Si estás buscando cumplir con HIPAA o estás considerando trabajar con organizaciones de salud, te habrás encontrado con estas tres letras: PHI. La información de salud protegida es el núcleo de la legislación HIPAA, que fue diseñada para asegurar mejor los datos privados de los pacientes.
Entender qué es PHI y cómo debe ser protegida es imperativo para cumplir con HIPAA y evitar violaciones.
Sigue leyendo para descubrir qué se considera PHI según HIPAA, obtener ejemplos reales de PHI y aprender qué deben hacer las entidades cubiertas para proteger este tipo de datos.
Definición de PHI según HIPAA: ¿Qué es la información de salud protegida?
PHI significa Información de Salud Protegida.
PHI según HIPAA cubre cualquier dato de salud creado, transmitido o almacenado por una entidad cubierta por HIPAA y sus asociados comerciales. Incluye registros electrónicos (ePHI), registros escritos, resultados de laboratorio, radiografías, facturas — incluso conversaciones verbales que incluyan información de identificación personal.
PHI está protegida por la Regla de Privacidad de HIPAA, que requiere que las entidades cubiertas y sus asociados comerciales salvaguarden la información de salud protegida. La Regla de Privacidad también da a los pacientes un mayor control sobre quién puede acceder y compartir sus registros de salud personal.
¿Qué es una entidad cubierta?
Según HIPAA, una entidad cubierta es una organización que proporciona tratamiento médico, pagos u operaciones. Estas incluyen:
- Hospitales
- Clínicas
- Farmacias
- Doctores
- Dentistas
- Psicólogos
- Psiquiatras
- Quiroprácticos
- Proveedores de salud
- Compañías de seguros de salud
- Organizaciones de ayuda médica
- HMOs
- Hogares de ancianos
Las entidades cubiertas están legalmente obligadas a cumplir con las reglas de HIPAA para proteger la privacidad y seguridad de PHI.
¿Qué es un asociado comercial?
Los asociados comerciales son organizaciones que proporcionan servicios a una entidad cubierta y tienen acceso a PHI, tales como:
- Empresas de facturación
- Proveedores de servicios en la nube
- Empresas de almacenamiento de datos
- Proveedores de EHR
- Abogados
- Firmas de CPA
- Procesadores de reclamaciones
- Agencias de cobranza
- Fabricantes de dispositivos médicos
Las entidades cubiertas y los asociados comerciales deben tener un acuerdo de asociado comercial (BAA) para definir responsabilidades cuando se trata de salvaguardar PHI. El BAA especifica cuál es el papel del asociado comercial y requiere que cumpla con las reglas de HIPAA.
Identificadores de PHI: ¿Qué incluye PHI?
El Departamento de Salud y Servicios Humanos ha definido 18 identificadores clave de PHI. PHI cubierto por HIPAA incluye:
Recetas, resultados de pruebas, diagnósticos, planes de tratamiento, información de facturación y pago: todos estos son ejemplos de PHI según HIPAA.
Para determinar si algo se considera PHI, haga tres preguntas:
- ¿Es su organización una entidad cubierta o un asociado comercial de una entidad cubierta?
- ¿La información se refiere a la salud de alguien?
- ¿Esa información de salud se puede vincular a una persona específica?
Si la respuesta es sí a las tres preguntas, califica como PHI y está protegida por la legislación de HIPAA.
Excepciones: ¿Qué no se considera PHI según HIPAA?
HIPAA se aplica específicamente a las entidades cubiertas y sus asociados comerciales. La PHI que es creada, almacenada, accesada o transmitida por estas organizaciones está protegida por las regulaciones de HIPAA. Pero en manos de otra compañía, esa misma información no se considera PHI y no cae bajo HIPAA.
Por ejemplo, una aplicación de salud que registra la frecuencia cardíaca, la presión arterial o el azúcar, los niveles de actividad o el consumo de calorías no constituye PHI.
A continuación se presentan algunos otros casos en los que los datos de salud no se consideran PHI:
- Consultas de citas: Nombres y números de teléfono de posibles pacientes que llaman para hacer una cita. Dado que no hay información de salud asociada con estos datos, no se considera PHI. Una vez que esa persona se convierte formalmente en paciente, esa información se convierte en PHI.
- Expedientes de empleados y educación: Cualquier registro relacionado con la salud de empleados o estudiantes, como alergias conocidas, tipo de sangre o discapacidades, no se considera PHI.
- Dispositivos portátiles: Datos recolectados por dispositivos portátiles, como monitores de frecuencia cardíaca o relojes inteligentes, no son PHI.
- Aplicaciones de salud y ejercicio: Datos recolectados por o ingresados en una aplicación móvil de ejercicio o salud no son PHI.
- PHI desidentificada: Datos de salud que han tenido todos los identificadores eliminados y no pueden vincularse a un individuo específico ya no se consideran PHI. Las organizaciones a veces usan PHI desidentificada para fines estadísticos o de investigación.
Requisitos: Qué deben hacer las organizaciones para asegurar PHI
Aunque el cumplimiento de HIPAA requiere que las organizaciones tomen medidas para proteger la PHI contra acceso no autorizado, las reglas de HIPAA no enumeran acciones específicas que las entidades cubiertas deben tomar. Esta flexibilidad permite a las organizaciones decidir las medidas más apropiadas según su tamaño y función. Un sistema hospitalario regional puede tener diferentes requisitos y controles que una pequeña clínica familiar, por ejemplo.
Las entidades cubiertas deben poner salvaguardas en marcha para proteger la PHI contra brechas. La Regla de Seguridad de HIPAA describe diferentes salvaguardas administrativas, físicas y técnicas, como políticas de gestión de acceso, capacitación de empleados, planes de respuesta a incidentes, trituración de documentos y cifrado de datos.
Violaciones de HIPAA: Penalidades por divulgación no autorizada de PHI
Si no protege la PHI según las normas de HIPAA, podría recibir una multa por parte de la Oficina de Derechos Civiles del Departamento de Salud y Servicios Humanos. Las violaciones pueden ser costosas, y no solo en términos monetarios. Una infracción o violación puede dañar permanentemente la reputación de su organización y erosionar la confianza de los pacientes.
Aquí hay algunas violaciones comunes de PHI que debe evitar.
Mala gestión del acceso a la PHI
La PHI solo debe ser vista para el tratamiento, pago u operaciones de atención médica. Cualquier acceso compartido a la PHI debe ser autorizado por el paciente. También deberá asegurarse de que la PHI se destruya de manera segura y permanente cuando ya no sea necesaria.
Parte de la gestión del acceso a la PHI también es responder puntualmente a la solicitud de un paciente para sus expedientes médicos.
Venta de PHI bajo HIPAA
Las entidades cubiertas y los asociados comerciales no pueden vender la PHI sin la autorización del paciente.
Las organizaciones que divulguen o vendan la PHI sin la debida autorización enfrentan una multa por violación de HIPAA de hasta $50,000 y 1 año de prisión.
Regla de Mínima Necesidad
Aunque es común que los proveedores de atención médica soliciten acceso al historial médico completo de un paciente, también pueden solicitar acceso a PHI específica. La Regla de Mínima Necesidad establece que las entidades cubiertas solo deben divulgar la PHI que sea directamente relevante para la solicitud.
En cualquier caso, la PHI solo puede ser divulgada a un tercero con la autorización del paciente, a menos que esté directamente relacionado con el tratamiento, pago u operaciones de atención médica.
Regla de Notificación de Brechas
En caso de una violación de la PHI no asegurada, una entidad cubierta debe notificar a cualquier individuo afectado dentro de los 60 días. No hacerlo es una violación de la Regla de Notificación de Violaciones de HIPAA. Los socios comerciales que descubren una violación también están obligados a notificar a la entidad cubierta dentro de los 60 días.
Proteja la PHI y cumpla con HIPAA con Secureframe
Cumplir con HIPAA garantiza que las entidades cubiertas y los asociados comerciales tomen pasos tangibles para proteger los datos sensibles de los pacientes. Y motiva a las organizaciones a mantener y mejorar esas medidas de seguridad, o enfrentar costosas violaciones.
Secureframe ayuda a las organizaciones de todos los tamaños a proteger la PHI simplificando el proceso de cumplimiento de HIPAA en unos pocos pasos clave:
- Cree políticas de privacidad y seguridad de HIPAA
- Capacite a los empleados sobre las mejores prácticas para proteger la PHI
- Gestione a los proveedores y asociados comerciales con acceso a la PHI
- Monitoree sus salvaguardas de PHI y reciba notificaciones de cualquier no conformidad
Obtenga más información sobre cómo puede automatizar su cumplimiento de HIPAA hoy.
Preguntas Frecuentes
¿Qué se considera PHI bajo HIPAA?
Bajo HIPAA, la PHI se considera cualquier dato de salud creado, transmitido o almacenado por una entidad cubierta por HIPAA, sus asociados comerciales y subcontratistas.
¿Cuáles son los 18 identificadores de la PHI?
Los 18 identificadores de la PHI son:
- Nombres
- Fechas relacionadas con una persona, excepto el año (incluyendo la fecha de nacimiento, la fecha de admisión, la fecha de alta, la fecha de muerte y la edad exacta si tiene más de 89 años)
- Números de teléfono
- Datos geográficos (todas las subdivisiones geográficas más pequeñas que el estado, incluida la dirección, la ciudad, el condado y el código postal)
- Números de fax
- Números de Seguridad Social
- Direcciones de correo electrónico
- Números de registros médicos
- Números de cuenta
- Números de beneficiarios de planes de salud
- Números de certificados/licencias
- Identificadores de vehículos, incluidas las matrículas
- URLs de sitios web
- Identificadores de dispositivos y números de serie
- Direcciones IP
- Fotos de cara completas e imágenes comparables
- Identificadores biométricos (por ejemplo, escaneo de retina, huellas dactilares)
- Cualquier número o código identificativo único
¿Cuál es un ejemplo de PHI en el cuidado de la salud?
Un ejemplo de PHI en el cuidado de la salud es una factura hospitalaria porque contendría el nombre del paciente y/u otra información identificativa asociada con el contenido de los datos de salud.
¿Qué no se considera PHI?
La información identificativa, como nombres personales, direcciones residenciales o números de teléfono, no se considera PHI a menos que esté relacionada con datos de salud. Por ejemplo, nombres, direcciones y números de teléfono que aparecen en una guía telefónica no se consideran PHI porque no están relacionados con datos de salud. Sin embargo, si esta información se listara junto con datos de salud, como una indicación de que la persona fue tratada en una clínica determinada, entonces esta información sería PHI.