Regresar
-
7

Requisitos de cumplimiento de la HIPAA: Qué es y quiénes deben cumplirla

¿Qué es Delta Protect?

Ciberseguridad y Cumplimiento Simplificado para Startups y PYMEs en México y LATAM 🔐

Conoce más

Introducción

En el área de salud es fundamental que se garantice la privacidad de la información electrónica de los pacientes. Para ayudar a proteger los historiales médicos, se han creado leyes federales que establecen una serie de estándares normativos que se deben aplicar por las empresas y organizaciones. Una de ellas es la HIPAA.

¿De qué manera ayuda a proteger la información médica el estándar HIPAA? ¿Cuáles son las sanciones que establece? A continuación te lo explicamos. 

¿Qué es la norma HIPAA?

The Health Insurance Portability and Accountability Act o la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA por sus siglas en inglés) es una legislación creada en 1996 para la protección de datos confidenciales de pacientes médicos. 

Esta ley federal estadounidense fue promulgada por el Departamento de Salud y Servicios Humanos (HHS) para garantizar que las empresas y las organizaciones sanitarias protejan los datos personales de los pacientes o la información médica protegida (PHI) frente a infracciones de privacidad, mala gestión interna o filtraciones de datos.

Las infracciones de la HIPAA más comunes son:

  • Fuga de datos por falta de protección adecuada de la PHI o robo con fines personales.
  • Acceso no autorizado a la información médica electrónica del paciente (ePHI) 
  • Divulgación de información contenida en los historiales médicos. 
  • Falta de formación o deficiencias de los empleados que manejan la PHI
  • Falta de notificación de la infracción.
  • No se cuenta con las salvaguardas físicas, técnicas y administrativas necesarias.
  1. ¿Quiénes deben cumplir con la HIPAA?

Cualquier entidad cubierta, es decir, centro de cuidado de la salud, proveedores de servicios de atención médica y planes de salud o seguro médico que transmitan vía electrónica una información médica deben velar por el cumplimiento de la HIPAA.

Los socios comerciales que hayan tenido acceso a la información personal de los pacientes y brinden soporte a las entidades cubiertas, también deben cumplir con la HIPAA. 

Los socios comerciales deben firmar un acuerdo (business associate agreements o BAA) con las entidades cubiertas en el que garantizan la salvaguarda de la información médica y especifican cuál es el límite de su uso y divulgación.

Requisitos básicos para el cumplimiento de la norma HIPAA

La Oficina de Inspectoría General del Departamento de Servicios Humanos de los EE. UU. (OIG) creó el programa «Siete elementos del cumplimiento eficaz», con el objetivo de orientar a las organizaciones sobre cómo garantizar la privacidad y la seguridad de la información médica.

Los requisitos de cumplimiento de la norma HIPAA son:

  1. Implementación: establecer y dejar por escrito cuáles son las políticas de seguridad, procedimientos y estándares de conducta. 
  2. Orientación: designar a un funcionario y a un comité de cumplimiento.
  3. Entrenamiento: desarrollar actividades de formación tanto teóricas como prácticas sobre el resguardo de la información de salud protegida (PHI).
  4. Comunicación: establecer líneas de comunicación que sean eficaces.
  5. Monitoreo: realizar auditorías y monitoreo interno.
  6. Disciplina: velar por el cumplimiento de las medidas de seguridad y dejar claro cuáles son las consecuencias en caso de no hacerlo.
  7. Investigar: detectar las infracciones y averiguar cuáles pueden ser los correctivos que se deben poner en marcha para que no se repita. 

Además de estos siete elementos, la privacidad y seguridad de la información médica depende también de la creación de un sistema de clasificación de datos que permita cumplir con la ley de forma segura y garantizar la confidencialidad de la PHI. 

Una manera de clasificar los datos es mediante intervalos que permitan poner en orden la información a partir de características previamente definidas. Algunos de los tipos de intervalos que se pueden aplicar son:

  • Intervalos manuales: implica que un ser humano revise todos los datos y los organiza siguiendo un orden en particular. Es un buen sistema para un conjunto de datos pequeños, pero puede ser complicado con informaciones grandes.  
  • Intervalos definidos: la información se puede dividir en paquetes o grupos según una característica específica. Por ejemplo, según la cantidad de caracteres. 
  • Intervalos iguales: los datos se dividen en un número específico de grupos, de manera uniforme.
  • Quantiles: se establece una cantidad de valores de datos por un tipo de clase. 
  • Descansos naturales: hay programas que determinan por sí mismos dónde ocurren grandes cambios en los datos y eso sirve como indicador para dividirlos.
  • Intervalos geométricos: por cada categoría de clase se permite el mismo número de unidades. 
  • Intervalos de desviación estándar: se establecen valores numéricos para mostrar las desviaciones de cada entrada. 
  • Rangos personalizados: cada usuario crea un rango y lo puede cambiar en cualquier momento. 

Sanciones por incumplimiento de la norma HIPAA

La Oficina de Derechos Civiles (OCR) del Departamento de Salud y Servicios Humanos de los Estados Unidos es la responsable de hacer cumplir las normas de privacidad y seguridad de la HIPAA. Además, se encarga de hacer inspecciones, revisar las quejas, educar en la materia y permitir las sanciones monetarias por violación de la ley.

El incumplimiento de la ley HIPAA implica que la empresa aparezca durante dos años en la lista pública de la OCR, conocida como The Wall of Shame (El muro de la vergüenza).

Las multas por incumplimiento de la HIPAA dependen del nivel de negligencia:

  1. Primer nivel. Desconocimiento de la infracción: la entidad cubierta no es consciente de haber incumplido la normativa HIPAA. Las sanciones son entre USD 100 y USD 50 000. El monto máximo por año es de USD 25 000.
  2. Segundo nivel. Causa razonable no relacionada con una negligencia intencionada. Hay una violación de la ley, a pesar de que existen sistemas de vigilancia. Las sanciones oscilan entre USD 1 000 y USD 50 000, y una máxima por año de USD 100 000. 
  3. Tercer nivel. Negligencia intencionada corregida en un plazo de 30 días después de descubierta: la infracción se comete con la intención de vender y beneficiarse financieramente o usar de manera maliciosa la información médica de una persona. Los correctivos se deben tomar en 30 días. Este nivel incluye sanciones entre USD 10 000 y USD 50 000 por cada infracción y un máximo por año de USD 250 000.
  4. Cuarto nivel. Negligencia intencionada no corregida dentro de 30 días: las consecuencias de la infracción así como los sistemas de protección violados no son corregidos en el tiempo impuesto. Las sanciones pueden ser hasta de USD 1 500 000 cada año.

Cualquier organización debe establecer un control de acceso para que solo el personal autorizado pueda manejar la PHI. Además, tiene que incluir un plan para eliminar de los navegadores y dispositivos móviles de los empleados la PHI. 

Para garantizar de manera más eficiente la confidencialidad de la información, las organizaciones se pueden guiar por el Reglamento General de Protección de Datos de la Unión Europea (GDPR). Este instrumento establece un conjunto de pautas internacionales para el manejo de los datos de forma segura, respetuosa y cuidadosa. 

En Delta Protect sabemos la importancia de cumplir con cada ley a detalle. Por eso, creamos Apolo un programa en donde podrás automatizar la ciberseguridad y compliance mientras mantenemos a tu equipo de trabajo al tanto de actualizaciones. ¡Conoce más en nuestra web!

Conclusiones

Bibliografía

¿Necesitas ayuda?

Click aquí

Obtén una guía completa y gratuita sobre ISO 27001

Descargar E-book

Conoce la plataforma

Click aquí
Agendar una demo

Click aqui para agendar una reunión con un especialista

Agendar una reunión

CISO as a Service

Designa especialistas

Click aquí
Agendar una reunión

Detectamos vulnerabilidades

Click aquí
Agendar una reunión

Ciberinteligencia

Buscamos en la Dark Web

Click aquí
Agendar una reunión

Sigue aprendiendo