¿Qué es la HIPAA?

La ley HIPAA (Health Insurance Portability and Accountability Act) de 1996 se diseñó para proteger los datos sanitarios o la información sanitaria protegida electrónicamente (ePHI). Es una ley de los Estados Unidos diseñada para proporcionar normas de privacidad para proteger los registros médicos de los pacientes y otra información médica. La ley HIPAA establece definiciones de ePHI, reglas y políticas para utilizar y compartir ePHI, y sanciones por mal uso o infracción de ePHI a terceros no autorizados. Mientras que los objetivos originales abarcan el gobierno de la privacidad de los datos a través del acceso consentido y la garantía de la portabilidad de la ePHI para simplificar los cambios en los planes de seguros, la ley HIPAA estableció una pieza fundamental de política sobre la que basarse a medida que cambia el sector.

La ley es más relevante que nunca hoy en día, ya que la ePHI está incluida en la mayoría de los formatos estándar de intercambio de atención sanitaria, con todas las partes (incluidos los atacantes) interesadas en acceder a los datos confidenciales. Un informe de 2023 de la Oficina de Seguridad de la Información del Departamento de Salud y Servicios Humanos (HHS) de EE. UU. muestra una tendencia ascendente en las filtraciones de datos de atención sanitaria entre 2012 y 2021. El informe también destaca que las filtraciones de datos en el sector sanitario se duplicaron en los tres años anteriores. Los institutos sanitarios y los organismos asociados, como los seguros, son custodios de información médica protegida (PHI). Esto convierte a estas organizaciones en un objetivo atractivo para los ciberdelincuentes. Entre los ciberataques a la atención sanitaria se incluyen la insidiosa amenaza del ransomware y los problemas de seguridad de los datos, que a menudo comienzan con el acceso no autorizado y la falta de controles de acceso de privilegios mínimos.

Conceptos básicos sobre la ley HIPAA

HIPAA fue promulgada el 21 de agosto de 1996. Sin embargo, desde entonces, el marco ha tenido varias adiciones importantes. Entre ellas se incluyen la regla de seguridad, la regla de privacidad, la regla de notificación de infracciones y la regla final Omnibus. HHS regula la HIPAA, pero la Oficina de Derechos Civiles (OCR) hace cumplir la ley HIPAA.

Ilustración que define los componentes del marco de cumplimiento de la ley HIPAA.

En «Simplificación administrativa», la ley HIPAA se define a través de varios componentes, entre ellos:

Normas relativas a transacciones y conjuntos de códigos
Normativa sobre identificadores
Regla de privacidad
Regla de seguridad
Regla de cumplimiento
Regla de notificación de incumplimiento

Estas reglas y normas establecen conjuntamente las bases para la protección de la ePHI.

Cómo ayuda Akamai a que una organización cumpla la ley HIPAA

La protección de la ePHI es el núcleo del cumplimiento de la HIPAA. Las soluciones de seguridad de Akamai proporcionan inteligencia y protección integral para apoyar la protección ePHI frente a filtraciones y exposiciones accidentales. Akamai ayuda a sus equipos de seguridad a mejorar la eficacia y el ROI de sus inversiones en seguridad al ir más allá de la detección tradicional de terminales con el fin de proporcionar una potente solución Zero Trust para la seguridad y la privacidad de los datos.

Akamai proporciona:

Una plataforma de seguridad global que aplica la seguridad Zero Trust con una cobertura completa de su entorno de TI
Gran visibilidad de sus flujos de red, accesos y recursos
Aplicación detallada de las políticas de seguridad configuradas por el cliente

¿Cómo afecta la ley HIPAA a su organización?

Cualquier entidad sanitaria, incluido cualquier socio comercial que gestione datos sanitarios, debe cumplir las estrictas normas de privacidad y seguridad de datos de la ley HIPAA. Si su organización entra en el ámbito de la ley HIPAA, se espera que cumpla con las regulaciones que afectan el acceso y manejo de PHI. Si una entidad afectada incumple las reglas de seguridad y privacidad de HIPAA, estará vinculada por las reglas de notificación de infracciones. Si más de 500 usuarios se ven afectados por una infracción, la notificación del incidente se debe transferir a OCR. Los detalles de la vulneración se enumeran en un sitio web público en el que se pueden realizar búsquedas, «Portal de filtraciones: Aviso al Secretario del departamento de filtraciones de información sanitaria protegidade de HHS».

Entre los tipos específicos de organizaciones que se ven afectadas por la ley HIPAA se incluyen los siguientes:

_Hospitales

La Regla de Privacidad de la ley HIPAA exige que los hospitales proporcionen explicaciones claras de los derechos de privacidad de los pacientes. Además, la seguridad es un componente esencial en la protección de los datos de los pacientes, con la norma HIPAA 45 CFR 164.502(b), 164.514(d), que establece explícitamente el requisito de que las entidades cubiertas deben «…evaluar sus prácticas y mejorar las salvaguardias según sea necesario para limitar el acceso innecesario o inapropiado a la información de salud protegida y su divulgación».

Por lo tanto, los hospitales deben adoptar medidas para minimizar el riesgo de acceso no autorizado a los datos. Un enfoque de seguridad Zero Trust para el acceso a los datos proporciona el marco para mitigar los riesgos de la PHI en un entorno hospitalario.

_{Socios comerciales}

Un socio comercial de acuerdo a la ley HIPAA se define como cualquier negocio que «crea, recibe, mantiene o transmite información médica protegida (PHI)» en nombre de una entidad cubierta. Esto incluye empresas como proveedores de software, proveedores de servicios en la nube y agencias de facturación. Los socios comerciales están obligados a proteger y mantener la confidencialidad, integridad y accesibilidad de la PHI mediante medidas técnicas y salvaguardias. Las medidas de seguridad para identificar el riesgo y proteger la PHI son un requisito de la ley HIPAA. Una plataforma Zero Trust proporciona visibilidad a través de un ecosistema de datos ampliado para aplicar medidas de seguridad sólidas con el fin de evitar el acceso no autorizado a los datos.

Beneficios de seguridad y privacidad del cumplimiento de la ley HIPAA

La ley HIPAA tiene estrictas medidas de protección para garantizar la seguridad y privacidad de la ePHI. La aplicación de los principios de la ley HIPAA proporciona una serie de beneficios a las entidades cubiertas y a los pacientes. Entre algunas de las ventajas más importantes:

Mejora la privacidad del paciente: La información personal y sensible sobre la salud del paciente se limita únicamente a aquellos que necesitan conocerla. En determinadas condiciones, los pacientes deben dar su consentimiento para compartir sus datos de salud.

Aplica los principios de acceso basado en roles y privilegios mínimos: Los datos solo están disponibles para aquellos que necesitan conocerlos. La seguridad Zero Trust puede ayudar a aplicar estos principios.

Exige una autenticación sólida: La ley HIPAA requiere que todas las entidades cubiertas implementen una autenticación sólida para ayudar a aplicar las políticas de control de acceso.

Protege frente al malware: El ransomware ataca hospitales y otros institutos sanitarios. Esto hace que la ePHI sea vulnerable. El cumplimiento de la ley HIPAA protege contra la infección de malware.

Soluciones de Akamai para el cumplimiento de HIPAA

Akamai ofrece una completa familia de soluciones de seguridad Zero Trust para ayudar a cumplir y mantener el cumplimiento de la ley HIPAA. Nuestros clientes reconocen las soluciones de seguridad líderes de Akamai como las mejores de su clase; nuestros clientes del sector sanitario utilizan Akamai para proteger la ePHI y aplicar los principios de privilegios mínimos y controles de acceso sólidos. La cartera de productos de seguridad de Akamai ha pasado de ser una colección de soluciones puntuales a una plataforma Zero Trust completa y potente. Las soluciones de primera clase de Akamai proporcionan controles de seguridad para cumplir la norma de seguridad y privacidad HIPAA, que abarca la seguridad, disponibilidad, integridad, confidencialidad y privacidad de los datos. Akamai ofrece una amplia visibilidad de su entorno de TI y de su infraestructura ampliada para incluir a sus socios comerciales.

Akamai Cloud: Nuestra plataforma en el borde de Internet y en la nube distribuida a gran escala ofrece cloud computing, seguridad y distribución de contenido. Akamai Cloud se ha diseñado para garantizar que las entidades cubiertas por la ley HIPAA puedan utilizar la informática en la nube y seguir cumpliendo las normativas.

Akamai Identity Cloud: La privacidad y la seguridad están integradas en Akamai Identity Cloud por diseño. La solución proporciona una gestión de identidades altamente escalable y gestiona casos de uso complejos. Identity Cloud almacena los datos de los clientes de forma muy segura, aplicando principios de privilegios mínimos para mitigar los ciberataques. Además, la solución cuenta con gestión de consentimiento integrada para cumplir con las normativas, incluidas HIPAA, RGPD, CCPA, PIPEDA y otras.

Quién debe cumplir con la ley HIPAA

HHS clasifica las entidades cubiertas por HIPAA en tres clases:

Proveedores de atención médica: incluye médicos, clínicas, dentistas y farmacias
Planes de salud: incluye compañías de seguros de salud y planes de salud de la compañía
Centros de intercambio de información sanitaria: organizaciones que procesan información de salud no estándar de otra entidad

La protección de la PHI se amplía mediante la regla Omnibus para incluir a cualquier socio comercial que gestione datos de salud.

Qué información está protegida por la ley HIPAA

La información sanitaria protegida electrónicamente (ePHI) según las normativas de HIPAA se refiere a datos sanitarios o información sanitaria personal identificables individualmente: HIPAA incluye 18 «identificadores». Estos identificadores representan los diferentes tipos de datos identificativos que cubre la ley HIPAA. Los tipos de información incluyen nombres de pacientes, direcciones de correo electrónico, números de la Seguridad Social, historias clínicas electrónicas (EHR), historias clínicas, datos biométricos, etc. Se requiere la autorización del paciente para autorizar los registros que contengan cualquiera de estos datos.

La ePHI se excluye de los controles de la ley HIPAA si se puede disociar mediante el «estándar de desidentificación» según la ley HIPAA, sección 164.514(a) de la norma de privacidad de HIPAA.

Norma de seguridad de la ley HIPAA

Cualquier entidad cubierta por la ley HIPAA que cree, reciba, utilice o mantenga la PHI debe cumplir la norma de seguridad de la ley HIPAA. La norma cubre explícitamente las garantías administrativas, físicas y técnicas que garantizan la confidencialidad, integridad y seguridad de la ePHI. Las medidas de seguridad técnicas para ayudar a cumplir con la ley HIPAA y proteger la PHI incluyen:

Control de acceso a ePHI
Autenticación de persona o entidad
Seguridad de transmisión, por ejemplo, cifrado

Otras disposiciones de seguridad incluyen la formación y concienciación sobre el cumplimiento de las normas de los empleados, así como las medidas de protección para el acceso físico.

Norma de privacidad de la ley HIPAA

La norma de privacidad de la ley HIPAA se añadió en diciembre de 2000 y se actualizó en agosto de 2002. Proporciona el marco de privacidad para proteger la información de salud identificable individualmente por las entidades cubiertas y para controlar la divulgación de información de salud protegida. Los datos asociados también están cubiertos por la norma de privacidad, por ejemplo:

Condiciones físicas o mentales en el pasado, presente y futuro
El tratamiento de una afección
Información de pago con respecto al tratamiento

¿La ley HIPAA está relacionada con la Ley HITECH?

La ley HIPAA y la ley HITECH (Health Information Technology for Economic and Clinical Health Act) se ocupan de proteger la ePHI. Sin embargo, HITECH amplía los requisitos de cumplimiento de cifrado HIPAA y la divulgación de filtraciones de datos de PHI «sin protección» (sin cifrar). Esto significa que los pacientes pueden solicitar notificación de cualquier divulgación de su PHI.

HIPAA y notificaciones de infracciones

La ley HIPAA tiene una regla de notificación de infracciones que define lo que activa una notificación de infracciones en virtud de las infracciones de la ley HIPAA. Las reglas básicas para la notificación de infracciones son:

Infracciones que afectan a 500 o más personas: Las entidades cubiertas deben notificar al Secretario sin demora irrazonable dentro de los 60 días siguientes a una infracción.
Infracciones que afectan a menos de 500 personas: Las entidades cubiertas pueden notificar al Secretario anualmente, pero dentro de los 60 días siguientes al final del año de la violación.

La regla de notificación de infracciones de la ley HIPAA (HIPAA Breach Notification Rule) se puede encontrar en HIPAA 45 CFR §§ 164.400-414.

Infracciones y sanciones según la ley HIPAA

Las sanciones por incumplimiento de la ley HIPAA incluyen multas de hasta 50.000 USD por infracción de la ley HIPAA y pueden incluir sanciones penales.

Preguntas frecuentes

El acrónimo HIPAA responde a Health Insurance Portability and Accountability Act (Ley de portabilidad y responsabilidad de seguros médicos), una pieza fundamental de la legislación estadounidense promulgada en 1996. Representa un esfuerzo integral del Departamento de Salud y Servicios Humanos de los Estados Unidos (HHS) para establecer normas nacionales para la protección y el manejo confidencial de la información médica protegida por medios electrónicos (ePHI).

El objetivo principal de la ley HIPAA es proteger la privacidad y la seguridad de la información sanitaria, especialmente la información almacenada digitalmente. Establece un marco legal y estándares regulatorios para proteger la información sensible de salud de los pacientes de ser divulgada sin el consentimiento o conocimiento del paciente, al tiempo que aborda la creciente preocupación de los ciberataques en el sector de la salud.

La ley HIPAA protege la ePHI, que abarca cualquier información sobre el estado de salud, la prestación de asistencia sanitaria o el pago de asistencia sanitaria que se pueda vincular a un individuo. Esto incluye una amplia gama de identificadores como nombres de pacientes, direcciones, historias clínicas y números de la Seguridad Social, garantizando su confidencialidad, integridad y seguridad.

La información no protegida por la ley HIPAA incluye datos sanitarios anonimizados, en los que se han eliminado los identificadores individuales, lo que hace imposible vincular la información con individuos específicos. Además, los registros mantenidos por organizaciones no cubiertas por la ley HIPAA, como empleadores o aseguradoras de vida, y la información compartida por los pacientes fuera del contexto sanitario, no están protegidos.

Demostrar el cumplimiento de la ley HIPAA implica la implementación de un conjunto completo de medidas de seguridad, incluido el control de acceso, el cifrado de datos y las evaluaciones de riesgos periódicas. Las organizaciones también deben proporcionar formación a los empleados, establecer políticas y procedimientos para gestionar la ePHI y mantener la documentación de sus esfuerzos de cumplimiento. En casos de vulneraciones o auditorías, poder presentar estas pruebas es crucial para demostrar el cumplimiento de las normativas de la ley HIPAA.

Por qué los clientes eligen Akamai

Akamai es la empresa de ciberseguridad y cloud computing que potencia y protege los negocios online. Nuestras soluciones de seguridad líderes en el mercado, nuestra inteligencia ante amenazas consolidada y nuestro equipo de operaciones globales proporcionan una defensa en profundidad para proteger los datos y las aplicaciones empresariales. Las soluciones integrales de cloud computing de Akamai garantizan el rendimiento y una buena relación calidad-precio en la plataforma más distribuida del mundo. Las grandes empresas confían en Akamai, ya que les ofrece una fiabilidad, una escalabilidad y una experiencia inigualables en el sector, idóneas para crecer con seguridad.

Productos relacionados

Akamai Guardicore Segmentation

Visualice, proteja y segmente entornos locales, en la nube e híbridos.

Más información

API Security

Proteja todas sus API frente a los ataques y al robo de datos, que son cada vez más frecuentes.

Más información

Recursos adicionales

Achieving CAF Outcomes in the UK Public Sector with Akamai Security

Akamai ayuda a las organizaciones a cumplir los requisitos del Marco de Evaluación Cibernética (CAF, por sus siglas en inglés) del Reino Unido con soluciones resilientes. Descubra cómo podemos respaldarle.

Más información

Informe de la Ley de resiliencia operativa digital

Ley de resiliencia operativa digital: preparación de las entidades financieras para el cumplimiento de DORA con Akamai

Descubra cómo ayuda Akamai a las entidades financieras para que gestionen con eficacia sus desafíos de cumplimiento normativo.

Más información

Acelere el cumplimiento en el PCI y garantice la validación continua con Akamai Guardicore Segmentation

Akamai Guardicore Segmentation aborda varios requisitos de PCI DSS con una sola herramienta, lo que proporciona visibilidad a los auditores y ayuda a los equipos de respuesta a incidentes a detectar infracciones.

Más información

Simplificación del cumplimiento de NERC CIP con Akamai Guardicore Segmentation

Base para crear una arquitectura Zero Trust

Akamai Guardicore Segmentation puede ayudar a las organizaciones que ya cumplen con NERC CIP al simplificar y mejorar su estrategia de cumplimiento normativo.

Más información