Como líder en atención médica, la responsabilidad de mantener tu organización en cumplimiento recae sobre tus hombros, y es una responsabilidad que debe tomarse en serio.
Después de todo, la perspectiva de deber 16 millones de dólares por violaciones a HIPAA, como lo hizo Anthem en 2018, probablemente te parezca impensable. Para asegurarte de evitar sanciones y mantener segura la información de tus pacientes, aprender quién hace cumplir HIPAA es un buen punto de partida.
En esta guía, desglosamos quién es responsable de hacer cumplir las Reglas HIPAA, los niveles de sanciones por violaciones a HIPAA y cómo asegurarte de que tu organización esté protegida de esas sanciones.
¿Quién hace cumplir HIPAA?
Aquí está la respuesta simple: la Oficina de Derechos Civiles (OCR) del Departamento de Salud y Servicios Humanos (HHS) de EE. UU. es la principal encargada de hacer cumplir las Reglas de Privacidad y Seguridad de HIPAA.
Dicho esto, hay un par de otras organizaciones que también tienen la autoridad para hacer cumplir HIPAA, aunque ejercen este poder con menos frecuencia. Incluyen los fiscales generales del estado y los Centros de Servicios de Medicare y Medicaid (CMS).
La OCR tiene la mayor responsabilidad de hacer cumplir la ley, así que comencemos explicando cómo es este cumplimiento.
Oficina de Derechos Civiles del HHS
La OCR desempeña varios roles en la aplicación de las Reglas de Privacidad y Seguridad de HIPAA. Investiga quejas, realiza revisiones de cumplimiento y educa a las entidades relevantes sobre los requisitos de cumplimiento. Si es necesario, puede imponer sanciones contra entidades no conformes e incluso remitirlas al Departamento de Justicia.
Aunque la OCR priorizainvestigar violaciones de datos que afectan a más de 500 personas, también investiga organizaciones que han tenido múltiples violaciones menores. Las violaciones de datos no siempre significan que una organización no cumple con HIPAA, pero la OCR considera que las violaciones son una razón suficiente para investigar una entidad cubierta por HIPAA.
La OCR, por supuesto, prefiere resolver las violaciones de HIPAA mediante el cumplimiento voluntario. Esto es cuando la organización en falta corrige voluntariamente sus problemas de cumplimiento. Si esto no ocurre, la OCR probablemente emprenderá acciones legales.
La OCR desglosa las violaciones de HIPAA en cuatro categorías, en orden de gravedad:
- Categoría 1: Una violación que la entidad no conocía y probablemente no podría haber evitado. La entidad claramente ha intentado cumplir con HIPAA.
- Categoría 2: Una violación que se esperaba que la entidad cubierta conociera pero que aún no pudo evitar. Esta categoría aún no constituye negligencia intencional.
- Categoría 3: Una violación debido a negligencia intencional de las Reglas HIPAA. Para encajar en esta categoría, la entidad debe haber intentado corregir sus errores.
- Categoría 4: Una violación debido a negligencia intencional de las Reglas HIPAA en la que la entidad era consciente de sus errores y no intentó corregirlos.
Sanciones por violaciones de HIPAA por parte de la OCR: Un desglose
La OCR tiene una sanción diferente para cada una de sus categorías de violación de HIPAA. Son las siguientes:
- Categoría 1: Una multa de $100-$50,000 por violación
- Categoría 2: Una multa de $1,000-$50,000 por violación
- Categoría 3: Una multa de $10,000-$50,000 por violación
- Categoría 4: Una multa de al menos $50,000 por violación
Las multas por violación se limitan a $1,500,000 por violación, por año. Para determinar una multa específica dentro de cada una de estas categorías, la OCR toma en cuenta los siguientes factores:
- El tamaño de la entidad cubierta
- El tipo de datos expuestos
- La duración de la violación
- El número de individuos afectados
- La gravedad del daño causado
- La cooperación de la entidad con la investigación
Otros aplicadores de HIPAA
Como mencionamos anteriormente, la OCR no es la única entidad autorizada para hacer cumplir las Reglas HIPAA. Aunque no intervienen tanto, los fiscales generales del estado y el CMS también tienen autoridad en este sentido. A continuación, explicaremos qué poderes se les otorgan y cómo hacen cumplir HIPAA.
Fiscales generales del estado
En 2008, la Ley de Tecnología de la Información en Salud para la Economía y la Salud Clínica (HITECH) otorgó a los fiscales generales estatales la autoridad para hacer cumplir HIPAA en sus estados.
Al principio, los estados dudaban en utilizar este poder, y muchos optaron por no hacerlo. Pero recientemente, los fiscales generales estatales han estado haciendo cumplir HIPAA más activamente. En 2021, por ejemplo, Nueva Jersey ayudó a investigar la violación de datos de 2019 en American Medical Collection Agency (AMCA).
Aunque el aumento de la participación estatal se debe en parte a que la práctica se está volviendo más aceptada con el tiempo, también es probable que se deba a que los fiscales generales ahora pueden quedarse con una parte de las multas por violación.
Es importante tener en cuenta que las sanciones emitidas por los fiscales generales estatales son mucho menos severas que las emitidas por la OCR, y oscilan entre $100 y $25,000.
Los Centros de Servicios de Medicare y Medicaid (CMS)
Además de sus conocidas estipulaciones sobre seguridad del paciente, HIPAA incluye disposiciones diseñadas para mejorar la eficiencia en el sector de la salud. Estas se conocen como las Regulaciones de Simplificación Administrativa de HIPAA.
Es responsabilidad del CMS hacer cumplir estas regulaciones. El CMS investiga a las entidades cubiertas que no han cumplido con esta área de HIPAA. Sin embargo, no emite sanciones contra las entidades que no cumplen a menos que se nieguen a alcanzar el cumplimiento.
4 consejos para mantener el cumplimiento de HIPAA
No hace falta decir que cumplir con HIPAA te ahorrará muchos problemas: despídete del estrés de una investigación inminente. Además de seguir las Reglas de Seguridad y Privacidad de HIPAA, hemos recopilado algunas de las mejores prácticas para ayudar a tu organización a mantenerse en cumplimiento.
- Capacita a los empleados en políticas de privacidad y seguridad: Idealmente, seguir las Reglas de Privacidad y Seguridad de HIPAA sería suficiente para mantener a una organización en cumplimiento con HIPAA. Pero eso no siempre es el caso. Crea y actualiza regularmente las políticas de privacidad y seguridad, luego capacita a tus empleados para seguir esas políticas durante su proceso de incorporación y de manera regular.
- Realiza autoauditorías regulares: Las amenazas evolucionan y las medidas de seguridad fallan con el tiempo. Para mantener el cumplimiento, realiza auditorías regulares de tus salvaguardias físicas, técnicas y administrativas. Según el HSS, estas deben realizarse al menos anualmente.
- Documenta todo: Si tu organización es investigada, será un proceso mucho más fácil si has estado documentando todos tus esfuerzos de cumplimiento con HIPAA. OCR y otros encargados de hacer cumplir las reglas probablemente querrán ver los registros de autoauditorías, las políticas de privacidad y seguridad, y las sesiones de capacitación en toda la organización.
- Automatiza el cumplimiento: Automatizar el proceso de cumplimiento hace que sea mucho más fácil mantener el cumplimiento continuo. Esto hace que las auditorías y las investigaciones sean mucho menos estresantes.
Cubriendo tus bases de HIPAA con Secureframe
Secureframe elimina las conjeturas de cumplimiento con HIPAA. Desglosamos el proceso en pasos sencillos, desde ayudarte a crear políticas de privacidad y seguridad hasta facilitar la capacitación en HIPAA a los empleados.
Nuestro software también facilita asegurarse de que tus proveedores cumplan con HIPAA. Eliminamos el riesgo del proveedor desde el principio, ayudándote a crear Acuerdos de Asociados Comerciales para socios que tienen acceso a la información de salud de los pacientes.
Para tener total confianza en tu estrategia de cumplimiento con HIPAA, solicita una demostración de nuestra plataforma hoy mismo.
Preguntas frecuentes
¿Quién es responsable de hacer cumplir HIPAA?
La Oficina de Derechos Civiles (OCR) dentro del Departamento de Salud y Servicios Humanos (HHS) de EE. UU. es principalmente responsable de hacer cumplir las Reglas de Privacidad, Seguridad y Notificación de Brechas de la Ley de Portabilidad y Responsabilidad del Seguro de Salud (HIPAA). La OCR investiga quejas, realiza revisiones de cumplimiento y proporciona educación y divulgación para fomentar el cumplimiento de las reglas de HIPAA. Además de la OCR, ciertos estados pueden tener sus propias agencias o fiscales generales que pueden hacer cumplir las regulaciones de HIPAA, especialmente después de la promulgación de la Ley de Tecnología de la Información de Salud para la Economía y la Clínica (HITECH), que otorgó a los fiscales generales del estado la autoridad para presentar acciones civiles por violaciones de HIPAA.
¿Quién impone las sanciones de HIPAA?
Las sanciones de HIPAA son impuestas principalmente por la Oficina de Derechos Civiles (OCR) del Departamento de Salud y Servicios Humanos (HHS) de los Estados Unidos, pero también pueden ser impuestas por los fiscales generales de los estados y los Centros de Servicios de Medicare y Medicaid (CMS). Es importante notar que las sanciones emitidas por los fiscales generales de los estados son mucho menos severas que las emitidas por la OCR, y oscilan entre $100 y $25,000. Además, los CMS solo investigan a las entidades cubiertas que no han cumplido con las Regulaciones de Simplificación Administrativa de HIPAA y emiten sanciones contra las entidades que se niegan a lograr el cumplimiento.
¿Quién supervisa las quejas de HIPAA?
La Oficina de Derechos Civiles (OCR) del Departamento de Salud y Servicios Humanos (HHS) de los Estados Unidos supervisa e investiga las quejas de HIPAA presentadas por individuos que sienten que una entidad cubierta o un asociado comercial violó sus derechos de privacidad de información de salud (o los de otra persona) o cometió otra violación de las Reglas de Privacidad, Seguridad o Notificación de Incumplimiento.
¿Cómo se presenta una queja sobre una violación de HIPAA ante la Oficina de Derechos Civiles?
Para presentar una queja sobre una violación de HIPAA ante la Oficina de Derechos Civiles, los individuos pueden completar el Formulario de Queja de Confidencialidad de Seguridad del Paciente - PDF y el Paquete de Formulario de Consentimiento - PDF en formato PDF o presentar una queja por escrito en su propio formato y luego enviarla por correo o fax a la oficina regional de OCR correspondiente o enviarla por correo electrónico a OCRComplaint@hhs.gov. Todos los requisitos de quejas se pueden encontrar aquí.
¿Cómo se hacen cumplir las regulaciones de HIPAA?
Las regulaciones de HIPAA se hacen cumplir a través de varios mecanismos:
- Quejas: Las personas pueden presentar quejas ante la OCR si creen que sus derechos bajo HIPAA han sido violados. La OCR investiga estas quejas y determina si ha habido una violación.
- Revisiones de Cumplimiento: La OCR puede iniciar una revisión de cumplimiento de una entidad cubierta o de un asociado comercial para verificar el cumplimiento de las reglas de HIPAA.
- Auditorías: La OCR del HHS ha establecido un programa de auditorías para evaluar el cumplimiento de las entidades cubiertas y los asociados comerciales con las Reglas de Privacidad, Seguridad y Notificación de Incumplimientos de HIPAA.
- Planes de Acción Correctiva: Si se identifica una violación, la OCR puede requerir que la entidad implemente un plan de acción correctiva para abordar y remediar la violación.
- Sanciones Monetarias Civiles: En casos de no cumplimiento, la OCR puede imponer sanciones monetarias civiles a la entidad infractora. La cantidad de la sanción se basa en la naturaleza y el alcance de la violación y el daño resultante.
- Acuerdos de Resolución: La OCR puede llegar a un acuerdo de resolución con la entidad cubierta o el asociado comercial, que típicamente incluye un acuerdo monetario y un plan de acción correctivo para resolver los problemas de cumplimiento.
¿Qué sucede si se viola HIPAA?
Las consecuencias de una violación de HIPAA pueden variar según la naturaleza y el alcance de la violación y el daño causado:
- Investigación y Medidas Correctivas: Inicialmente, el OCR puede buscar el cumplimiento voluntario y la acción correctiva por parte de la entidad para abordar la violación.
- Multas Monetarias Civiles: Si la violación es grave o la entidad no coopera, el OCR puede imponer multas monetarias civiles. Las multas por violaciones de HIPAA pueden oscilar entre $100 y $50,000 por violación o por registro, con una multa máxima de $1.5 millones por año por violaciones de una misma disposición.
- Penalidades Criminales: En casos de negligencia intencional o delitos criminales, como la divulgación indebida de información de salud individualmente identificable, se pueden imponer penalidades criminales. Estas penalidades pueden variar desde multas de hasta $250,000 y prisión de hasta diez años, dependiendo de la gravedad de la violación.
- Acuerdos de Resolución: La entidad también puede entrar en un acuerdo de resolución con el OCR, que puede incluir una liquidación monetaria y un plan de acción correctiva que especifique las acciones que la entidad debe tomar para cumplir con las reglas de HIPAA.
Las violaciones también pueden llevar a un daño reputacional, pérdida de confianza de los pacientes y posibles demandas de los individuos afectados.
