10 min read

HIPAA toolkit

HIPAA toolkit: todo lo que tenés que saber sobre la normativa estadounidense

La Ley de Portabilidad y Responsabilidad de Seguros de Salud que fue modificada en 2013, determina lineamientos que deben cumplir las empresas del rubro healthtech y las empresas asociadas que provean cualquier tipo de servicio, tecnológico, técnico o de cualquier índole.

En este artículo te contamos en detalle toda la información necesaria para comprender la ley federal de Estados Unidos HIPAA. Te vamos a explicar qué es, cómo se cumple con la normativa y qué entidades se encargan de administrar, hacer cumplir y definir las penas.

A la vez que te explicaremos quiénes deben cumplir con la normativa y te dejaremos algunas pistas para que puedas entender si tu negocio requiere adecuarse a la legislación norteamericana.

En este artículo: ¿Qué es HIPAA?

¿Cómo cumplir con HIPAA?

¿Quién administra la Ley HIPAA?

¿Quiénes deben cumplir con HIPAA?

¿Por qué necesitas empresas proveedoras HIPAA compliant?

¿Por qué es importante supervisar a las empresas proveedoras?

¿Cómo elegir una empresa proveedora HIPAA compliant?

Ejemplos de empresas proveedoras de software que deben ser HIPAA compliant

¿Qué es HIPAA?

HIPAA viene de las siglas en inglés Health Insurance Portability and Accountability Act, y remite a la Ley de Portabilidad y Responsabilidad de Seguros de Salud de Estados Unidos aprobada en 1996.

La ley fiscal apunta a proteger la información médica (PHI por sus siglas en inglés “Protected Health Information”) a través de una serie de requisitos de seguridad física y digital.

Se considera PHI a todos los datos que remitan a condición física o mental pasada o futura de una persona, el pago por cuidados de salud o información que permita identificar a un individuo. En cualquier formato o medio, que cree o reciba una empresa proveedora de cuidados de la salud, planes médicos, empleadora, o centro de procesamiento de cuidados de salud.

¿Cómo cumplir con HIPAA?

Para cumplir con la normativa hay que cuidar el modo en que se recopila, almacena y transmite la información. Es decir, si el producto o los servicios que se ofrecen opera con datos sanitarios que permiten identificar a las personas por ejemplo, síntomas, tratamiento, diagnóstico, hay que garantizar que llegue de manera segura al servidor.

La documentación recolectada queda guardada en servidores propios o de terceros y en cualquiera de los casos, se debe respaldar conforme los estándares HIPAA. Además, se debe cumplir con el mantenimiento periódico y actualización tecnológica.

La transmisión de esos datos, de los dispositivos a los servidores, entre servidores y de los servidores a los dispositivos, vía correo electrónico, plataforma, formulario o cualquier otra transferencia digital, debe ser segura y encriptada.

¿Quién administra la Ley HIPAA?

Quien se encarga de hacer cumplir las normas de privacidad y seguridad que se indican en la Ley de Portabilidad y Responsabilidad de Seguros de Salud es el Departamento de Salud y Servicios Humanos (HHS, por sus siglas en inglés) de Estados Unidos.

A su vez la entidad se encarga de notificar frente a las infracciones, decidir las penas que pueden llegar hasta 1,5 millones de dólares.

El Departamento de Justicia (DOJ, por sus siglas en inglés) en algunas circunstancias puede imponer sanciones penales. Interviene en caso de reclamos o denuncias de incumplimiento con una investigación y auditoría a partir de las cuales determina si corresponde o no una pena.

¿Quiénes deben cumplir con HIPAA?

Quienes deben cumplir con HIPAA son profesionales de la medicina, hospitales, farmacias, organizaciones para el mantenimiento de la salud (HMO) y compañías de seguros.

También deben acatar todas las empresas que en alguna instancia de su flujo transmita, almacene o reciba datos de PHI, y se las clasificó como “socio comercial”. Esto implica: servicios de transcripción y registro de datos médicos; compañías de software que proveen registros de salud online con fines médicos; y empresas que procesan datos médicos, los analizan y elaboran reportes.

Si querés leer con mayor detalle cuál es el alcance de la Ley HIPAA entrá acá, te ofrecemos además un test que te permitirá definir si tu negocio debe cumplir con esa legislación o no.

¿Por qué necesitas empresas proveedoras HIPAA compliant?

Necesitas empresas proveedoras HIPAA compliant porque es una de las exigencias de la normativa. Además de proteger la PHI que creás y/o administrás, tenés que asegurarte de que quienes te provean insumos, tecnología y servicios cumplan con los requisitos de seguridad de los mismos.

Una software factory que crea una app de salud desde cero o, que desarrolla alguna funcionalidad para una web existente, y debe administrar información médica protegida, tiene que seguir las directrices de la HIPAA. Pero también aquellas que proveen servicios de comunicaciones y organización.

Si querés profundizar más sobre la importancia de contar con una empresa proveedora que se adecúe a la Ley de Portabilidad y Responsabilidad de Seguros de Salud, ingresá acá.

¿Por qué es importante supervisar a las empresas proveedoras?

Es importante que además de contratar empresas proveedoras HIPAA compliant, se supervise continuamente que cumplan con la normativa. Esto se debe a que una violación por su parte según la ley norteamericana implica un incumplimiento también por parte de quien la contrató.

Muchas veces se producen infracciones a la normativa no por filtración de información, sino por desconocimiento de alguna actualización. La tecnología evoluciona y por lo tanto los protocolos de privacidad y seguridad se optimizan y si no se está encima de las transformaciones del mercado, se puede estar incumpliendo la legislación.

Esta violación podría afectar directamente a tu negocio en términos legales y económicos ya que las multas pueden llegar hasta 1.5 millones de dólares.

¿Cómo elegir una empresa proveedora HIPAA compliant?

Para evitar riesgos de incumplimiento de la normativa HIPAA producto de infracciones de socios comerciales, elaboramos una serie de recomendaciones para elegir una empresa proveedora y para sostener el acuerdo en el largo plazo:

  1. Realizar una investigación exhaustiva de proveedores: antes de decidir a quién se contratará, es clave informarse bien respecto de sus medidas de seguridad y cifrado de información para asegurarnos que cumpla con LA LEY HIPAA y de ese modo, que la decision sea conciente.

  2. Llevar adelante regulaciones y auditorías periódicas: es una buena práctica para mantener los sistemas actualizados, y además muy útil para evitar el acceso no autorizado, o filtraciones de datos.

  3. Exigir firmar acuerdos Legales: la implementación de Acuerdos de Asociados Comerciales (BAA) con los proveedores es un requisito legal y un paso fundamental en la definición de responsabilidades y expectativas.

Ejemplos de empresas proveedoras de software que deben ser HIPAA compliant

A la hora de elegir las herramientas de software con las cuales organizar las tareas, la información y las comunicaciones internas y externas en el caso de empresas que se dedican a la industria healthtech deben elegirse de manera informada.

A continuación te dejamos un listado con las herramientas más conocidas en el mercado y te indicamos si cumplen con HIPAA:

  • FaceTime: si bien permite a las personas realizar llamadas de audio y video encriptadas de extremo a extremo, lo que garantiza una comunicación privada y segura; Apple no asegura seguir las directrices de la normativa, ni firma un Acuerdo de Socio Comercial (BAA). Con lo cual se puede usar para comunicaciones no clínicas que no involucren información de salud protegida (PHI).

  • Google meet: es compatible con HIPAA. La empresa le ofrece a quienes la elijan como proveedora firmar un acuerdo de socio comercial (BAA) cuando manejan Información de salud protegida (PHI). De esta manera se pueden realizar consultas virtuales de salud, citas de seguimiento y compartir pantalla para mostrar y analizar estudios médicos.

  • Zoom: ofrece firmar un Acuerdo de Asociación Comercial (BAA) para seguir la normativa estadounidense. Así es como garantiza un entorno seguro para administrar y divulgar datos clínicos.

  • Microsoft teams: es HIPAA compliant y cuenta con varias medidas de seguridad, como el cifrado de datos en tránsito y en reposo, autenticación multifactor y protección avanzada contra amenazas. De esta manera se convierte en una herramienta que permite la colaboración y coordinación entre profesionales médicos; compartir registros vitales de pacientes, comunicarse en tiempo real y administrar planes de tratamiento.

  • Whatsapp: si bien sigue rigurosos protocolos de encriptación de mensajes, no brinda la posibilidad de entablar un acuerdo BAA con lo cual no es HIPAA compliant. Así que la información que se puede enviar por ese medio es netamente organizacional: conversaciones para gestionar turnos, recordatorios de turnos o consultas breves.

  • Calendly: esta herramienta que puede ayudar a agilizar la programación de citas, si bien emplea conexiones HTTPS seguras, encriptación de datos y medidas de cumplimiento como la europea, GDPR, para garantizar la seguridad de los datos de las personas usuarias, no cumple con HIPAA y no brinda la posibilidad de firmar el BAA.

  • Amazon Web Services (AWS): está dispuesta a rubricar el BAA y sigue los lineamientos HIPAA al usar un cifrado de datos en tránsito y en reposo, hardware de seguridad dedicado y capacidades integrales de registro y auditoría. Por todo esto posibilita administrar grandes conjuntos de datos, implementar aplicaciones y analizarlos . Además sus herramientas de aprendizaje automático pueden respaldar el análisis predictivo sin manejar la PHI directamente.

  • Dropbox: cuenta con cifrado de datos tanto en reposo como en tránsito, autenticación de dos factores y registros de actividad para garantizar la protección de datos confidenciales. En esta línea responde a las demandas de HIPAA y está disponible para firmar el BAA.

  • Google Drive: lleva adelante sólidas medidas de seguridad, como el cifrado de datos en reposo y en tránsito, controles de acceso y registros de auditoría, a la vez que ofrece la opción de rúbrica del BAA. Por eso es HIPAA compliant.

  • Onedrive: se pueda usar de una manera que cumpla con los requisitos de HIPAA para la protección de PHI. De esta manera puede servir como un programa de almacenamiento y fuente para compartir registros médicos de pacientes como imágenes, planes o resultados de análisis de manera segura.

  • Icloud: no cumple con HIPAA y, por lo tanto, no es adecuado para almacenar o transmitir información de salud protegida (PHI). Por lo tanto si se llega a emplear en entornos médicos se recomienda hacerlo con cautela para evitar violar la ley.

  • Mailchimp: según HIPAA no es un socio comercial que resguarde los datos por lo tanto no es conveniente emplear este proveedor. Sin embargo es una herramienta muy útil que se puede utilizar para tareas de comunicación y marketing que no requiera el uso de datos confidenciales.

  • Gmail: se puede configurar para que cumpla con HIPAA y Google ofrece firmar un Acuerdo de Socio Comercial (BAA) con lo cual es una buena opción para intercambiar información y mensajes PHI.

  • Asana: no cumple con lo dispuesto en la ley HIPAA con lo cual puede usarse para la organización de tareas y proyectos que no detallen información sensible o privada.

Si este artículo te resultó de utilidad, compartilo con tu equipo para mantenerlo informado respecto de la importancia de trabajar correctamente la información médica. También te recomendamos leer más información sobre HIPAA en nuestro blog.