O que é a HIPAA (lei de dados de saúde dos EUA)?
A HIPAA (Health Insurance Portability and Accountability Act) é a lei federal de proteção de dados de saúde dos Estados Unidos. Ela obriga planos de saúde, prestadores e seus fornecedores a proteger a informação de saúde do paciente, define regras de privacidade, de segurança e de notificação de vazamento, e é fiscalizada pelo órgão de direitos civis do governo (OCR), que pode aplicar multa por descumprimento. Como dado de saúde é categoria sensível em quase toda lei de privacidade, a HIPAA alcança qualquer organização, dentro ou fora dos EUA, que trate dados de saúde de pacientes norte-americanos.
Como a HIPAA funciona na prática
A HIPAA não é um software que se instala. É um conjunto de deveres sobre quem toca a informação de saúde do paciente (o PHI), do prontuário eletrônico ao e-mail que menciona um diagnóstico. O ciclo tem quatro peças.
Saber quem está sujeito à lei
A HIPAA distingue a entidade coberta (plano, prestador, câmara de compensação de saúde) do fornecedor que trata PHI em nome dela (o business associate). Um sistema de agendamento, uma nuvem, um call center: todos entram na cadeia de responsabilidade.
Proteger o PHI por três frentes
A Regra de Privacidade limita o uso e a divulgação da informação; a Regra de Segurança exige controles técnicos, físicos e administrativos sobre o PHI eletrônico; a Regra de Notificação obriga a avisar quem foi afetado quando há vazamento.
Formalizar o vínculo com cada fornecedor
Contratar um fornecedor que toca PHI sem um acordo de proteção de dados (o BAA) não transfere o risco: a entidade coberta continua respondendo pelo que o fornecedor faz.
Notificar o vazamento dentro do prazo
Um incidente que exponha PHI precisa ser comunicado aos pacientes e ao órgão de direitos civis em prazo definido em lei, não escondido até vir à tona.
Fonte: U.S. Department of Health and Human Services (HHS), Office for Civil Rights (OCR) e as regras da HIPAA.
As três regras que formam a HIPAA
- Regra de Privacidade Define o que é PHI e limita como a informação de saúde pode ser usada e compartilhada, garantindo ao paciente o direito de acessar o próprio prontuário.
- Regra de Segurança Exige salvaguardas administrativas, físicas e técnicas sobre o PHI em formato eletrônico, começando por uma análise de risco documentada.
- Regra de Notificação de Vazamento Obriga a comunicar pacientes, o governo e, em incidentes grandes, a imprensa, dentro de prazos definidos, quando o PHI é exposto.
Por que a informação de saúde é o alvo mais caro
Dado de saúde vale mais no mercado criminoso do que número de cartão, porque não se cancela: um histórico médico não expira. Isso se traduz em custo. O setor de saúde é, há 14 anos seguidos, o que mais paga por uma violação de dados: US$ 7,42 milhões em média por incidente, contra US$ 4,44 milhões da média global de todos os setores (IBM, 2025). E o tempo de exposição é longo, 279 dias em média para identificar e conter um incidente no setor. Do lado regulatório, o órgão de direitos civis dos EUA pode multar em várias faixas de gravidade, com teto anual de US$ 2,19 milhões por categoria de violação (ajuste de 2025). Nada disso depende do porte: a lei não isenta a clínica pequena.
Como uma organização se prepara para a HIPAA
Conformidade com a HIPAA não é um certificado que se pendura na parede, é uma rotina que se sustenta. O caminho mais direto:
- Mapeie onde o PHI vive e por onde fluiListe onde a informação de saúde é criada, armazenada e transmitida, e por quem passa. Sem esse mapa, a análise de risco fica cega.
- Faça a análise de risco e trate o que ela acharÉ o controle que o regulador mais cobra: identificar as ameaças ao PHI eletrônico e reduzir cada risco relevante, com registro do que foi feito.
- Feche um acordo com cada fornecedor que toca PHITodo business associate precisa de um BAA assinado. Sem ele, a responsabilidade recai inteira sobre a entidade coberta.
- Tenha um plano de resposta a incidente prontoDescobrir o processo de notificação durante o vazamento custa dias que a lei não concede. O plano testado antes é o que encurta o prazo.
Na prática
A pergunta que revela o risco real: se o órgão de direitos civis pedisse hoje a análise de risco de PHI da organização, alguém entregaria um documento atual, ou uma planilha de três anos atrás?
Como a Zamak trata a conformidade com a HIPAA
A Zamak Technologies apoia a adequação à HIPAA como parte da Governança e Conformidade do Método Zamak: mapeamento de controles, coleta contínua de evidência e trilha de auditoria sobre uma plataforma de conformidade. Um bom ponto de partida é o Compliance Audit Express, que mostra em minutos onde a organização está mais exposta.