Las empresas que tratan con información sanitaria con origen o destino en los EE. UU. tienen que cumplir con las regulaciones de la HIPAA. Obtén una visión general de las disposiciones más importantes y descubre cuál es el papel del cumplimiento de la HIPAA en la gestión documental.

El acrónimo HIPAA hace referencia a la Ley de Transferencia y Responsabilidad de Seguro Médico. La HIPAA se basa en una ley estadounidense de 1996 diseñada para regular la gestión de información sanitaria y datos de pacientes. Exige a las entidades que almacenan, procesan y transmiten información sanitaria protegida que cumplan con determinados estándares de privacidad y tomen las medidas de seguridad pertinentes para proteger esta información.

El encargado de implementar esta ley es el Departamento de Salud y Servicios Humanos de los Estados Unidos (HHS).

Objetivos de las regulaciones de la HIPAA

Las regulaciones de la HIPAA tienen los siguientes objetivos:

• Crear unas políticas vinculantes para la gestión de los datos de salud
• Modernizar el flujo de información en el sector sanitario
• Mejorar la eficiencia
• Promover una interoperabilidad (intercambio y comunicación entre sistemas y organizaciones) segura y efectiva

Proporcionar la portabilidad (la capacidad de conservar los derechos a prestaciones cuando se cambia de empresa) y así prevenir brechas en la cobertura del seguro de salud

¿Qué dice la HIPAA?

Los requisitos de la HIPAA van desde garantizar la privacidad de los pacientes hasta establecer controles de seguridad diseñados para proteger la información personal o normas para hacer frente a violaciones y brechas de seguridad de los datos. La ley HIPAA contiene varias secciones o normas:

• Norma de privacidad de la HIPAA: Esta sección regula cuáles son los datos de salud que se tienen que proteger y define los estándares aplicables de protección de datos. También cubre excepciones sobre cuándo se pueden o se deben facilitar los datos de cliente sin consentimiento, entre las que se incluyen, por ejemplo, las víctimas de violencia machista, los procesos judiciales y la donación de órganos.
• Norma de seguridad de la HIPAA: La ley HIPAA define una serie de salvaguardas que las organizaciones deben adoptar para proteger la información de salud y controlar el acceso a esta. Esto puede incluir, por ejemplo, garantizar los principios de seguridad de la información (es decir, la confidencialidad, integridad y disponibilidad), identificar posibles riesgos y amenazas para la seguridad y formar a los empleados en el cumplimiento de la HIPAA.
• Norma de notificación de violaciones: En caso de producirse brechas de datos, las empresas tienen la obligación de notificar a los pacientes afectados y a las autoridades sanitarias, aunque los requisitos exactos de la notificación dependen de la cantidad de personas afectadas.

Asimismo, la HIPAA describe los derechos y obligaciones de las autoridades a la hora de aplicar las normativas (norma de aplicación). La ley también presenta requisitos para la interoperabilidad, entre los que se incluye garantizar que los proveedores sanitarios sean claramente identificables.

La HIPAA y el RGPD

LA HIPAA a menudo se entiende como el equivalente estadounidense del Reglamento General de Protección de Datos europeo (RGPD). Sin embargo, hay diferencias importantes entre los dos:

• El RGPD se aplica a todos los datos personales, mientras que la HIPAA solo abarca los datos sanitarios.
• Las regulaciones de la HIPAA cubren otros aspectos más allá de privacidad de los datos, como, por ejemplo, pautas para la interoperabilidad y los derechos de las autoridades, elementos que no encontramos en el RGPD.
• Tanto la HIPAA como el RGPD exigen medidas técnicas y de organización. No obstante, estas se definen de forma más específica en la HIPAA.

Si procesas datos de salud de los EE. UU. o de la UE, deberías analizar más detalladamente las respectivas normativas y prestar atención a las particularidades de cada una.

¿Qué información se protege en la HIPAA?

La HIPAA se centra en proteger la información personal de paciente que se crea, recibe, almacena y transmite en el ámbito sanitario y que permite la identificación personal de un individuo. LA HIPAA se refiere a estos datos como información de salud protegida (PHI), y con ello hace referencia a toda información relacionada con la salud de una persona, su asistencia médica o el pago de esta.

Dentro de la PHI encontramos, entre otros datos:

• Nombre y dirección del paciente
• Fecha de nacimiento y deceso
• Número de seguridad social
• Número de cuenta
• Fotos
• Resultados
• Órdenes y recetas médicas

Las regulaciones de la HIPAA hacen referencia a toda información de salud en cualquier forma o medio, ya sea oral, escrito, en papel o digital.

¿Quién tiene que cumplir con los requisitos de la HIPAA?

Los requisitos de la HIPAA conciernen a los proveedores de servicios de salud, seguros médicos y clearinghouses que trabajan con datos de salud protegidos. Estas se conocen como entidades cubiertas. Todos los partners y socios empresariales que tienen acceso a la información del paciente y ofrecen asistencia en el tratamiento, pago u operaciones también deben cumplir con los requisitos legales de la HIPAA. Esto incluye, por ejemplo, a asesores fiscales, abogados, proveedores de servicios informáticos, proveedores de hosting y cloud, servicios de contabilidad y empresas de almacenamiento de documentos.

Los siguientes tipos de negocios se ven afectados por la ley HIPAA:

Empresas de seguros médicos

• Proveedores sanitarios (doctores, dentistas, terapeutas, enfermeros, etc.)
• Centros sanitarios (hospitales, clínicas, residencias, etc.)
• Farmacias
• Centros de asistencia prolongada
• Centros de investigación
• Autoridades de salud públicas
• Empleadores
• Escuelas y universidades

¿La HIPAA también afecta a organizaciones extranjeras?

La HIPAA es una ley de los EE. UU. que afecta principalmente a los stakeholders estadounidenses del sector sanitario. Sin embargo, también puede implicar a las organizaciones y negocios de fuera de los Estados Unidos que traten con datos sanitarios de ciudadanos de este país.

Este puede ser el caso de una empresa extranjera que opera en los EE. UU. y procesa datos de pacientes estadounidenses, por ejemplo, al trabajar con un centro sanitario estadounidense.

Otro caso podría ser el de una empresa que transfiere datos de salud desde los EE. UU. hacia otro país. En este caso, deben seguirse todas las leyes específicas del país, incluidas las regulaciones de la HIPAA.

Dato importante: En julio del 2023, la Comisión Europea adoptó la decisión de adecuación para el Marco de Privacidad de Datos UE-EE. UU. (sucesor del Escudo de la Privacidad UE-EE. UU.). Este acuerdo entre los EE. UU. y la UE regula la protección de todos los datos personales de los ciudadanos europeos que se transfieren a empresas estadounidenses certificadas.

¿Cuáles son las consecuencias del incumplimiento?

Los negocios que entran dentro de las entidades cubiertas y que no cumplen con los requisitos legales de la HIPAA se pueden enfrentar a sanciones civiles y a sanciones penales importantes. La gravedad de una sanción de la HIPAA depende de la importancia de la infracción y, además de multas de hasta 50.000 dólares, también puede suponer penas de prisión. En casos extremos, la empresa afectada puede tener que cesar su actividad,

aunque, en cualquier caso, lo más posible es que las violaciones dañen su reputación y confianza. La HIPAA obliga al HHS a publicar en línea cualquier infracción que afecte a 500 personas o más. La lista de brechas de datos está disponible a través del portal de la Oficina de Derechos Civiles (OCR) y es conocida como el «muro de la vergüenza» de la HIPAA. Las personas afectadas también pueden denunciar posibles violaciones a través de este portal.

¿Por qué es importante el cumplimiento de la HIPAA?

El cumplimiento de la HIPAA no solo es importante para evitar multas considerables, sino también para mantener la confianza en tu empresa, factor de especial importancia en el sector sanitario. Cuando cumples con los requisitos de la HIPAA, tus clientes tienen la confianza de que estás protegiendo sus datos de forma segura.

Además, los datos de salud contienen información de gran valor que es tan crítica para tu negocio como atractiva para los ciberdelincuentes. Más allá de la información sanitaria, estos datos también incluyen información sobre la identidad de las personas, así como datos financieros confidenciales, que pueden usarse, por ejemplo, para la suplantación de identidad y para el spear phishing.

Dado el alto potencial de amenaza para la seguridad de las personas afectadas, así como su valor, es especialmente importante proteger bien los datos de salud.

7 elementos de un programa de cumplimiento de la HIPAA

Según el HHS, los siguientes siete elementos son los requisitos mínimos para un programa de cumplimiento de la HIPAA efectivo:

1. Implementar políticas, procedimientos y estándares escritos
2. Designar a un delegado de cumplimiento normativo
3. Proporcionar una formación y una cultura corporativa adecuadas para los empleados
4. Desarrollar canales de comunicación efectivos
5. Llevar a cabo inspecciones, auditorías e informes internos periódicos
6. Aplicar políticas disciplinarias para infracciones del cumplimiento normativo
7. Responder de inmediato a posibles violaciones y llevar a cabo acciones correctivas

¿Qué es la ley HITECH?

Cuando se aprobó la HIPAA en 1996, las organizaciones gestionaban la información de los pacientes principalmente mediante registros físicos en papel. Con el avance de la tecnología y la difusión de Internet, el registro electrónico de salud (EHR) se ha hecho cada vez más popular en el sector sanitario. Para acelerar este desarrollo y adaptar las medidas de seguridad a los requisitos del mundo digital, la normativa HIPAA se ha revisado varias veces.

En el 2009, entró en vigor la Ley de Tecnología de la Información Sanitaria para la Salud Económica y Clínica (ley HITECH) como enmienda a la HIPAA. Esta ley pretende fomentar el uso de los EHR, reducir los registros en papel y simplificar la comunicación entre sistemas sanitarios. Al mismo tiempo, la ley HITECH intensifica la aplicación de la ley, aumenta las sanciones por violaciones y amplía los requisitos de protección y seguridad de los datos, especialmente para los partners de las entidades cubiertas. La ley HITECH se añadió al marco legal de la HIPAA en el 2013 como su norma ómnibus.

¿Existe un DMS que cumpla con la HIPAA?

Los proveedores de software no siempre entran en la lista de entidades cubiertas, pero se consideran partners relevantes de estas. Esto significa que tienen que crear las condiciones para que las organizaciones y empresas del sector sanitario puedan utilizar su software para la gestión documental, por ejemplo, de acuerdo con la HIPAA.

En los EE. UU., el software se puede certificar, pero no por parte de un organismo acreditativo gubernamental. De hecho, esta certificación no implica que el software cumpla con esta normativa, solo que permite a sus usuarios trabajar de acuerdo con los requisitos de la HIPAA. Del mismo modo, el software como tal no cumple con el RGPD, sino que admite el trabajo conforme al RGPD a través de su configuración y la forma en la que se usa el sistema.

La gestión documental en el sector sanitario con SER

Un sistema de gestión documental (DMS) es una herramienta importante que simplifica la gestión de la información sanitaria y convierte los archivos físicos en cosa del pasado. En el expediente digital de paciente de Doxis puedes almacenar fácilmente toda la información y documentos, crear carpetas específicas, archivar informes de laboratorio, endoscopias, radiografías y otras imágenes diagnósticas y obtener una vista general del historial médico del paciente en cualquier momento.

Gracias a la variedad de opciones de integración, Doxis puede vincularse fácilmente a otros sistemas (HIS, ERP, PACS, RIS, etc.) para que la información quede centralizada, además de permitirte previsualizar directamente desde el DMS tipos especiales de documentos, como radiografías. Por otro lado, también puedes acceder a la información a través de dispositivos móviles, lo que facilita las visitas médicas.

Otro beneficio de Doxis son los expedientes digitales de paciente, que proporcionan una conexión segura con el expediente electrónico de paciente (ePA). Por ejemplo, en el 2021, las empresas alemanas de seguros médicos empezaron a ofrecer a sus clientes acceso a su propio expediente electrónico de paciente a través de aplicación móvil.

En SER creemos que es importante proporcionar una solución que cumpla con todos los estándares específicos de la industria y que, además, te permita trabajar sin complicaciones en un entorno conforme con el RGPD y la HIPAA.

Preguntas frecuentes acerca de la HIPAA