La Ley HIPAA (Health Insurance Portability and Accountability Act - Ley de Portabilidad y Responsabilidad del Seguro Médico), es una ley de USA aprobada en 1996 creada para modernizar el flujo de información de salud de forma segura (ver Ley).
Si se comprueba que hubo una violación a la ley HIPAA, incluso si no se filtraron datos de salud, hay sanciones económicas. Los montos de las multas dependen del nivel de negligencia y del número de registros potencialmente expuestos y del riesgo que supone la divulgación no autorizada. El organismo encargado de la fiscalización y multas es la Oficina de Derechos Civiles (Office for Civil Rights - OCR) del Departamento de Salud y Servicios Humanos.
Ver qué significa que un software cumple con la Ley de HIPAA
Listado de multas según infracción (el monto total depende también del número de registros comprometidos):
| Infracción | Monto |
|---|---|
| Violación de la Ley debida a ignorancia | 100 a 50.000 USD |
| Violación de la Ley producida a pesar de tener sistemas de vigilancia razonables | 1.000 a 50.000 USD |
| Violación de la Ley por negligencia intencional que es corregida en un plazo de 30 días | 10.000 - 50.000 USD |
| Violación de la Ley por negligencia intencional que no se corrige en 30 días | 50.000 USD |
Si además hay daño por las filtraciones, los damnificados pueden cursar otras multas estatales contra los responsables (algunas multas fueron de alrededor de 1,5 millones de dólares).
Violaciones de HIPAA en 2019 que incurrieron en multas
| Organización | Tipo de violación comprobada | Multa |
|---|---|---|
| West Georgia Ambulance | La empresa de ambulancias West Georgia perdió un computador NO CIFRADO con datos de 500 pacientes | 65.000 |
| Bayfront Health St. Petersburg | Un paciente solicitó una copia de los registros del monitor fetal de su hijo y la información no fue entregada | 85.000 |
| Korunda Medical, LLC | No se le entregó copia del Registro Clínico Electrónico en formato electrónico a un paciente | 85.000 |
| University of Rochester Medical Center | Pérdida de 1 pendrive USB y un notebook NO CIFRADOS con datos de pacientes | 3.000.000 |
| Sentara Hospitals | Divulgación de datos de 577 pacientes a través de correo electrónico | 2.175.000 |
| Elite Dental Associates | Un paciente denunció que la clínica dental Elite publicó sus datos personales en una respuesta que dio en la plataforma YELP.com | 10.000 |
| Medical Informatics Engineering | El proveedor de Historia Clínica Electrónica fue hackeado. Los hackers utilizaron un nombre de usuario y contraseña para acceder a un servidor con información de 3,5 millones de pacientes | 1 |
| Touchstone Medical Imaging | Fue multado por exponer una carpeta de forma pública en un servidor ftp con información de 307.839 pacientes | 3.000.000 |
| Texas Department of Aging and Disability Services | Una aplicacación interna del Departamento de Salud de Texas exponía información de 6.617 pacientes | 1.600.000 |
| Jackson Health System | Un empleado accedió a 24.188 registros clínicos de pacientes y vendía datos a la prensa | 2.150.000 |
Es necesario que exista un organismo donde se puedan denunciar violaciones a la privacidad y confidencialidad del registro clínico que pueda fiscalizar y multar a los responsables de las filtraciones. Mucho que aprender de estas normativas en Latinoamérica.
Fuente: https://www.hipaajournal.com/
