Lista de comprobación definitiva del cumplimiento de la HIPAA: Pasos esenciales para los proveedores sanitarios

Image of Iron Brands

Publicado el 22 jun 2023 y editado el 15 ago 2023 por Iron Brands

La HIPAA es una legislación larga y compleja. Todo lo que podemos hacer es proporcionar información de muy alto nivel. Esta lista de comprobación pretende ser un mero punto de partida para ayudarle a navegar por el cumplimiento de la HIPAA. Si necesita profundizar más, deberá recurrir a un profesional jurídico.

Además, tenga en cuenta que la HIPAA no sólo se refiere a la privacidad. La ley incluye normas de seguridad, normas de portabilidad, normas técnicas para los historiales médicos electrónicos y mucho más. Por sí solo, el cumplimiento de la norma de privacidad no garantiza el cumplimiento de la HIPAA en su conjunto. No se olvide de todo lo demás.

  1. ¿Me afecta la HIPAA?
    1. ¿Es mi organización o mi cliente una entidad cubierta por la HIPAA?
    2. ¿Es mi organización un asociado comercial o un subcontratista?
  2. ¿Qué información cubre la HIPAA?
  3. Soy una entidad cubierta; ¿y ahora qué?
  4. Soy una empresa asociada o subcontratada, ¿y ahora qué?
  5. Reflexiones finales
Logo of MichelinMichelin chose Simple AnalyticsJoin them

¿Me afecta la HIPAA?

En primer lugar, debe averiguar si la HIPAA se aplica a su organización. Esto significa que tiene que averiguar si es una entidad cubierta, un asociado comercial o un subcontratista.

Si no es ninguna de esas entidades, no tiene que preocuparse en absoluto por la HIPAA. Pero otras normas sobre datos sanitarios pueden seguir aplicándose (por ejemplo, las normas de la CCPA sobre datos sensibles).

¿Es mi organización o mi cliente una entidad cubierta por la HIPAA?

Las entidades cubiertas (EC) pertenecen a tres categorías:

  • proveedores de atención sanitaria. Son personas, grupos u organizaciones que prestan servicios, cuidados, equipos o suministros médicos como parte de su actividad habitual.
  • los planes de salud son planes individuales o de grupo que proporcionan o pagan la atención médica.
  • los centros de intercambio de información sanitaria tienen una definición muy complicada, pero en términos prácticos suelen ser intermediarios como proveedores de pagos y redes de valor añadido.

Tenga en cuenta que estas definiciones legales vienen acompañadas de muchas excepciones. Es imposible resumirlas todas, así que asegúrese de consultar el § 160.103 en el texto consolidado de la ley.

¿Es mi organización un asociado comercial o un subcontratista?

Los asociadoscomerciales (Business Associates, BA) también tienen obligaciones en virtud de la HIPAA y las normas de privacidad. Un BA es alguien que presta determinados servicios a una entidad cubierta y recibe información sanitaria protegida (PHI) de la entidad cubierta.

Los servicios que prestan los BA incluyen el análisis, procesamiento y administración de datos. Así pues, la definición legal abarca a muchos intermediarios que ofrecen servicios de la sociedad de la información, como alojamiento web y análisis web. La parte más complicada a la hora de determinar si usted es un BA es evaluar si su cliente es una entidad cubierta por la HIPAA (véase la sección anterior).

Tenga en cuenta que trabajar para una entidad cubierta y acceder a la PHI son requisitos acumulativos. Si usted no recibe PHI, entonces no es un BA, independientemente de con quién trabaje. Del mismo modo, si procesa información sanitaria pero no es una EC y no trabaja con una, entonces no tiene que preocuparse por la HIPAA (pero puede que se le aplique otra legislación, como la CCPA).

La HIPAA también cubre a los subcontratistas que ayudan a los BA a prestar su servicio. Se puede pensar en un subcontratista como el socio comercial de un socio comercial.

¿Qué información cubre la HIPAA?

Si reúne los requisitos para ser considerado entidad certificada/empresa asociada/subcontratista, tiene ciertas obligaciones en virtud de la HIPAA. Pero esto no significa que estas obligaciones cubran todos los datos que procesa. Así que el siguiente paso es averiguar qué es PHI y qué no lo es entre la información que procesa.

Tres criterios acumulativos definen la información sanitaria protegida

  • a. la recoge una entidad cubierta
  • b. está relacionada con la salud
  • c. es personalmente identificable

Si falta alguno de estos requisitos, entonces no está procesando PHI.

Supongamos que un hospital ofrece a los profesionales de la medicina un seminario sobre un tratamiento nuevo e innovador y anuncia el seminario a través de su sitio web. El sitio web utiliza Google Analytics en la página del seminario. ¿Implica esto la divulgación de PHI?

Desglosémoslo:

  • un hospital es un proveedor de asistencia sanitaria,_ por lo que se cumple el requisito a_.
  • Google Analyticsrecopila datos que pueden considerarse información de identificación personal según la HIPAA (ID de cookies y posiblemente IP, en función de la configuración y la versión del software). Se cumple el requisito c
  • el hecho de que alguien quiera asistir a un seminario sobre el tema no significa que padezca la enfermedad. De hecho, el seminario está dirigido a profesionales médicos que probablemente estén interesados profesionalmente en el tema. NO se cumple el requisito b

En este caso, no se divulga ninguna información sanitaria protegida. Pero la respuesta podría ser diferente si la página proporcionara información al público en general en lugar de promocionar un seminario.

En resumen, no es fácil determinar qué información es PHI y qué no lo es. Hay que tener en cuenta los tres requisitos de la HIPAA.

Pero también es muy importante. Intentar cumplir la HIPAA con respecto a todos los datos que procesa será una carga increíble para su organización. Por eso es crucial determinar qué datos entran en el ámbito de la HIPAA y cuáles no.

Recuerde que si usted es un BA, toda la información que no reciba de un CE no puede ser, por definición, PHI. Por otra parte, el mero hecho de recibir información de un EC no significa, en sí mismo, que sea PHI. Una vez más, debe examinar cada categoría de datos en función de la definición de PHI de la HIPAA.

En cuanto a la analítica web, el sitio web del HHS proporciona información útil sobre la divulgación de la PHI. Si todavía no está seguro al 100% de lo que es PHI y lo que no lo es, busque asesoramiento jurídico: ¡la respuesta es realmente importante para el cumplimiento!

Soy una entidad cubierta; ¿y ahora qué?

Si usted es una entidad cubierta, entonces necesita cumplir con las normas específicas relativas a la divulgación de la PHI.

Algunas divulgaciones siempre están permitidas porque son necesarias para tratar al paciente o para garantizar el funcionamiento del sistema sanitario en su conjunto. Por ejemplo, puede revelar la historia clínica electrónica de un paciente a su nuevo hospital o remitir las facturas médicas a su seguro médico.

Cualquier otra divulgación requiere la autorización por escrito del paciente. Esto es muy importante, ya que la HIPAA castiga las divulgaciones no autorizadas.

La HIPAA incluye normas detalladas sobre lo que constituye una autorización por escrito. Como regla general, el paciente debe ser realmente libre de rechazar la autorización. No está permitido negar servicios sanitarios a un paciente para obtener su autorización.

Por cierto, el HHS ha aclarado que hacer clic en "ok" en los banners de cookies y ventanas emergentes similares no cuenta como dar una autorización por escrito. Si utiliza un servicio en línea, como un servicio de análisis web, no podrá confiar en las ventanas emergentes para recabar el consentimiento.

Además, si trabaja con un BA, necesita un acuerdo de asociación empresarial (BAA). Un BAA es un contrato que indica a un BA lo que puede y no puede hacer con la PHI. Un BAA contiene cláusulas estándar detalladas por el Departamento de Salud y Servicios Humanos de EE.UU. (puede obtener más información sobre estas cláusulas aquí).

Soy una empresa asociada o subcontratada, ¿y ahora qué?

Si es una empresa asociada o subcontratada, debe tener un acuerdo de empresa asociada con su empresa asociada/entidad cubierta.

Los BAA obligan a los BA y subcontratistas a cumplir normas de privacidad y seguridad similares a las de las entidades cubiertas. Por lo tanto, tener un acuerdo de asociación empresarial no es sólo firmar unos papeles: debe examinar su contenido en detalle y asegurarse de que puede cumplir todos sus requisitos. Esto incluye responder a las solicitudes de información de los pacientes y facilitar determinada documentación.

Si firma un BAA, será responsable de cualquier infracción del acuerdo. No debe ofrecerse a firmar un BAA a menos que esté realmente seguro de que su organización puede procesar la información de conformidad con la HIPAA. Esta es la razón por la que muchos servicios, incluidos algunos muy grandes como Google Analytics, no están disponibles para firmar un BAA. Si tiene dudas, debe consultar a un profesional jurídico para evitar cualquier responsabilidad en virtud de la HIPAA.

Existen diferentes certificaciones de cumplimiento de la HIPAA para proveedores de servicios, y pueden ser una ventaja a la hora de negociar contratos con entidades cubiertas. Pero tenga en cuenta que ninguna certificación está legalmente reconocida. La utilidad de una certificación depende totalmente de su reconocimiento en el sector. Antes de gastar dinero en una certificación, debe investigar un poco y consultar a un profesional del derecho.

Por último, conviene señalar que los BA y los subcontratistas no suelen tener relación directa con los pacientes. Esto significa que no podrá confiar en las autorizaciones de los pacientes para las divulgaciones.

Reflexiones finales

El cumplimiento siempre empieza por plantearse las preguntas adecuadas, y el cumplimiento de la norma de privacidad de la HIPAA no es diferente. He aquí algunos pasos útiles que puede seguir:

  1. evalúe si es una entidad cubierta, un asociado comercial, un subcontratista o ninguno de los anteriores
  2. averigüe qué datos entran en el ámbito de la HIPAA y cuáles no
  3. asegúrese de que cumple la Regla de Privacidad y las normas sobre limitación de divulgación
  4. evalúe si existen todos los acuerdos de asociación empresarial que necesita (y asegúrese de que puede cumplirlos)
  5. (opcional) considere la posibilidad de obtener la certificación HIPAA de un organismo acreditado
  6. no se olvide de las demás normas de la HIPAA
  7. ¡no se olvide de las demás leyes sobre datos sanitarios! (CCPA, My Health My Data, etc.)

Una vez más, la HIPAA es una legislación larga y compleja. Este blog sólo contiene información de muy alto nivel y no sustituye la opinión de un profesional cualificado.

A fin de cuentas, el cumplimiento no es sencillo. Así que vale la pena preguntarse: ¿realmente necesito revelar estos datos? Tal vez existan alternativas totalmente anonimizadas y respetuosas con la privacidad que puedan evitarle muchos quebraderos de cabeza relacionados con el cumplimiento de la normativa.

Simple Analytics puede ser esa solución para su analítica web. No rastreamos a los visitantes ni recopilamos datos confidenciales. Sólo utilizamos direcciones IP para la comunicación; incluso esta divulgación mínima puede evitarse mediante el proxy de la dirección.

Simple Analytics puede implementarse fácilmente de conformidad con la HIPAA y no requiere BAA. Si esto le parece bien, ¡pruébenos!

GA4 es complejo. Prueba Simple Analytics

GA4 es como estar en la cabina de un avión sin licencia de piloto

Iniciar prueba de 14 días