Ir al contenido
Gobernanza y Conformidad

¿Qué es la HIPAA (ley de datos de salud de EE. UU.)?

La HIPAA (Health Insurance Portability and Accountability Act) es la ley federal de protección de datos de salud de los Estados Unidos. Obliga a los planes de salud, a los prestadores y a sus proveedores a proteger la información de salud del paciente, define reglas de privacidad, de seguridad y de notificación de filtraciones, y es fiscalizada por la oficina de derechos civiles del gobierno (OCR), que puede aplicar multas por incumplimiento. Como el dato de salud es una categoría sensible en casi toda ley de privacidad, la HIPAA alcanza a cualquier organización, dentro o fuera de EE. UU., que trate datos de salud de pacientes estadounidenses.

Zamak TechnologiesActualizado el 10 de julio de 2026

Cómo funciona la HIPAA en la práctica

La HIPAA no es un software que se instala. Es un conjunto de deberes sobre quien toca la información de salud del paciente (el PHI), desde la historia clínica electrónica hasta un correo que menciona un diagnóstico. El ciclo tiene cuatro partes.

1

Saber quién está sujeto a la ley

La HIPAA distingue a la entidad cubierta (plan, prestador, cámara de compensación) del proveedor que trata el PHI en su nombre (el business associate). Un sistema de agenda, una nube, un call center: todos entran en la cadena de responsabilidad.

2

Proteger el PHI en tres frentes

La Regla de Privacidad limita cómo se usa y se divulga la información; la Regla de Seguridad exige controles técnicos, físicos y administrativos sobre el PHI electrónico; la Regla de Notificación obliga a avisar a los afectados cuando ocurre una filtración.

3

Formalizar el vínculo con cada proveedor

Contratar a un proveedor que toca el PHI sin un acuerdo de protección de datos (el BAA) no transfiere el riesgo: la entidad cubierta sigue respondiendo por lo que hace el proveedor.

4

Notificar la filtración dentro del plazo

Un incidente que exponga el PHI debe comunicarse a los pacientes y a la oficina de derechos civiles en un plazo previsto por la ley, no ocultarse hasta que salga a la luz.

Fuente: U.S. Department of Health and Human Services (HHS), Office for Civil Rights (OCR) y las reglas de la HIPAA.

Las tres reglas que forman la HIPAA

  • Regla de Privacidad Define qué es el PHI y limita cómo puede usarse y compartirse la información de salud, garantizando al paciente el derecho de acceder a su propia historia clínica.
  • Regla de Seguridad Exige salvaguardas administrativas, físicas y técnicas sobre el PHI en formato electrónico, empezando por un análisis de riesgo documentado.
  • Regla de Notificación de Filtraciones Obliga a comunicar a los pacientes, al gobierno y, en incidentes grandes, a la prensa, dentro de plazos definidos, cuando el PHI queda expuesto.

Por qué la información de salud es el objetivo más caro

US$ 7,42 M
es el costo promedio de una filtración en el sector de la salud, el más caro de todos los sectores desde hace 14 años (IBM, 2025)
279 días
es el tiempo promedio para identificar y contener una violación de datos de salud (IBM, 2025)
US$ 2,19 M
es el tope anual de multa por categoría de violación de la HIPAA (HHS/OCR, ajuste de 2025)

El dato de salud vale más en el mercado criminal que un número de tarjeta, porque no se puede cancelar: un historial médico no vence. Eso se traduce en costo. El sector de la salud es, desde hace 14 años seguidos, el que más paga por una filtración de datos: US$ 7,42 millones en promedio por incidente, frente a los US$ 4,44 millones del promedio global de todos los sectores (IBM, 2025). Y el tiempo de exposición es largo, 279 días en promedio para identificar y contener un incidente en el sector. Del lado regulatorio, la oficina de derechos civiles de EE. UU. puede multar en varios tramos de gravedad, con un tope anual de US$ 2,19 millones por categoría de violación (ajuste de 2025). Nada de esto depende del tamaño: la ley no exime a la clínica pequeña.

Cómo se prepara una organización para la HIPAA

El cumplimiento de la HIPAA no es un certificado que se cuelga en la pared, es una rutina que se sostiene. El camino más directo:

  1. Mapee dónde vive el PHI y por dónde fluyeListe dónde se crea, se almacena y se transmite la información de salud, y por quién pasa. Sin ese mapa, el análisis de riesgo queda ciego.
  2. Haga el análisis de riesgo y trate lo que encuentreEs el control que el regulador más exige: identificar las amenazas al PHI electrónico y reducir cada riesgo relevante, con registro de lo que se hizo.
  3. Firme un acuerdo con cada proveedor que toca el PHITodo business associate necesita un BAA firmado. Sin él, la responsabilidad recae por completo sobre la entidad cubierta.
  4. Tenga listo un plan de respuesta a incidentesDescubrir el proceso de notificación durante la filtración cuesta días que la ley no concede. El plan probado de antemano es lo que acorta el plazo.

En la práctica

La pregunta que revela el riesgo real: si la oficina de derechos civiles pidiera hoy el análisis de riesgo de PHI de la organización, ¿alguien entregaría un documento actual, o una planilla de hace tres años?

Cómo trata Zamak el cumplimiento de la HIPAA

Zamak Technologies apoya la adecuación a la HIPAA como parte de la Gobernanza y Conformidad del Método Zamak: mapeo de controles, recolección continua de evidencia y trazabilidad de auditoría sobre una plataforma de cumplimiento. Un buen punto de partida es el Compliance Audit Express, que muestra en minutos dónde está más expuesta la organización.

Preguntas frecuentes sobre la HIPAA

¿La HIPAA aplica solo a hospitales estadounidenses?
No. La ley alcanza a los planes de salud, a los prestadores y, sobre todo, a los proveedores que tratan información de salud en su nombre (los business associates), estén donde estén. Una empresa de tecnología fuera de EE. UU. que procesa el dato de salud de un paciente estadounidense entra en el alcance de la ley.
¿Cuál es la diferencia entre entidad cubierta y business associate?
La entidad cubierta es quien presta el servicio de salud o el plan; el business associate es el proveedor que toca el PHI en su nombre, un sistema, una nube, un call center. Ambos responden por la HIPAA, y el vínculo entre ellos necesita un contrato específico (el BAA).
¿Qué es el PHI?
El PHI (Protected Health Information) es cualquier información de salud que pueda identificar a una persona: diagnóstico, examen, historial, junto con datos como nombre, dirección e identificadores ligados a ese contexto de salud.
¿La HIPAA exige cifrado?
La Regla de Seguridad trata el cifrado como un elemento direccionable, no como una obligación en toda situación. En la práctica, cuando el análisis de riesgo señala exposición de PHI electrónico, cifrar es casi siempre la medida esperada, y su ausencia pesa en la multa.
¿Una empresa pequeña debe cumplir la HIPAA?
Sí. No existe exención por tamaño. La oficina de derechos civiles considera el tamaño al dosificar la multa, no al definir el deber de proteger el PHI.
¿La HIPAA y la LGPD son lo mismo?
No. La HIPAA es específica de datos de salud en EE. UU.; la LGPD (en Brasil) y el GDPR (en Europa) son leyes generales de protección de datos que tratan la salud como categoría sensible. Una organización global suele responder a más de una a la vez.