La Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA) es una legislación histórica que cambió la industria de la salud en los EE.UU. al modernizar cómo se recopilan, almacenan, acceden y comparten los datos privados de los pacientes.

A continuación, profundizamos en la historia de HIPAA, incluyendo quién la creó, por qué, cuándo se convirtió en ley y cómo ha evolucionado en las últimas décadas.

¿Qué es la ley HIPAA?

HIPAA es una ley federal de los EE.UU. que establece estándares de seguridad de la información que todos los proveedores de atención médica, planes de salud, cámaras de compensación de atención médica y socios comerciales de las entidades cubiertas por HIPAA deben cumplir.

Cumplir con la ley HIPAA requiere que las entidades cubiertas implementen salvaguardas para asegurar y proteger los datos sensibles de los pacientes, conocidos como información de salud protegida (PHI).

¿Cuándo se convirtió HIPAA en ley?

HIPAA se promulgó como ley el 21 de agosto de 1996.

¿Quién creó HIPAA?

El Congreso de los Estados Unidos y el presidente Bill Clinton aprobaron la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA) en 1996.

La legislación original ha evolucionado significativamente desde entonces. Desde el 2000, el Departamento de Salud y Servicios Humanos de los EE.UU. (HHS) ha emitido varias reglas para ayudar a las organizaciones de atención médica y a sus socios comerciales a implementar los requisitos de HIPAA. Estos incluyen:

• Regla de Privacidad regula el uso y la divulgación de información del paciente
• Regla de Seguridad establece medidas de seguridad físicas, técnicas y administrativas.
• Regla de Notificación de Incumplimiento establece pautas sobre cómo y cuándo reportar violaciones
• Regla de Ejecución proporciona instrucciones para regular la responsabilidad e imponer sanciones por violaciones
• Regla General describe cómo los asociados comerciales deben manejar la PHI

¿Dónde se aplica HIPAA?

HIPAA se aplica a todas las entidades cubiertas (proveedores de atención médica, planes de salud y centros de limpieza de salud) y sus asociados comerciales que operan en los EE. UU.

Hay circunstancias en las que también puede aplicarse internacionalmente. Cuando una empresa que opera fuera de los EE. UU. trabaja con empresas que tienen acceso a la información de salud de los residentes de los EE. UU., HIPAA puede aplicarse.

¿Por qué se creó HIPAA?

HIPAA se creó para mejorar la portabilidad y responsabilidad de la cobertura de seguro de salud.

• Portabilidad se refiere a garantizar la cobertura de seguro de salud para empleados que están entre empleos. Sin HIPAA, los individuos en esta situación podrían quedarse sin acceso a un seguro de salud y posiblemente incapaces de pagar por la atención médica necesaria.
• Responsabilidad se refiere a prevenir el fraude y abuso en el cuidado de la salud manteniendo segura la PHI. Las reglas y requisitos de HIPAA responsabilizan a las organizaciones de salud por los datos que almacenan, manejan, acceden y transfieren.

Cronología de la Historia de HIPAA

Desde que se aprobó HIPAA en 1996, la legislación ha evolucionado para mantenerse al día con las nuevas tecnologías, el crecimiento exponencial de los datos de salud y las amenazas cibernéticas cada vez más sofisticadas. A continuación, profundizamos en la cronología de HIPAA desde su creación.

• Agosto 1996: El presidente Bill Clinton firmó HIPAA como ley.
• Noviembre 1999: HHS lanzó una propuesta de la Regla de Privacidad de HIPAA para comentarios públicos.
• Diciembre 2000: HHS publicó una Regla de Privacidad final.
• Agosto de 2002: HHS publicó modificaciones a la Regla de Privacidad.
• Febrero de 2003: HHS publicó una regla final de Seguridad.
• Abril de 2003: Comenzó la aplicación de la Regla de Privacidad para la mayoría de las entidades cubiertas por HIPAA. Los planes de salud pequeños recibieron un año adicional para cumplir.
• Abril de 2003: HHS emitió la regla de Cumplimiento como una regla final provisional para explicar cómo HHS llevaría a cabo investigaciones sobre quejas contra entidades cubiertas por HIPAA.
• Abril de 2005: Comenzó la aplicación de la Regla de Seguridad para la mayoría de las entidades cubiertas por HIPAA. Los planes de salud pequeños recibieron un año adicional para cumplir.
• Febrero de 2006: HHS publicó una regla de Cumplimiento final.
• Febrero de 2009: Se promulgó la Ley HITECH bajo el Título XIII de la Ley de Recuperación y Reinversión Estadounidense para fortalecer las protecciones de privacidad y seguridad de la información de salud establecidas por HIPAA.
• Abril de 2009: HHS solicitó comentarios públicos sobre las disposiciones de notificación de violaciones de la Ley HITECH.
• Julio de 2009: La Oficina de Derechos Civiles de HHS se hizo responsable de hacer cumplir la Regla de Seguridad, así como la Regla de Privacidad.
• Agosto de 2009: HHS publicó una regla final de Notificación de Violaciones.
• Julio de 2010: HHS propuso modificaciones a las reglas de Privacidad, Seguridad y Cumplimiento bajo HITECH.
• Enero de 2013: HHS publicó modificaciones a las reglas de Privacidad, Seguridad, Notificación de Violaciones y Cumplimiento bajo HITECH. Estas modificaciones en conjunto se conocieron como la regla Omnibus.
• Septiembre de 2013: Las entidades cubiertas y los socios comerciales deben cumplir con la regla Omnibus.
• Enero de 2021: HHS propuso modificaciones a la Regla de Privacidad para mejorar la atención coordinada. El período de comentarios se extendió hasta mayo de 2021. Estas modificaciones aún están en revisión en el momento de esta publicación.

Estándares adicionales que complementan HIPAA

A lo largo de los años, HHS y otras organizaciones han publicado estándares adicionales que amplían HIPAA o ayudan a las entidades cubiertas a cumplir con los requisitos y regulaciones de HIPAA.

HITECH

La Ley de Tecnologías de Información de Salud para la Economía y la Salud Clínica (Ley HITECH) fue promulgada bajo el Título XIII de la Ley de Recuperación y Reinversión Estadounidense (ARRA) de 2009. Fue diseñada para promover la adopción y estandarización generalizadas de las tecnologías de información de salud. Para apoyar este objetivo, incluyó enmiendas diseñadas para fortalecer las protecciones de privacidad y seguridad de la información de salud establecidas por HIPAA, así como incentivos para que las entidades cubiertas implementen registros de salud electrónicos.

HITRUST CSF

En 2007, se formó la Health Information Trust (HITRUST) Alliance para proporcionar claridad y coherencia a las organizaciones que necesitan cumplir con varias leyes de privacidad y seguridad de datos, incluyendo HIPAA, ISO 27001, NIST, y PCI DSS, entre otras. En 2009, publicaron un marco de seguridad común (HITRUST CSF) para ayudar a las organizaciones de salud y a sus proveedores a demostrar su seguridad y cumplimiento de una manera coherente y simplificada.

Aunque fue desarrollado para complementar HIPAA, el HITRUST CSF ha sido adoptado globalmente por organizaciones en casi todas las industrias.

Cómo Secureframe puede ayudarte a mantener el cumplimiento de HIPAA

Así como la historia de HIPAA muestra, el futuro del cumplimiento continuará evolucionando junto con las nuevas tecnologías y las amenazas cibernéticas.

Empresas como Secureframe pueden ayudar a garantizar que tu negocio se mantenga actualizado con las últimas reglas y regulaciones de HIPAA.

Con expertos en HIPAA en el personal, se te alertará sobre cualquier actualización de HIPAA que pueda afectarte. La recolección automática de evidencia de Secureframe también enviará alertas en tiempo real para cualquier no conformidad, de modo que puedas mantener el cumplimiento de HIPAA con menos estrés en tu equipo.