Infracciones de la HIPAA

Image of Iron Brands

Publicado el 3 oct 2023 y editado el 18 oct 2023 por Iron Brands

El incumplimiento de la HIPAA puede resultar costoso; por eso las infracciones de la HIPAA suelen ser noticia. Pero, ¿qué ocurre cuando se infringe la HIPAA y cuáles son las consecuencias? Averigüémoslo.

  1. ¿Qué es la HIPAA?
  2. ¿Cómo se infringe la HIPAA?
  3. ¿Quién debe preocuparse por las infracciones de la HIPAA?
  4. ¿Cómo se hace cumplir la HIPAA?
  5. ¿Cuáles son las consecuencias de las infracciones de la HIPAA?
  6. ¿Cuáles son las sanciones civiles en virtud de la HIPAA?
  7. ¿Cuáles son las sanciones penales en virtud de la HIPAA?
  8. Conclusiones
Logo of MichelinMichelin chose Simple AnalyticsJoin them

¿Qué es la HIPAA?

La Ley de Portabilidad y Responsabilidad de los Seguros Sanitarios (HIPAA) es una ley compleja que regula muchos aspectos del uso de la información sanitaria protegida (PHI) en el ámbito sanitario.

La parte más conocida y discutida de la HIPAA es la Regla de Privacidad, que trata de las divulgaciones autorizadas. En otras palabras, la Regla de Privacidad indica a los proveedores de atención sanitaria y a sus asociados cuándo pueden revelar información sanitaria protegida y a quién.

Sin embargo, la HIPAA abarca una amplia gama de otros temas: gestión de datos, normas técnicas para historiales médicos electrónicos y acuerdos contractuales con socios comerciales.

¿Cómo se infringe la HIPAA?

Dado que la ley tiene un alcance tan amplio, las infracciones de la HIPAA pueden adoptar muchas formas. Las que suelen ser noticia son las violaciones de la intimidad debidas a divulgaciones no autorizadas o filtraciones de datos. Pero también es frecuente que las empresas infrinjan la HIPAA al negar a los pacientes el acceso a su información, al no disponer de un acuerdo de asociación empresarial con terceros cuando lo exige la ley, al no notificar una violación de datos, al no impartir formación de concienciación sobre seguridad al personal, etcétera.

En resumen: la Regla de Privacidad es la que más atención recibe, pero no hay que olvidarse de todos los demás aspectos de la HIPAA.

¿Quién debe preocuparse por las infracciones de la HIPAA?

La HIPAA sólo se aplica a los proveedores de asistencia sanitaria ("entidades cubiertas") y a los llamados socios comerciales.

Los asociados comerciales son organizaciones o personas que trabajan para una entidad cubierta y necesitan acceder a información sanitaria protegida. Por ejemplo, es probable que una empresa de alojamiento web que proporcione alojamiento al sitio web de un hospital tenga que procesar información sanitaria protegida y pueda considerarse asociado comercial. Como tal, tiene que cumplir con la HIPAA y debe tener un acuerdo de asociado comercial (BA) en vigor.

Por otro lado, si procesa información sanitaria que no se recoge en el contexto de la asistencia sanitaria, no tiene que preocuparse por la HIPAA. Puede visitar nuestro blog sobre el ámbito de aplicación de la HIPAA para obtener más información.

¿Cómo se hace cumplir la HIPAA?

La aplicación de la HIPAA corre a cargo de la Oficina de Derechos Civiles del Departamento de Salud y Servicios Humanos de Estados Unidos (HHS), así como del Fiscal General de cada Estado. Los casos penalmente relevantes se remiten al Departamento de Justicia.

Los procedimientos de aplicación pueden iniciarse tras una investigación de oficio o después de que un paciente o empleado de una entidad cubierta presente una denuncia.

Además, las organizaciones tienen la obligación de notificar por sí mismas las infracciones de la HIPAA en determinados supuestos, como las violaciones de datos conocidas. No notificar una violación de la HIPAA puede poner a las organizaciones en una mala posición. Por ello, es importante que las organizaciones dispongan de procedimientos sólidos para evaluar los informes internos de posibles infracciones de la HIPAA y que su responsable de privacidad y su personal jurídico se impliquen en el asunto.

¿Cuáles son las consecuencias de las infracciones de la HIPAA?

Las infracciones de la HIPAA pueden dar lugar a sanciones civiles y penales, dependiendo de la naturaleza de la infracción. Además, el HHS puede imponer a una organización un plan de medidas correctivas para garantizar el cumplimiento en el futuro.

Cabe señalar que las empresas pueden ser penalmente responsables en virtud de la legislación estadounidense. Por lo tanto, una entidad cubierta por la HIPAA puede estar sujeta a las multas derivadas de la responsabilidad penal. En algunos casos, las personas de una organización pueden ser consideradas penalmente responsables junto con la propia organización.

Las organizaciones también pueden ser consideradas responsables por los pacientes de cualquier daño causado por una infracción de la HIPAA, además de tener que pagar una multa. Estos daños pueden ser especialmente elevados cuando los pacientes presentan una demanda colectiva. Por ejemplo, en 2018 el proveedor de seguros Anthem pagó una multa de 18 millones de dólares (la sanción más alta de la HIPAA hasta la fecha) en un acuerdo por una violación masiva de datos . Además de la multa, la empresa tuvo que pagar más de 100 millones de dólares para resolver una demanda colectiva de sus pacientes.

¿Cuáles son las sanciones civiles en virtud de la HIPAA?

La HIPAA establece un mínimo y un máximo para las sanciones civiles debidas a infracciones de la HIPAA. Al hacer cumplir la HIPAA, el HHS puede imponer una multa entre estos umbrales mínimo y máximo, dependiendo de factores como el daño infligido, la evitabilidad del incidente y el grado de negligencia mostrado por una organización. Tenga en cuenta que las sanciones se ajustan en función de la inflación, lo que en la práctica se traduce en cifras más elevadas.

El sistema de sanciones de la HIPAA es algo complejo. Cualquier infracción de la HIPAA pertenece a uno de los cuatro niveles, dependiendo de su naturaleza y circunstancias. Todas las sanciones civiles tienen un límite máximo de 50.000 dólares, pero el mínimo es diferente para cada nivel.

El nivel 1 corresponde a las infracciones involuntarias: una entidad cubierta no era consciente de la infracción y no podía evitarla. Por ejemplo, un hospital envía accidentalmente el resultado de un examen a la dirección de correo electrónico de un paciente equivocado. Las sanciones por infracciones del nivel 1 oscilan entre 100 y 50.000 dólares por infracción.

El nivel 2 es para infracciones por causa razonable, es decir, infracciones que la entidad debería haber conocido, pero que no se debieron a negligencia intencionada. Por ejemplo: el departamento informático de un hospital sufre una violación de datos porque no actualizó su software. Las sanciones por infracciones del nivel 2 oscilan entre 1.000 y 50.000 dólares.

Los niveles 3 y 4 son para infracciones intencionadas, y la diferencia entre los niveles es si la infracción fue corregida por la entidad cubierta. Por ejemplo: si un empleado de un hospital accede innecesariamente a los historiales médicos de un paciente célebre por curiosidad, y más tarde el hospital da de baja al empleado, esto dará lugar a una infracción de nivel 3. Por otra parte, si el hospital no toma ninguna medida contra el empleado, se incurrirá en una infracción de nivel 4.

Las sanciones por infracciones del nivel 3 oscilan entre 10.000 y 50.000 dólares, mientras que las del nivel 4 se fijan en 50.000 dólares.

En la práctica, los procedimientos por infracciones de la HIPAA suelen terminar con un acuerdo, lo que da lugar a sanciones más bajas.

¿Cuáles son las sanciones penales en virtud de la HIPAA?

Las sanciones penales por infracciones de la HIPAA también se organizan por niveles.

Una infracción penal de nivel 1 tiene lugar cuando se infringe la HIPAA a sabiendas. Las infracciones de nivel 1 se castigan con una multa de hasta 50.000 dólares y penas de prisión de hasta 1 año.

Cabe señalar que, según la jurisprudencia, una infracción de nivel 1 puede tener lugar incluso si el individuo actúa sin conocimiento específico de la HIPAA, siempre que sea consciente de que sus acciones son ilegales en un sentido más general.

Una infracción penal de nivel 2 tiene lugar cuando un individuo infringe la HIPAA mediante** falsos pretextos**- por ejemplo, utilizando el engaño para acceder a información sanitaria protegida. Las infracciones de nivel 2 se castigan con multas de hasta 100.000 dólares y penas de prisión de hasta 5 años.

Las infracciones de nivel 3 son las más graves y se producen cuando la información sanitaria se utiliza indebidamente o se divulga ilegalmente en beneficio propio, para obtener ventajas comerciales o para causar daños malintencionados. Estas infracciones pueden acarrear una multa de hasta 250.000 dólares y penas de prisión de hasta 10 años.

Conclusiones

Nos preocupa la privacidad. Por eso nos gusta explicar la ley de privacidad de forma clara y sin tanta jerga legal.

Nuestra pasión por la privacidad nos llevó a desarrollar Simple Analytics: una innovadora solución de análisis web que le proporciona toda la información que necesita sin recopilar datos personales. Simple Analytics permite a las empresas de todo el mundo ganar visibilidad y reforzar su presencia en línea de una forma responsable y respetuosa con la privacidad.

Si esto le parece bien, ¡no dude en probarlo!

GA4 es complejo. Prueba Simple Analytics

GA4 es como estar en la cabina de un avión sin licencia de piloto

Iniciar prueba de 14 días