La Health Insurance Portability and Accountability Act (HIPAA) de 1996 es un pilar fundamental en la administración de la salud, buscando simplificar procesos, prevenir fraudes y garantizar la continuidad de la cobertura médica al cambiar de empleo. Aquí desentrañamos qué es una violación de HIPAA, a quién afecta y las consecuencias asociadas.
¿Qué es HIPAA y a quién aplica?
HIPAA establece estándares para entidades cubiertas y asociados comerciales. Las entidades cubiertas incluyen planes de salud, clearinghouses y proveedores de atención médica que transmiten electrónicamente Información Protegida de Salud (PHI, por sus siglas en inglés). Los asociados comerciales, por otro lado, son aquellos que comparten PHI para operaciones médicas.
Violación de PHI: Más allá de lo autorizado
La violación más común de HIPAA involucra la divulgación no autorizada de PHI, ya sea proporcionando más información de la necesaria o hackeando bases de datos no cifradas. Para evitar violaciones, es imperativo que entidades cubiertas y asociados comerciales implementen las medidas establecidas en las Reglas de Privacidad y Seguridad, junto con políticas y procesos adecuados.
Otros Tipos de Violaciones de HIPAA
Además de las divulgaciones no autorizadas, existen diversas formas de violar HIPAA, como la disposición inadecuada de PHI, la falta de análisis de riesgos y la omisión de controles de acceso. Desde la divulgación impermisible hasta la falta de capacitación del personal, cada brecha merece atención y medidas correctivas.
Identificación de Violaciones de HIPAA
Las auditorías internas y las denuncias internas son comunes en la detección de violaciones de HIPAA. La Oficina de Derechos Civiles (OCR) es la principal entidad encargada de hacer cumplir las normativas, investigando quejas de personal médico, pacientes y miembros de planes de salud. Los fiscales generales estatales también pueden intervenir, aumentando la vigilancia sobre posibles infracciones.
Sanciones por Violaciones de HIPAA
Las sanciones varían según la naturaleza de la violación, el grado de culpabilidad y el daño causado. Desde planes de acción correctiva hasta sanciones financieras significativas, HIPAA no tolera incumplimientos. Con cuatro categorías de violaciones, cada una con límites mínimos y máximos, las entidades deben estar alerta para evitar consecuencias graves.
Categorías de Violaciones de HIPAA
- Desconocimiento: Sin conocimiento de la violación, aplicando debida diligencia.
- Causa Razonable: Con causa razonable para conocer la violación.
- Negligencia Intencional - Corregida en 30 días: Negligencia intencional, corregida en 30 días.
- Negligencia Intencional - No Corregida en 30 días: Negligencia intencional sin corrección o mitigación.
Sanciones para el 2022
- Categoría 1: Esfuerzos razonables - Mínimo: $127 / Máximo: $63,973
- Categoría 2: Falta de supervisión - Mínimo: $1,280 / Máximo: $63,973
- Categoría 3: Negligencia corregida - Mínimo: $12,794 / Máximo: $63,973
- Categoría 4: Negligencia no corregida - Mínimo: $63,973 / Máximo: $1,919,173
Recientemente, la OCR reinterpretó la Ley HITECH de 2009, ajustando los límites anuales a $25,000, $100,000, $250,000 y $1,500,000 respectivamente. Este cambio, aunque no oficial, destaca la seriedad de las sanciones.
Conclusión: Priorizando el Cumplimiento
El cumplimiento de HIPAA implica evaluaciones de riesgos regulares y la corrección diligente de cualquier hallazgo. Desde la capacitación del personal hasta la implementación de medidas de seguridad, las entidades deben abordar proactivamente las posibles violaciones. El costo de la no conformidad es alto, y la integridad de la PHI debe ser una prioridad constante.