La mancata osservanza dell'HIPAA può essere costosa, ed è per questo che le violazioni dell'HIPAA fanno spesso notizia. Ma cosa succede quando l'HIPAA viene violato e quali sono le conseguenze? Scopriamolo!
- Che cos'è l'HIPAA?
- Come viene violato l'HIPAA?
- Chi deve preoccuparsi delle violazioni dell'HIPAA?
- Come viene applicato l'HIPAA?
- Quali sono le conseguenze delle violazioni HIPAA?
- Quali sono le sanzioni civili previste dall'HIPAA?
- Quali sono le sanzioni penali previste dall'HIPAA?
- Conclusioni
Che cos'è l'HIPAA?
L'Health Insurance Portability and Accountability Act (HIPAA ) è una legge complessa che tratta molti aspetti dell'uso delle informazioni sanitarie protette (PHI) in ambito sanitario.
La parte più nota e discussa dell'HIPAA è la Privacy Rule, che riguarda le divulgazioni autorizzate. In altre parole, la norma sulla privacy indica ai fornitori di assistenza sanitaria e ai loro associati quando possono divulgare informazioni sanitarie protette e a chi.
Tuttavia, l'HIPAA copre un'ampia gamma di altri argomenti: gestione dei dati, standard tecnici per le cartelle cliniche elettroniche e accordi contrattuali con gli associati d'affari.
Come viene violato l'HIPAA?
Poiché la legge ha una portata così ampia, le violazioni dell'HIPAA possono assumere molte forme. Quelle che fanno notizia sono solitamente violazioni della privacy dovute a divulgazioni non autorizzate o a violazioni dei dati. Ma è anche comune che le aziende violino l'HIPAA negando ai pazienti l'accesso alle loro informazioni, non avendo stipulato un accordo di associazione d'affari con terzi quando richiesto dalla legge, non avendo notificato una violazione dei dati, non avendo fornito al personale una formazione sulla sicurezza e così via.
In conclusione, la norma sulla privacy è quella che riceve maggiore attenzione, ma non dimenticatevi di tutti gli altri aspetti dell'HIPAA!
Chi deve preoccuparsi delle violazioni dell'HIPAA?
L'HIPAA si applica solo ai fornitori di servizi sanitari ("covered entities") e ai cosiddetti business associates.
Gli associati d'affari sono organizzazioni o individui che lavorano per un'entità coperta e devono accedere a informazioni sanitarie protette. Ad esempio, una società di web hosting che fornisce l'hosting per il sito web di un ospedale avrà probabilmente bisogno di elaborare informazioni sanitarie protette e si qualificherà come business associate. In quanto tale, deve essere conforme all'HIPAA e deve disporre di un accordo di associazione d'affari (BA).
Se invece elaborate informazioni sanitarie non raccolte nel contesto dell'assistenza sanitaria, non dovete preoccuparvi dell'HIPAA. Per ulteriori informazioni, potete visitare il nostro blog sull'ambito di applicazione dell'HIPAA.
Come viene applicato l'HIPAA?
L'HIPAA viene applicato dall'Ufficio per i Diritti Civili del Dipartimento della Salute e dei Servizi Umani (HHS) degli Stati Uniti e dal Procuratore Generale di ogni Stato. I casi penalmente rilevanti sono deferiti al Dipartimento di Giustizia.
Le procedure di applicazione possono essere avviate dopo un'indagine di propria iniziativa o dopo la segnalazione di un paziente o di un dipendente di un'entità coperta.
Inoltre, le organizzazioni hanno l'obbligo di autodenunciare le violazioni dell'HIPAA in determinati scenari, come le violazioni di dati note. La mancata notifica di una violazione dell'HIPAA può mettere le organizzazioni in una brutta posizione. È quindi importante che le organizzazioni si dotino di procedure solide per valutare le segnalazioni interne di possibili violazioni dell'HIPAA e che coinvolgano il responsabile della privacy e lo staff legale.
Quali sono le conseguenze delle violazioni HIPAA?
Le violazioni dell'HIPAA possono comportare sanzioni civili e penali, a seconda della natura della violazione. Inoltre, l'HHS può imporre all'organizzazione un piano d'azione correttivo per garantire la conformità in futuro.
Vale la pena notare che le società possono essere penalmente responsabili ai sensi della legge statunitense. Pertanto, un'entità coperta dall'HIPAA può essere soggetta alle sanzioni derivanti dalla responsabilità penale. In alcuni casi, i singoli individui di un'organizzazione possono essere ritenuti penalmente responsabili insieme all'organizzazione stessa.
Oltre a dover pagare una multa, le organizzazioni possono essere ritenute responsabili dai pazienti per i danni causati da una violazione HIPAA. Questi danni possono essere particolarmente elevati quando i pazienti propongono un'azione collettiva. Ad esempio, nel 2018 il fornitore di assicurazioni Anthem ha pagato una multa di 18 milioni di dollari (la più alta sanzione HIPAA fino ad oggi) in un accordo per una massiccia violazione dei dati. Oltre alla multa, l'azienda ha dovuto pagare più di 100 milioni di dollari per risolvere una class action dei suoi pazienti.
Quali sono le sanzioni civili previste dall'HIPAA?
L'HIPAA prevede un minimo e un massimo per le sanzioni civili dovute a violazioni dell'HIPAA. Nell'applicare l'HIPAA, l'HHS può imporre una multa compresa tra queste soglie minime e massime, a seconda di fattori quali il danno inflitto, la prevenibilità dell'incidente e il grado di negligenza dimostrato da un'organizzazione. Si noti che le sanzioni sono adeguate all'inflazione, il che si traduce in cifre più elevate nella pratica.
Il sistema di sanzioni dell'HIPAA è piuttosto complesso. Ogni violazione HIPAA rientra in uno dei quattro livelli, a seconda della sua natura e delle circostanze. Tutte le sanzioni civili hanno un tetto massimo di 50.000 dollari, ma il minimo è diverso per ogni livello.
Il livello 1 riguarda le violazioni inconsapevoli: un'entità coperta non era a conoscenza della violazione e non poteva evitarla. Ad esempio, un ospedale inoltra accidentalmente il risultato di un esame all'indirizzo e-mail del paziente sbagliato. Le sanzioni per le violazioni di livello 1 vanno da 100 a 50.000 dollari per violazione.
Il livello 2 riguarda le violazioni per ragionevole causa, ossia le violazioni di cui l'ente avrebbe dovuto essere a conoscenza, ma che non sono dovute a negligenza intenzionale. Ad esempio, il reparto informatico di un ospedale subisce una violazione dei dati perché non ha aggiornato il software. Le sanzioni per le violazioni di livello 2 vanno da 1.000 a 50.000 dollari.
I livelli 3 e 4 riguardano le violazioni intenzionali e la differenza tra i livelli è data dal fatto che la violazione è stata corretta dall'entità coperta. Ad esempio, se un dipendente dell'ospedale accede inutilmente alle cartelle cliniche di un paziente famoso per curiosità, e l'ospedale in seguito dimette il dipendente, ciò si tradurrà in una violazione di terzo livello. Se invece l'ospedale non intraprende alcuna azione nei confronti del dipendente, si tratta di una violazione di livello 4.
Le sanzioni per le violazioni di livello 3 vanno da 10.000 dollari al massimo di 50.000 dollari, mentre le sanzioni per il livello 4 sono fissate a 50.000 dollari.
In pratica, i procedimenti per le violazioni dell'HIPAA spesso si concludono con un accordo, con conseguenti sanzioni più basse.
Quali sono le sanzioni penali previste dall'HIPAA?
Anche le sanzioni penali per le violazioni dell'HIPAA sono organizzate per livelli.
Una violazione penale di livello 1 ha luogo quando l'HIPAA viene violato consapevolmente. Le violazioni di livello 1 sono punite con un'ammenda fino a 50.000 dollari e con la reclusione fino a un anno.
Vale la pena notare che, secondo la giurisprudenza, una violazione di livello 1 può avvenire anche se l'individuo agisce senza una specifica conoscenza dell'HIPAA, purché sia consapevole che le sue azioni sono illegali in senso più generale.
Una violazione penale di livello 2 si verifica quando un individuo viola l'HIPAA con** falsi pretesti**, ad esempio usando l'inganno per accedere a informazioni sanitarie protette. Le violazioni di livello 2 sono punite con un'ammenda fino a 100.000 dollari e con la reclusione fino a 5 anni.
Le violazioni di livello 3 sono le più gravi e si verificano quando le informazioni sanitarie vengono utilizzate in modo improprio o divulgate illegalmente per guadagno personale, vantaggio commerciale o per causare un danno doloso. Queste violazioni possono comportare una multa fino a 250.000 dollari e la reclusione fino a 10 anni.
Conclusioni
La privacy ci sta a cuore. È per questo che ci piace spiegare la legge sulla privacy in modo chiaro e senza ricorrere al legalese.
La nostra passione per la privacy ci ha portato a sviluppare Simple Analytics: un'innovativa soluzione di analisi web per fornirvi tutti gli approfondimenti di cui avete bisogno, senza raccogliere dati personali. Simple Analytics consente alle aziende di tutto il mondo di ottenere visibilità e rafforzare la propria presenza online in modo responsabile e rispettoso della privacy.
Se vi sembra una buona idea, non esitate a provarci!