (PHI). PHI es cualquier información de salud identificable individualmente, incluyendo registros de salud física y mental como diagnósticos, historiales de medicamentos, reclamaciones de seguros, recopilada y mantenida por proveedores de atención médica, planes de salud y otras organizaciones que manejan servicios relacionados con la salud.

HIPAA también cubre la portabilidad del seguro, lo que permite a las personas mantener su cobertura de seguro de salud, incluso si cambian de trabajo o experimentan un evento importante en la vida, como un despido o matrimonio.

Además, HIPAA establece estándares para transacciones electrónicas y transacciones en codificación y facturación de servicios de atención médica.

Finalmente, la Regla de Privacidad de HIPAA protege la PHI de los individuos al exigir que los proveedores de atención médica y las organizaciones tengan políticas y procedimientos de privacidad específicos para proteger la información de salud de los individuos. La Regla de Seguridad, por el contrario, requiere que las entidades cubiertas tomen medidas apropiadas para proteger la PHI del mal uso o acceso no autorizado.

¿Qué se considera PHI bajo HIPAA?

La información de salud protegida (PHI) bajo HIPAA es cualquier información de salud identificable individualmente (IIHI) en cualquier forma o medio. Esto incluye información relacionada con la salud física o mental pasada, presente o futura de un individuo, la provisión de atención médica a un individuo, o el pago pasado, presente o futuro por la provisión de atención médica a un individuo.

PHI es información que puede usarse para identificar a una persona en particular, como nombre, dirección, número de Seguro Social, números de registros médicos, historial médico, medicamentos, planes de tratamiento, resultados de pruebas e información de seguros. PHI también puede incluir información genética e información demográfica como edad, raza, etnia y país de origen. Generalmente, la PHI debe mantenerse segura, y se debe permitir a los individuos ver y copiar su PHI.

La Regla de Privacidad

La Regla de Privacidad de HIPAA es quizás la más reconocible. Establece las definiciones generales y expectativas de los pacientes, los datos protegidos y las obligaciones de los proveedores. En esta sección, se articula la base de HIPAA: Las organizaciones de atención médica y sus asociados comerciales deben proteger la PHI y otros registros médicos contra la divulgación no autorizada.

Las entidades sujetas a la jurisdicción de HIPAA bajo la Regla de Privacidad se conocen como “entidades cubiertas” (CEs), y estas incluyen un conjunto limitado de organizaciones como médicos, hospitales, farmacias, compañías de seguros, organizaciones de mantenimiento de salud (HMOs) y un grupo selecto de proveedores relacionados. Dado que la mayoría de las CEs subcontratan funciones comerciales y de atención médica a proveedores y asociados de terceros, se creó una categoría secundaria para estas entidades llamada “asociados comerciales” (BAs) que también gobierna HIPAA.

La Regla de Privacidad define legalmente la PHI. Bajo HIPAA, la PHI es cualquier información que se relacione con lo siguiente:

  • Cualquier información pasada, presente o futura sobre la condición física o mental de un paciente
  • Cualquier provisión de atención médica a pacientes, ya sea mental o física
  • Cualquier información financiera o de pago relacionada con la provisión de atención médica a ese paciente, ya sea pasada, presente o futura

Finalmente, la Regla de Privacidad dicta que cualquier paciente tiene el derecho de acceder a toda la PHI que posea una organización para inspección, corrección o propósitos de archivo.

La Regla de Seguridad

La Regla de Seguridad toma la Regla de Privacidad y agrega estándares, requisitos y métodos para asegurar la PHI. Bajo la Regla de Seguridad, las organizaciones deben implementar medidas de seguridad para proteger la privacidad y confidencialidad de la información del paciente, específicamente la PHI electrónica (ePHI). Para lograr esto, la Regla de Seguridad proporciona pautas para los niveles de seguridad esperados en tres contextos:

  1. Técnico: Los controles de seguridad listados en esta categoría reflejan lo que normalmente pensamos cuando pensamos en ciberseguridad: protocolos de cifrado, firewalls para servidores de datos, aplicaciones anti-malware, etc. Con el auge de los programas de Software como Servicio (SaaS) basados en la nube, HIPAA también requiere medidas de seguridad claras para proteger las comunicaciones entre CEs y BAs, medidas de seguridad para servidores en la nube y copias de seguridad del sistema.
  2. Físico: Aunque la ePHI es técnicamente un activo digital, existe dentro de una infraestructura física. Las salvaguardas físicas de la ePHI se centran en proteger el acceso físico a los centros de datos mediante cerraduras, cámaras y paneles de control y limitar o eliminar el acceso a estaciones de trabajo y dispositivos móviles.
  3. Administrativo: El cumplimiento de HIPAA requiere diligencia y comprensión por parte de los empleados de cualquier CE o BA. Se espera que las organizaciones reguladas implementen medidas de seguridad administrativas, incluyendo capacitación adecuada en HIPAA y seguridad, gobernanza de datos, políticas de gestión de riesgos, documentación clara e informes institucionales.

Con estos aspectos de seguridad en mente, se especifica en la Regla de Seguridad que las CEs y BAs deben asegurar la integridad, confidencialidad y disponibilidad de la ePHI. También deben detectar y mitigar amenazas de seguridad, prevenir divulgaciones no autorizadas de datos y certificar el cumplimiento en toda su organización.

La Regla de Transacciones

La Regla de Transacciones estandariza la codificación e identificación de transacciones de ePHI dentro de los sistemas médicos. Esta regla eliminó los códigos locales y estándares organizacionales utilizados a nivel municipal, estatal o privado. Estos estándares se aplican a registros médicos, registros financieros y cualquier cosa que se determine que cae bajo PHI. Estos códigos se basan en varios conjuntos de códigos diferentes:

La Regla de Identificadores

Las organizaciones deben usar números de identificación únicos bajo las regulaciones del Servicio de Impuestos Internos (IRS) para apoyar la identificación uniforme de las organizaciones de atención médica con fines de privacidad, y estos identificadores deben estar presentes en todas las transacciones de HIPAA. Estos incluyen los siguientes identificadores: 

  • El Identificador Nacional de Proveedor (NPI): Un identificador único para proveedores de atención médica utilizado en todas las transacciones administrativas y financieras.
  • Número de Identificación del Empleador (EIN): Un número único utilizado por los empleadores como identificación en transacciones financieras.

Identificadores adicionales, incluyendo el Identificador Nacional del Plan de Salud (HPID, un número de identificación único para identificar a los proveedores de planes de salud) y el Identificador de Otra Entidad (OEID), fueron utilizados y posteriormente eliminados de la práctica a través de resoluciones del HHS.

La Regla de Cumplimiento

Implementada como parte de la Ley HITECH, esta regla cambia y especifica las sanciones por incumplimiento bajo HIPAA. A partir de 2020, la Regla de Cumplimiento especifica diferentes tipos de violaciones de HIPAA:

  • Violaciones Desconocidas, donde una CE o BA no sabía, y no se podría haber esperado razonablemente que supiera de la violación. Las sanciones varían de $100 a $59,000 por violación, con una sanción máxima de $25,000 por año para violaciones idénticas.
  • Violaciones Desconocidas, donde una CE o BA no sabía de una violación pero debería haberlo sabido. Las sanciones varían de $1,000 a $50,000 por violación con un máximo de $100,000 por año para violaciones idénticas.
  • Negligencia Intencional con Acción Correctiva, donde la CE o BA sabía y no abordó la violación pero se hicieron intentos posteriormente para hacerlo. Las sanciones varían de $10,000 a $50,000 por violación con un máximo de $250,000 por año para violaciones idénticas.
  • Negligencia Intencional sin Acción Correctiva, donde la CE o BA ignoró o descuidó intencionalmente las brechas y no hizo ningún intento de corregirlas. Las sanciones son un mínimo de $50,000 por violación con un máximo de $1.5 millones por año para violaciones idénticas.

Además, las personas que se encuentren en violación de la Regla de Privacidad con negligencia sin intención o intención específica de robar y beneficiarse del robo de PHI pueden estar sujetas a cargos criminales. Las sanciones criminales pueden incluir lo siguiente:

  1. Violaciones con causa razonable o ignorancia de la violación: hasta un año de cárcel
  2. Obtener PHI bajo falsos pretextos: hasta cinco años de cárcel
  3. Obtener PHI con intención maliciosa o ganancia personal: Hasta diez años de cárcel

Dos reglas adicionales juegan un papel importante en el cumplimiento de HIPAA:

La Regla de Notificación de Brechas

Esta regla establece las obligaciones que tienen las CEs y BAs una vez que ocurre una brecha. Aunque diferentes contextos requieren diferentes enfoques, en general, las organizaciones deben tomar los siguientes pasos después de una brecha:

  • Las CEs y BAs deben reportar brechas solo si afectan PHI no asegurada. Si la PHI no ha sido cifrada, protegida o de otro modo inutilizada, entonces no está asegurada.
  • Las organizaciones en cumplimiento deben reportar la brecha a los pacientes afectados, ya sea por escrito o por correo electrónico dentro de los 60 días de descubrir la brecha. En casos donde la organización tenga información de contacto incompleta para 10 o más pacientes afectados, deben publicar una notificación en su sitio web y proporcionar un número de contacto gratuito para que los pacientes afectados llamen. Tanto la notificación como el número de teléfono deben permanecer activos y visibles durante al menos 90 días.
  • Las brechas que comprometan a 500 o más pacientes dentro de un solo estado o jurisdicción deben proporcionar notificaciones a través de medios prominentes dentro de ese estado o jurisdicción. Esta notificación a los medios debe ocurrir dentro de los 60 días de descubrir la brecha.
  • Si la brecha afecta a más de 500 personas, la organización debe notificar al Secretario de Salud y Servicios Humanos a través de un formulario de informe de brecha dentro de los 60 días.

La Regla Ómnibus

Aprobada en 2013, la Regla Ómnibus de HIPAA refina parte del lenguaje en las Reglas de Privacidad y Seguridad para complementar mejor tanto las tecnologías modernas de ePHI como el cambio hacia los registros electrónicos promovido bajo la ley HITECH de 2009.

Quizás lo más importante, la Regla Ómnibus cambia el lenguaje en torno a los asociados comerciales y sus obligaciones. Bajo las nuevas reglas, los BAs son igualmente responsables de las violaciones de HIPAA y las brechas del sistema como las entidades cubiertas, y como tal, deben seguir la letra de la ley al igual que las CEs. Además, la definición de BA ahora incluye a todas y cada una de las organizaciones que tocan PHI como parte de su trabajo con una CE.

Finalmente, las CEs están prohibidas bajo la Regla Ómnibus de vender información de pacientes sin consentimiento, y tienen límites más estrictos sobre cómo usan la información de los pacientes para fines de marketing.

¿Qué divulgaciones de PHI están permitidas bajo HIPAA?

Con todas estas reglas y regulaciones, hay un conjunto selecto de condiciones bajo las cuales un proveedor puede divulgar PHI sin permiso directo. Estas incluyen las siguientes:

  • Divulgaciones al Paciente: Las CEs y BAs pueden divulgar cualquier información al individuo a quien pertenece (el sujeto del informe).
  • Internamente para Tratamiento: Las organizaciones pueden divulgar datos internamente como parte de cualquiera de sus propios procesos de tratamiento, operación y pago.
  • Mejor Interés: Ya sea informalmente o durante emergencias, las CEs y BAs pueden (de manera bastante limitada) divulgar cualquier información ubicada en directorios de instalaciones para notificación de miembros de la familia.
  • Divulgación Incidental: Si la PHI se expone accidentalmente durante una divulgación autorizada y la CE o BA ha tomado medidas razonables para prevenir tal divulgación, la organización no enfrenta una sanción bajo la Regla de Privacidad.
  • Interés Público: La CE o BA puede divulgar información del paciente sin permiso bajo 12 propósitos de prioridad nacional:
    • Actividades de Salud Pública como pandemias, pruebas de medicamentos y medicinas, pruebas de síntomas y manejo de enfermedades y lesiones en el lugar de trabajo.
    • Abuso: Las CEs pueden divulgar información a las autoridades gubernamentales que exponga abuso, negligencia o violencia.
    • Supervisión: La información puede ser divulgada como parte de actividades de supervisión a agencias definidas en la Regla de Privacidad. 
    • Procedimientos Judiciales: Órdenes judiciales selectas pueden autorizar la divulgación de PHI.
    • Aplicación de la Ley: Bajo ciertas circunstancias, la PHI puede ser divulgada a agencias de aplicación de la ley para órdenes legales, identificación de sospechosos o personas desaparecidas, o notificación a la policía de la muerte de una persona.
    • Fallecidos: La PHI puede ser divulgada a forenses o examinadores médicos para ayudar en la identificación o para determinar la causa de la muerte.
    • Donación: La PHI puede ser divulgada para facilitar la donación y trasplantes de órganos.
    • Investigación: Bajo ciertas circunstancias, la PHI puede ser divulgada para ciertos tipos de investigación autorizada y protegida.
    • Seguridad Pública: La PHI puede ser divulgada para prevenir daño a individuos en ciertas circunstancias, incluyendo amenazas al propio paciente.
    • Función Gubernamental: La ejecución de funciones militares, misiones de inteligencia u otras actividades relacionadas con la seguridad nacional no requieren autorización para la divulgación de PHI.
    • Compensación de Trabajadores: La PHI puede ser divulgada bajo autorización legal para propósitos de litigar reclamaciones y beneficios de compensación de trabajadores. 
    • Requerido por Ley: Estas divulgaciones de PHI requeridas por ley están incluidas por estatuto, regulación u órdenes judiciales.

Cumple con HIPAA y Protege la Privacidad de los Pacientes

Cuando se trata de cumplir con HIPAA, es importante que la infraestructura de TI y gestión de datos de una organización esté a la altura de la tarea de proteger a los pacientes y a tus miembros del equipo. Un sistema unificado, registrado, rastreado y seguro no solo te proporciona un cumplimiento manejable que puedes reportar y monitorear, sino que también te da las herramientas fundamentales para asegurar que la privacidad de tus pacientes permanezca protegida.

Finalmente, mantener el cumplimiento de HIPAA no significa aislarte del mundo exterior. Con las herramientas adecuadas, como uso compartido seguro de archivos, enlaces de correo electrónico seguro, servicios de datos en cumplimiento e infraestructura de nube privada, puedes priorizar la seguridad y el cumplimiento sin sacrificar la usabilidad o la satisfacción del cliente.

Programa una demostración personalizada de Kiteworks para descubrir cómo tu organización puede cumplir con HIPAA al enviar y compartir PII.

 

Volver al Glosario de Riesgo y Cumplimiento

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante
Compartir
Twittear
Compartir
Explore Kiteworks