Aprendizaje y descubrimiento 4min de Leitura - 24 de enero de 2023

¿Qué es la Ley HIPAA?

HIPAA

This post is also available in: Português Español

Si en Brasil la LGPD aún se siente con cierto aire de novedad, en otros países algunas legislaciones ya celebraron sus bodas de plata. Este es el caso de HIPAA en Estados Unidos, que entró en vigor en 1996 y, desde entonces, ha definido el estándar para proteger los datos confidenciales de los pacientes. Es decir, está dirigido exclusivamente al ámbito médico.

En inglés, HIPAA significa Ley de Portabilidad y Responsabilidad de Seguros Médicos. Como tal, las empresas que manejan información de salud protegida (PHI, por sus siglas en inglés) deben contar con medidas de seguridad físicas, de red y de procesos, y adherirse a ellas para garantizar el cumplimiento de HIPAA.

Como tal, cualquier negocio que brinde tratamiento, pago y operaciones de atención médica, así como socios comerciales y cualquier persona que tenga acceso a la información del paciente y apoye el tratamiento, el pago o las operaciones debe cumplir con HIPAA. Otras entidades, como los subcontratistas y cualquier otro socio comercial relacionado, también deben cumplir.

Según el Departamento de Salud y Servicios Humanos de EE. UU. (HHS, por sus siglas en inglés), las reglas establecen estándares nacionales para proteger cierta información de salud. Además, la regla establece un conjunto nacional de estándares de seguridad para proteger la información de salud específica que se mantiene o transfiere en formato electrónico.

Por lo tanto, HIPAA hace operativas las protecciones de la Regla de privacidad, abordando las medidas de seguridad técnicas y no técnicas que las entidades cubiertas deben implementar para proteger la PHI electrónica de las personas (e-PHI).

El HHS señala que a medida que los proveedores de atención médica y otras entidades que se ocupan de la PHI, comienzan a usar operaciones computarizadas, por lo que el cumplimiento de la HIPAA se vuelve cada vez más importante. Asimismo, los planes de salud ofrecen acceso a reclamos, gestión de atención y aplicaciones de autoservicio. Si bien todos estos métodos electrónicos brindan una mayor eficiencia y movilidad, también aumentan drásticamente los riesgos de seguridad que enfrentan los datos de atención médica.

Por lo tanto, se creó una ley para proteger la privacidad de la información de salud de las personas y al mismo tiempo permitir que las entidades cubiertas adopten nuevas tecnologías para mejorar la calidad y la eficiencia de la atención al paciente. Las reglas son lo suficientemente flexibles para permitir que una entidad cubierta implemente políticas, procedimientos y tecnologías apropiadas para el tamaño de la institución, la estructura organizacional y los riesgos de e-PHI del paciente y consumidor.

Cumplimiento

El HHS exige medidas de seguridad físicas y técnicas para las empresas que almacenan datos confidenciales de pacientes. Estas protecciones físicas incluyen acceso limitado y control de instalaciones con acceso autorizado en sitio, así como políticas de uso y acceso a estaciones de trabajo y medios electrónicos. También se enumeran ciertas restricciones sobre la transferencia, eliminación, y reutilización de medios electrónicos y ePHI.

De manera similar, las salvaguardas técnicas de HIPAA requieren control de acceso, lo que permite que solo el personal autorizado acceda a ePHI. El control de acceso incluye el uso de identificaciones de usuario únicas, procedimientos de acceso de emergencia, cierre de sesión automático, cifrado y descifrado. Los requisitos también abarcan informes de auditoría o registros de seguimiento que registran la actividad en hardware y software.

Otras políticas técnicas para el cumplimiento de la HIPAA abordan los controles de integridad o las medidas implementadas para confirmar que la ePHI no esté alterada ni dañada. La recuperación de incidentes de TI y la copia de seguridad externa son componentes clave que garantizan que los errores y fallas de los medios electrónicos se corrijan rápidamente para que la información de salud del paciente se recupere con precisión.

Una última protección técnica es la seguridad de la red o la transmisión que garantiza que los hosts que cumplen con la HIPAA estén protegidos contra el acceso no autorizado a ePHI. Esta protección cubre todos los métodos de transmisión de datos, incluido el correo electrónico, Internet o redes privadas como una nube privada.

En este contexto, para ayudar a garantizar el cumplimiento de HIPAA, el gobierno de los EE. UU. aprobó una ley complementaria, la Ley de tecnología de información de salud para la salud económica y clínica (HITECH), que aumenta las sanciones para las organizaciones de atención médica que violen las reglas de privacidad y seguridad de HIPAA. La Ley HITECH se implementó debido al desarrollo de la tecnología del cuidado de la salud y al mayor uso, almacenamiento y transmisión de información electrónica en la industria.

Protección de datos

La necesidad de seguridad de los datos ha crecido con el aumento del uso y el intercambio de datos electrónicos de pacientes. Hoy en día, brindar atención de alta calidad requiere que las organizaciones médicas satisfagan esta demanda al cumplir con las regulaciones de HIPAA y proteger la PHI.

Tener una estrategia de protección de datos permite a las organizaciones médicas, garantizar la seguridad y disponibilidad de la PHI para mantener la confianza de los profesionales y pacientes. Además, le permite cumplir con las normas HIPAA y HITECH para el acceso, la auditoría, los controles de integridad, la transmisión de datos y la seguridad de los dispositivos, manteniendo una mayor visibilidad y control de los datos confidenciales en toda la empresa.

Las mejores soluciones de protección de datos reconocen y protegen los datos del paciente en todas sus formas, incluidos datos estructurados y no estructurados, correos electrónicos, documentos y escaneos, lo que permite a los profesionales de la salud compartir datos de forma segura para garantizar la mejor atención posible al paciente.

Así, los pacientes confían sus datos a las organizaciones de salud, y es deber de estas organizaciones salvaguardar dicha información.

Ley General de Protección de Datos

HIPAA es famosa por ser pionera en la orientación de privacidad específica para la industria de la salud. En los EE.UU., la confidencialidad médico-paciente siempre ha sido una prioridad, y la informatización del país se produjo hace mucho.

guia LGPD
En Brasil, la Ley General de Protección de Datos (LGPD) orienta sobre la privacidad de los datos personales, sin distinción de ramas de actividad.

Obtenga más información sobre la LGPD haciendo clic en el link.

This post is also available in: Português Español