¿Qué es la Regla de Notificación de Violaciones de HIPAA?

La Regla de Notificación de Violaciones de HIPAA es un conjunto de regulaciones emitidas por el Departamento de Salud y Servicios Humanos de EE.UU. (HHS, por sus siglas en inglés) que requiere que las entidades cubiertas y sus asociados de negocios notifiquen a los individuos, al HHS y, en algunos casos, a los medios de comunicación cuando hay una violación de información de salud protegida (PHI, por sus siglas en inglés) no asegurada. La Regla de Notificación de Violaciones fue creada bajo la Ley de Tecnología de la Información de Salud para la Salud Económica y Clínica (HITECH, por sus siglas en inglés), que enmendó la Ley de Portabilidad y Responsabilidad del Seguro de Salud (HIPAA) de 1996.

La Regla de Notificación de Violaciones define una violación como la adquisición, acceso, uso o divulgación no autorizada de PHI que compromete la seguridad o privacidad de la PHI. Las entidades cubiertas y sus asociados de negocios están obligados a realizar una evaluación de riesgos para determinar si ha ocurrido una violación y, de ser así, si se requiere notificación.

Si una violación de PHI no asegurada afecta a 500 o más individuos, las entidades cubiertas están obligadas a notificar a esos individuos, al HHS y a los medios de comunicación (en algunos casos) sin demora injustificada, pero no más tarde de 60 días después del descubrimiento de la violación. Si una violación afecta a menos de 500 individuos, las entidades cubiertas están obligadas a notificar a esos individuos dentro de los 60 días posteriores al final del año calendario en el que ocurrió la violación.

La Regla de Notificación de Violaciones también requiere que las entidades cubiertas y sus asociados de negocios mantengan documentación de las violaciones y sus respuestas durante al menos seis años. El incumplimiento de la Regla de Notificación de Violaciones puede resultar en multas y sanciones significativas impuestas por el HHS.