11 min read

¿Quiénes deben ser HIPAA compliant?

¿Quién debe cumplir con HIPAA?

La certificación HIPAA (por las siglas en inglés Health Insurance Portability and Accountability Act) es obligatoria para aplicaciones web y móviles que accedan, recopilen, compartan y/o usen información relacionada con la salud de las personas como diagnóstico, tratamiento, estado físico, bienestar o adicciones, etc. En este artículo te vamos a guiar para que puedas realizar el test oficial de la Comisión Federal de Comercio de Estados Unidos para saber si tu negocio debe cumplir con la normativa.

Si los servicios que ofreces se encuentran en la siguiente lista, ya podemos confirmarte que debés asegurarte de que toda la cadena de producción de tu negocio respete lo que se indica en la ley federal de Estados Unidos:

  • Rastreo o control del estado físico, actividad, dieta, estado de ánimo, sueño, menstruación, fertilidad, consumo de tabaco, alcohol, o drogas, de las personas.

  • Uso e intercambio de registros médicos o datos de reclamos de seguros de salud; acceso a información de médicos, clínicas o plan de salud.

  • Sincronización con plataformas de salud o dispositivos que rastreen los ítems antes señalados.

  • Diagnóstico o tratamiento de una enfermedad o condición de salud, o registro de información que podría ser relevante para arribar a ellos.

Si aún tenés dudas y querés saber en detalle si tenés la obligación de cumplir con la normativa HIPAA que resguarda la privacidad y la información de las personas, y evitarte pagar multas de hasta 1.5 millones de dólares, a continuación te guiaremos paso a paso para que puedas realizar el test oficial de la Comisión Federal de Comercio de Estados Unidos.

En este artículo:

¿Qué significa HIPAA compliant?

¿Qué es el cumplimiento de HIPAA?

¿Quién necesita cumplir con la normativa HIPAA?

¿Debo ser HIPAA compliant?

¿Qué significa HIPAA compliant?

Ser HIPAA compliant implica que se cumple con la Ley de Portabilidad y Responsabilidad de Seguros de Salud de Estados Unidos aprobada en 1996. La misma obliga a las empresas a proteger la información médica (PHI por sus siglas en inglés “Protected Health Information”) y a seguir medidas de seguridad físicas y digitales para todos sus procesos.

La normativa HIPAA propone una serie de estándares para hacer uso y distribución de la información médica que de acuerdo a las leyes de Estados Unidos debe estar protegida. Quien se encarga de reglamentar la normativa es el Departamento de Salud y Servicios Humanos (HHS) y quien controla su cumplimiento es la Oficina de Derechos Civiles (OCR).

Cualquier organismo, público o privado, que utilice datos médicos u ofrezca servicios sanitarios está sujeto a la misma. Incluso, sus empresas proveedoras, socias comerciales, o cualquiera de la cadena de producción que pueda estar en contacto con la información de las personas pacientes.

¿Qué es el cumplimiento de HIPAA?

Cumplir con HIPAA implica tres grandes acciones respecto del tratamiento de la información sanitaria protegida (PHI) de personas pacientes.

  • Recopilación: si el producto digital recoge datos médicos que permiten identificar individuos, como síntomas, condiciones, tratamiento, diagnóstico, implica que el mismo recolecta PHI con lo cual se debe garantizar que llegue de manera segura al servidor web.

  • Almacenamiento: en servidores propios o de terceros, hay que garantizar la seguridad de la información que se guarda, cumpliendo con los estándares HIPAA y efectuando un mantenimiento regular conforme la tecnología se actualiza.

  • Transmisión: el “viaje” de la PHI entre servidores también debe ser seguro y encriptado, ya sea entre servidores; vía correo electrónico; formularios, o cualquier otra transferencia digital. 

Si querés conocer mayores detalles sobre la Ley de Portabilidad y Responsabilidad de Seguros de Salud de Estados Unidos ingresá acá.

¿Quién necesita cumplir con la normativa HIPAA?

Cuando la Ley se sancionó en 1996, la medida abarcaba sólo a “entidades cubiertas” y dentro de esta categoría entraban profesionales de la medicina, hospitales, farmacias, organizaciones para el mantenimiento de la salud (HMO) y compañías de seguros. Se consideraba que eran las únicas personas y entidades que tendrían acceso a PHI.

En 2013 se actualizó la normativa, se aumentó el alcance y la rigurosidad de HIPAA. En esa oportunidad se estableció que también debían acatar todas las empresas que en alguna instancia de su flujo transmita, almacene o reciba datos de PHI, y se las clasificó como “socio comercial”.

Esta categoría incluye:

  • Servicios de transcripción y registro de datos médicos.

  • Compañías de software que proveen registros de salud online con fines médicos.

  • Empresas que procesan datos médicos, los analizan y elaboran reportes.

¿Debo ser HIPAA compliant?

Para determinar si es necesario que tu empresa cumpla con la ley HIPAA te facilitamos el test oficial de la Comisión Federal de Comercio de Estados Unidos. Leé las siguientes preguntas, respondelas y continuá con el formulario de acuerdo a lo que se te va indicando en la pantalla.

  • ¿Tu aplicación recopila, comparte, usa o mantiene información de salud?

    • Si tu respuesta es: SI (ir a la pregunta 2).

    • Si tu respuesta es: NO (ir a la pregunta 11).

      Si bien puede que no debas cumplir con la ley HIPAA, te recomendamos revisar la Ley de la Comisión Federal de Comercio (FTC) de tu jurisdicción porque puede haber otras normativas a las que tengas que ajustarte.

  • La información que recopilás en la aplicación,¿se encuentra dentro de la definición de "información de salud identificable individualmente" de las Reglas de HIPAA?

    • Si tu respuesta es: SI (ir a la pregunta 3).

      Se trata de información que al cruzarse, permita identificar a una persona aún si se ha quitado el nombre y el número de seguro de la misma. Por ejemplo: edad, género, lugar de residencia, diagnóstico, tratamiento, síntomas.

    • Si tu respuesta es: NO (ir a la pregunta 7).

      Te recomendamos asesorarte ya que, en algunos casos, por más que los datos no permitan reconocer la identidad de una persona, aplican algunas normativas como la Ley Federal de Alimentos, Medicamentos y Cosméticos (Ley FD&C); las regulaciones promueven el acceso, intercambio y uso legal de información de salud electrónica (EHI); o la Ley FTC.

  • En tu negocio...

    • ¿Ofrecés planes de salud?

      • Si tu respuesta es: SI (ir a la pregunta 4a). Es probable que debas adherir a la normativa HIPAA.

      • Si tu respuesta es: NO (ir a la pregunta 3b).

    • ¿Proveés atención médica (medicina, odontología, psicología, hospital, clínica, o farmacia)?

      • Si tu respuesta es: SI (ir a la pregunta 4a). Es probable que debas adherir a la normativa HIPAA.

      • Si tu respuesta es: NO (ir a la pregunta 4a).

  • En tu negocio...

    • ¿Desarrollás, ofrecés o vendés alguna tecnología de información de salud certificada?

      • Si tu respuesta es: SI (ir a la pregunta 4b).

      • Si tu respuesta es: NO (ir a la pregunta 4b).

    • ¿Permitís el intercambio electrónico de información de salud entre más de dos partes?

      • Si tu respuesta es: SI (ir a la pregunta 5).

      • Si tu respuesta es: NO (ir a la pregunta 5).

  • Las personas usuarias de tus servicios ¿necesitan una prescripción para acceder a tu aplicación?

    • Si tu respuesta es: SI (ir a la pregunta 7). Es probable que debas adherir a la normativa HIPAA.

    • Si tu respuesta es: NO (ir a la pregunta 6).

  • ¿Desarrollás, ofrecés u operás una aplicación en nombre de una entidad cubierta por HIPAA (como un hospital, consultorio médico, aseguradora de salud o programa de bienestar del plan de salud)?; ¿O está actuando como subcontratista de otra entidad que presta servicios a una entidad cubierta?

    • Si tu respuesta es: SI (ir a la pregunta 7). Es probable que seas un socio comercial de HIPAA y por lo tanto, debas cumplir con la normativa.

    • Si tu respuesta es: NO (ir a la pregunta 7).

  • ¿Tu aplicación está destinada a diagnosticar enfermedades u otras condiciones; a curar, mitigar, tratar o prevenir enfermedades; y/o a afectar la estructura o cualquier función del cuerpo?

    • Si tu respuesta es: SI (ir a la pregunta 8). Puede que seas un proveedor de atención médica cubierto por HIPAA y, por lo tanto, estar sujeto a ella.

    • Si tu respuesta es: NO (ir a la pregunta 11).

  • ¿Tu aplicación está destinada a apoyo administrativo de un centro de salud; mantener o fomentar un estilo de vida saludable; aportar como registros electrónicos de pacientes; transferir, almacenar, convertir formatos o mostrar datos; y/o proporciona apoyo limitado para la toma de decisiones clínicas a un proveedor de atención médica?

    • Si tu respuesta es: SI (ir a la pregunta 11). Probablemente seas un socio comercial de HIPAA y, por lo tanto, debas estar sujeto a sus reglas.

    • Si tu respuesta es: NO (ir a la pregunta 9).

  • ¿Tu aplicación representa un "riesgo bajo" (ayuda a autocontrolar su enfermedad o condición; o automatiza tareas simples para los proveedores de atención médica) para personas pacientes?

    • Si tu respuesta es: SI (ir a la pregunta 11). La FDA considera que tu aplicación es de bajo riesgo y no debés cumplir los requisitos HIPAA.

    • Si tu respuesta es: NO (ir a la pregunta 10).

  • ¿Tu aplicación incluye alguna función que requiera supervisión de la FDA?

    • Si tu respuesta es: SI (ir a la pregunta 11). Probablemente seas un proveedor de atención médica o socio comercial cubierto por HIPAA y debas acatar la normativa.

    • Si tu respuesta es: NO (ir a la pregunta 11). Enviá un correo electrónico a digitalhealth@fda.hhs.gov para determinar si debe cumplir con la ley HIPAA.

  • ¿Tu aplicación es empleada por personas usuarias?

    • Si tu respuesta es: SI (ir a la pregunta 12). Es probable que seas un socio comercial de HIPAA y por lo tanto, debas cumplir con la normativa.

    • Si tu respuesta es: NO (ir a la pregunta 12). Es probable que no tengas que ser HIPAA compliant.

  • ¿Tu aplicación recopila, recibe o mantiene información de salud identificable para las personas usuarias; accede a información de salud en los registros de salud personales; envía información de salud a registros de salud personales; ofrecer productos o servicios a través del sitio web de una entidad que mantiene registros de salud para los consumidores; y/o proporciona servicios a una entidad que mantiene registros de salud para los consumidores?

    • Si tu respuesta es: SI (ir a la pregunta 13). Puede que seas un "proveedor" de registros médicos personales (PHR) y debas cumplir con la normativa HIPAA.

    • Si tu respuesta es: NO (ir a la pregunta 13).

  • ¿Tu aplicación está destinada a infancias?

    • Si tu respuesta es: SI (completaste el formulario).

      Si tu público objetivo son personas menores de 13 años, entonces debés cumplir con la ley de protección de la privacidad en línea de los niños (COPPA). Para más información sobre la normativa enviá un e-mail a CoppaHotLine@ftc.gov.

    • Si tu respuesta es: NO (ir a la pregunta 14).

  • ¿Tu aplicación utiliza actividades, incentivos, diseño, música o similares orientados a infancias?

    • Si tu respuesta es: SI, debés cumplir con la ley de protección de la privacidad en línea de los niños (COPPA). Para más información sobre la normativa enviá un e-mail a [CoppaHotLine@ftc.gov](mailto:CoppaHotLine@ftc.gov). (Finalizaste el formulario)

    • Si tu respuesta es: NO (ir a la pregunta 15).

  • ¿Sabés que niños y niñas están usando tu aplicación?

    • Si tu respuesta es: SÍ debés cumplir con la normativa de protección de privacidad de las infancias COPAA. (Finalizaste el formulario).

    • Si tu respuesta es: NO, finalizaste el formulario.