¿Qué es la HIPAA (ley de datos de salud de EE. UU.)?
La HIPAA (Health Insurance Portability and Accountability Act) es la ley federal de protección de datos de salud de los Estados Unidos. Obliga a los planes de salud, a los prestadores y a sus proveedores a proteger la información de salud del paciente, define reglas de privacidad, de seguridad y de notificación de filtraciones, y es fiscalizada por la oficina de derechos civiles del gobierno (OCR), que puede aplicar multas por incumplimiento. Como el dato de salud es una categoría sensible en casi toda ley de privacidad, la HIPAA alcanza a cualquier organización, dentro o fuera de EE. UU., que trate datos de salud de pacientes estadounidenses.
Cómo funciona la HIPAA en la práctica
La HIPAA no es un software que se instala. Es un conjunto de deberes sobre quien toca la información de salud del paciente (el PHI), desde la historia clínica electrónica hasta un correo que menciona un diagnóstico. El ciclo tiene cuatro partes.
Saber quién está sujeto a la ley
La HIPAA distingue a la entidad cubierta (plan, prestador, cámara de compensación) del proveedor que trata el PHI en su nombre (el business associate). Un sistema de agenda, una nube, un call center: todos entran en la cadena de responsabilidad.
Proteger el PHI en tres frentes
La Regla de Privacidad limita cómo se usa y se divulga la información; la Regla de Seguridad exige controles técnicos, físicos y administrativos sobre el PHI electrónico; la Regla de Notificación obliga a avisar a los afectados cuando ocurre una filtración.
Formalizar el vínculo con cada proveedor
Contratar a un proveedor que toca el PHI sin un acuerdo de protección de datos (el BAA) no transfiere el riesgo: la entidad cubierta sigue respondiendo por lo que hace el proveedor.
Notificar la filtración dentro del plazo
Un incidente que exponga el PHI debe comunicarse a los pacientes y a la oficina de derechos civiles en un plazo previsto por la ley, no ocultarse hasta que salga a la luz.
Fuente: U.S. Department of Health and Human Services (HHS), Office for Civil Rights (OCR) y las reglas de la HIPAA.
Las tres reglas que forman la HIPAA
- Regla de Privacidad Define qué es el PHI y limita cómo puede usarse y compartirse la información de salud, garantizando al paciente el derecho de acceder a su propia historia clínica.
- Regla de Seguridad Exige salvaguardas administrativas, físicas y técnicas sobre el PHI en formato electrónico, empezando por un análisis de riesgo documentado.
- Regla de Notificación de Filtraciones Obliga a comunicar a los pacientes, al gobierno y, en incidentes grandes, a la prensa, dentro de plazos definidos, cuando el PHI queda expuesto.
Por qué la información de salud es el objetivo más caro
El dato de salud vale más en el mercado criminal que un número de tarjeta, porque no se puede cancelar: un historial médico no vence. Eso se traduce en costo. El sector de la salud es, desde hace 14 años seguidos, el que más paga por una filtración de datos: US$ 7,42 millones en promedio por incidente, frente a los US$ 4,44 millones del promedio global de todos los sectores (IBM, 2025). Y el tiempo de exposición es largo, 279 días en promedio para identificar y contener un incidente en el sector. Del lado regulatorio, la oficina de derechos civiles de EE. UU. puede multar en varios tramos de gravedad, con un tope anual de US$ 2,19 millones por categoría de violación (ajuste de 2025). Nada de esto depende del tamaño: la ley no exime a la clínica pequeña.
Cómo se prepara una organización para la HIPAA
El cumplimiento de la HIPAA no es un certificado que se cuelga en la pared, es una rutina que se sostiene. El camino más directo:
- Mapee dónde vive el PHI y por dónde fluyeListe dónde se crea, se almacena y se transmite la información de salud, y por quién pasa. Sin ese mapa, el análisis de riesgo queda ciego.
- Haga el análisis de riesgo y trate lo que encuentreEs el control que el regulador más exige: identificar las amenazas al PHI electrónico y reducir cada riesgo relevante, con registro de lo que se hizo.
- Firme un acuerdo con cada proveedor que toca el PHITodo business associate necesita un BAA firmado. Sin él, la responsabilidad recae por completo sobre la entidad cubierta.
- Tenga listo un plan de respuesta a incidentesDescubrir el proceso de notificación durante la filtración cuesta días que la ley no concede. El plan probado de antemano es lo que acorta el plazo.
En la práctica
La pregunta que revela el riesgo real: si la oficina de derechos civiles pidiera hoy el análisis de riesgo de PHI de la organización, ¿alguien entregaría un documento actual, o una planilla de hace tres años?
Cómo trata Zamak el cumplimiento de la HIPAA
Zamak Technologies apoya la adecuación a la HIPAA como parte de la Gobernanza y Conformidad del Método Zamak: mapeo de controles, recolección continua de evidencia y trazabilidad de auditoría sobre una plataforma de cumplimiento. Un buen punto de partida es el Compliance Audit Express, que muestra en minutos dónde está más expuesta la organización.