La Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA) de 1996 estableció normas para proteger la seguridad y privacidad de los datos sensibles de los pacientes. La ley se aplica a las entidades cubiertas y sus asociados de negocios.
Pero hay una manera más simple de responder la pregunta: ¿necesito cumplir con HIPAA?
Si su organización crea, almacena, procesa o transmite información de salud protegida, debe adherirse a las regulaciones de HIPAA.
Bajo HIPAA, la información de salud protegida — comúnmente conocida como PHI — incluye cualquier dato personal que pueda ser vinculado directa o indirectamente a un individuo específico.
Las normas HIPAA se aplican tanto a las entidades cubiertas como a los asociados de negocios, pero la forma en que se administra la ley varía ligeramente según la categoría en la que se encuentre la organización.
Lectura Recomendada
¿Qué es PHI bajo HIPAA? Requisitos para Cumplimiento
Read More¿Cuál es la diferencia entre una entidad cubierta y un asociado de negocios?
Las entidades cubiertas incluyen:
- Proveedores de atención médica: consultorios médicos, clínicas, psicólogos, dentistas, quiroprácticos, hogares de ancianos, farmacias, laboratorios
- Planes de salud: compañías de seguros de salud, HMOs, planes de salud de empresas y programas gubernamentales que pagan por la atención médica incluyendo Medicare/Medicaid y programas de atención médica para veteranos
- Casas de compensación de atención médica: organizaciones que procesan información de salud no estándar para ajustarse a los estándares de contenido o formato de datos en nombre de otra organización
Los asociados de negocios son individuos u organizaciones que brindan servicios en nombre de una entidad cubierta y también interactúan con PHI o ePHI. Ejemplos de asociados de negocios incluyen:
- Proveedores de software cuyos productos interactúan con sistemas que contienen ePHI, así como proveedores de servicios en la nube, plataformas en la nube y empresas de almacenamiento de archivos
- Servicios de procesamiento de reclamaciones
- Servicios de análisis de datos
- Servicios de aseguramiento de calidad
- Servicios de facturación
- Abogados o servicios de consultoría legal
- Firmas de CPA
- Servicios de contabilidad
Consultores empleados por una entidad cubierta son considerados parte de la fuerza laboral de esa entidad cubierta y no se consideran asociados de negocios.
Requisitos de cumplimiento de HIPAA para entidades cubiertas y asociados de negocios
La Regla de Privacidad de HIPAA requiere que las entidades cubiertas obtengan "garantías satisfactorias" de los asociados comerciales de que tomarán las medidas necesarias para salvaguardar cualquier información de salud protegida que puedan recibir o crear en nombre de la entidad cubierta. Estas garantías deben hacerse por escrito en forma de un Acuerdo de Asociación Comercial (más sobre BAAs a continuación).
Los asociados comerciales solo pueden usar información de salud protegida para los propósitos expresos definidos por la entidad cubierta. También deben proteger esa información del mal uso siguiendo los requisitos establecidos en la Regla de Privacidad de HIPAA. Los asociados comerciales son responsables de asegurar que cualquier subcontratista también acepte cumplir con las reglas de HIPAA en forma de un BAA.
Si una entidad cubierta descubre que un asociado comercial ha sufrido una violación de datos o ha manejado incorrectamente la PHI, debe tomar medidas razonables para abordar la violación y poner fin a la violación de HIPAA o terminar su contrato con el asociado comercial. Si ninguna de esas medidas es posible, la entidad cubierta está obligada a informar el problema a la Oficina de Derechos Civiles (OCR) del Departamento de Salud y Servicios Humanos (HHS) de los Estados Unidos.
Qué incluir en un acuerdo de asociación comercial de HIPAA (BAA)
Los Acuerdos de Asociación Comercial definen las responsabilidades del asociado comercial con respecto a la PHI y los pasos que tomarán para cumplir con las reglas de HIPAA. Estos acuerdos incluyen algunos elementos clave:
- Una descripción de los usos permitidos y requeridos de la PHI por parte del asociado comercial
- Disposiciones de que el asociado comercial no usará ni divulgará PHI más allá de lo permitido o requerido por el contrato o por la ley
- Requisitos de que el asociado comercial implementará las salvaguardas adecuadas para prevenir el uso o divulgación no autorizados de información de salud protegida
Existen algunas situaciones en las que las entidades cubiertas no están obligadas a tener un acuerdo de asociación comercial en vigor antes de divulgar la PHI. Estas incluyen:
- Cuando una entidad cubierta divulga PHI para facilitar el tratamiento de un paciente individual. Por ejemplo, transmitir el historial médico de un paciente a un especialista o laboratorio externo.
- Cuando un plan de salud público como Medicare divulga PHI a un administrador para determinar la elegibilidad para la inscripción
- Cuando una entidad cubierta divulga PHI a un plan de salud con fines de pago
- Cuando los servicios del asociado comercial no implican el uso o divulgación de PHI, como un electricista o fontanero, o cuando el asociado comercial actúa como un conducto para la PHI, como el Servicio Postal de los EE. UU. o mensajeros privados
- Cuando la PHI se divulga entre las entidades cubiertas que son parte de un arreglo de atención médica de la organización (OHCA), como cuando un plan de salud de grupo compra un seguro de un emisor de seguros de salud o HMO
- Cuando la PHI se divulga a un investigador con fines de investigación, ya sea con autorización del paciente o como un conjunto de datos limitados
- Cuando una institución financiera procesa transacciones con tarjetas de pago, liquida cheques o procesa transferencias electrónicas de fondos
Preguntas Frecuentes
¿Quién o qué es una entidad cubierta?
Bajo HIPAA, una entidad cubierta es un proveedor de atención médica, un plan de salud o una cámara de compensación de atención médica que transmite electrónicamente información de salud en relación con cualquier transacción para la cual HHS ha adoptado un estándar. Generalmente, estas transacciones están relacionadas con la facturación y pago de servicios o la cobertura de seguros.
¿Cuáles son las 10 entidades cubiertas bajo HIPAA?
Bajo HIPAA, 10 ejemplos de entidades cubiertas son:
- Doctores
- Clínicas
- Psicólogos
- Dentistas
- Quiroprácticos
- Residencias de ancianos
- Farmacias
- Compañías de seguros de salud
- Planes de salud corporativos
- Centrales de datos de atención médicas
Por favor, tenga en cuenta que las primeras siete solo entran en la definición de entidad cubierta si envían transacciones HIPAA, como reclamaciones, electrónicamente.
¿Qué no se considera una entidad cubierta bajo HIPAA?
Todas las personas o instituciones que recopilan información de salud individualmente identificable no se consideran entidades cubiertas. Solo aquellas que recopilan PHI y realizan transacciones electrónicas para las cuales HHS ha adoptado un estándar están cubiertas. Por ejemplo, los investigadores no se consideran una entidad cubierta por HIPAA a menos que realicen estas transacciones electrónicas.
¿Cuáles son los derechos del paciente dentro de una entidad cubierta?
Bajo la Regla de Privacidad de HIPAA, los pacientes tienen derecho a acceder a la PHI sobre ellos. Las entidades cubiertas por HIPAA generalmente están obligadas a proporcionar a los individuos, previa solicitud, acceso a esta información independientemente de cuándo se creó la información, si está almacenada en sistemas de papel o electrónicos, o de dónde se originó la PHI, entre otros factores. Los pacientes tienen derecho a inspeccionar y/o obtener una copia de la PHI o a dirigir a la entidad cubierta para que transmita una copia a una persona o entidad designada de su elección. Puedes encontrar más detalles aquí.
¿Qué es un asociado comercial de HIPAA?
Un asociado comercial de HIPAA es un individuo o entidad que realiza ciertas funciones o actividades que implican el uso o divulgación de PHI en nombre de una entidad cubierta o que proporciona servicios a una entidad cubierta. Por ejemplo, un administrador externo que ayuda a un plan de salud con el procesamiento de reclamaciones es un asociado comercial de HIPAA.
¿Qué tipos de empresas necesitan cumplir con HIPAA?
Las empresas que necesitan cumplir con HIPAA incluyen dos categorías principales: Entidades Cubiertas y Asociados Comerciales.
- Entidades Cubiertas: Estas son las principales organizaciones que brindan tratamiento, pago y operaciones en atención médica. Las entidades cubiertas incluyen:
- 1. Proveedores de atención médica: Como doctores, clínicas, psicólogos, dentistas, quiroprácticos, residencias de ancianos y farmacias que transmiten cualquier información de salud en forma electrónica en conexión con transacciones para las cuales HHS ha adoptado estándares.
- 2. Planes de salud: Incluyendo compañías de seguros de salud, HMOs (Organizaciones de Mantenimiento de Salud), planes de salud corporativos y programas gubernamentales que pagan por la atención médica, como Medicare, Medicaid y los programas de atención médica militar y de veteranos.
- 3. Centrales de datos de atención médica: Organizaciones que procesan información de salud no estándar que reciben de otra entidad en un formato estándar (es decir, electrónico) o viceversa.
- Asociados de negocios: Son individuos o entidades que realizan ciertas funciones o actividades que implican el uso o divulgación de información de salud protegida en nombre de, o proporcionan servicios a, una entidad cubierta. Un asociado de negocios puede ser una persona o una entidad e incluye servicios como:
- 1. Empresas de facturación
- 2. Empresas de procesamiento de reclamaciones
- 3. Servicios legales, actuariales, contables, de consultoría, de agregación de datos, de gestión, administrativos, de acreditación o financieros
- 4. Proveedores de TI y servicios de cifrado de correo electrónico
- 5. Empresas de almacenamiento de documentos y datos (incluido el almacenamiento en la nube)
- 6. Cualquier subcontratista que cree, reciba, mantenga o transmita PHI en nombre de un asociado de negocios
¿Quién manda HIPAA?
HIPAA está mandada por el gobierno federal de los EE. UU. y fue promulgada por el Congreso de los Estados Unidos. Es administrada y ejecutada por la Oficina de Derechos Civiles (OCR) dentro del Departamento de Salud y Servicios Humanos (HHS) de los EE. UU. HIPAA, que significa la Ley de Portabilidad y Responsabilidad de Seguros de Salud, fue inicialmente firmada como ley en 1996. El objetivo principal de la ley es proteger la privacidad y seguridad de la información de salud y garantizar que los derechos de los individuos estén protegidos en relación con su información de salud. La OCR es responsable de investigar quejas y hacer cumplir el cumplimiento de las reglas de HIPAA.