HIPAA & GDPR - ¿Cuáles son las diferencias?

La confidencialidad es indispensable en el cuidado de la salud. La información médica de un paciente es propiedad de ese paciente y solo debe compartirse entre aquellos que son directamente responsables del tratamiento que reciben. Esa es la razón por la cual se han desarrollado regulaciones como HIPAA o GDPR en torno a la atención médica y no solo. 

¿Qué es HIPAA?

HIPAA, también conocida como la Ley de Portabilidad y Responsabilidad de Seguros de Salud de 1996, es una ley de EE. UU. que garantiza que las organizaciones de salud mantengan la seguridad y confidencialidad de la Información de Salud Protegida (o PHI, por sus siglas en inglés).

¿Qué es GDPR?

El Reglamento General de Protección de Datos (GDPR) es una ley que protege la privacidad de todos los individuos al exigir que las empresas tengan procesos sólidos para manejar y almacenar información personal. Esto ayuda a garantizar que los usuarios no sean contactados sin su permiso expreso y que los datos personales se mantengan seguros.

¿Cuáles son las diferencias entre HIPAA y GDPR?

El GDPR establece altos estándares para todos los datos personales sensibles, mientras que HIPAA solo trata con información de salud sensible.

A lo largo de los años, muchos profesionales de cumplimiento de la salud han estudiado, implementado y cuestionado el estándar de privacidad de la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA).

PHI incluye cualquier información que pueda utilizarse para identificar a un paciente, como nombre, dirección, fecha de nacimiento, detalles bancarios o de tarjetas de crédito, número de seguro social, fotos e información de seguro combinada con información de salud.

Dependiendo de su organización, también puede necesitar considerar el Reglamento General de Protección de Datos (GDPR). GDPR es un reglamento de protección de datos y privacidad en la Unión Europea (UE).

Bajo el cumplimiento de GDPR caen las organizaciones que cumplen con uno de los siguientes:

1. Están operativamente basadas en la UE
2. Ofrecen bienes o servicios a clientes europeos
3. Procesan los datos personales de usuarios europeos

Sin duda hay un cierto solapamiento en términos de regulaciones GDPR y HIPAA (por ejemplo, ambas se centran en los derechos de los usuarios de mantener su información guardada y transmitida de manera segura y protegida), pero hay algunas diferencias importantes que vale la pena mencionar:

¿Qué tipo de datos es el foco de GDPR & HIPAA?

1. Las nuevas regulaciones GDPR protegen cualquier dato que podría usarse para identificar a una persona, incluidos los datos sensibles como raza o etnia, opiniones políticas, creencias religiosas o filosóficas, pertenencia a sindicatos, datos genéticos o biométricos y datos de salud.
2. Los estándares HIPAA solo se aplican a la información de salud en poder de Entidades Cubiertas, como médicos, empleadores que ofrecen beneficios de salud o compañías de seguros. Asociados de negocios como compañías de IT o servicios de transcripción también están reglamentados por las regulaciones HIPAA.

Consentimiento requerido por el usuario en GDPR & HIPAA

El consentimiento para compartir información también es diferente. Bajo GDPR, el consentimiento explícito es obligatorio para el procesamiento de datos sensibles, mientras que HIPAA permite la divulgación de PHI para «tratamiento, pago y propósitos operacionales» sin el consentimiento del individuo.

Informe de incumplimientos y problemas

HIPAA y GDPR ambos requieren la notificación de incumplimientos, pero hay diferentes plazos para la notificación. HIPAA requiere que los incumplimientos que afecten a 500 o más personas se informen dentro de los 60 días. GDPR, por otro lado, requiere que todos los incumplimientos se informen a un regulador designado de GDPR dentro de las 72 horas.

El derecho «a ser olvidado»

La principal diferencia entre GDPR y HIPAA es que, bajo GDPR, las personas tienen el derecho de que sus datos sean eliminados si lo solicitan, mientras que HIPAA no concede este derecho. Esto significa que las organizaciones no pueden retener datos indefinidamente y deben eliminarlos permanentemente a solicitud, a diferencia del requisito de retención de 7 años bajo HIPAA.

Conclusión

Las organizaciones que deseen cumplir con los requisitos de conformidad GDPR y HIPPA deben tener un profundo entendimiento de las regulaciones y los requisitos específicos descritos en ambos estándares. Al hacerlo, pueden crear fácilmente un plan para cumplir con todos los estándares.

Recomendamos encarecidamente a las organizaciones realizar una evaluación de datos para identificar cualquier riesgo para los datos y tomar medidas apropiadas para garantizar la conformidad con los requisitos. Las organizaciones también tienen la oportunidad de colaborar en la seguridad de los datos y la seguridad del paciente, con empresas que ofrecen plataformas de gestión de datos compatibles con HIPAA y GDPR, como lo hace Medicai.

Medicai maneja los datos de sus pacientes a través de su infraestructura descentralizada basada en la nube para imágenes médicas. Se integra con la infraestructura PACS / VNA existente y otorga acceso unificado a imágenes médicas o actúa como una solución PACS nativa de la nube independiente. 

Nuestra solución de acceso a datos de salud ofrece acceso granular, remoto y rápido a los datos de los pacientes, mientras cumple con los requisitos de conformidad de GDPR y HIPAA.

Si desea probar la solución de imágenes médicas segura y compatible con GDPR y HIPAA de Medicai, no dude en contactar a nuestro equipo de ventas o reservar una demostración:

Draeger, J. (2021, 6 de diciembre). ¿Cómo se compara el GDPR con HIPAA? El Blog de Cumplimiento y Ética. https://www.complianceandethics.org/how-does-gdpr-compare-to-hipaa/

Reglamento General de Protección de Datos (GDPR) | Access Tufts. (s.f.). https://access.tufts.edu/general-data-protection-regulation-gdpr

Lutkevich, B. (2020, 28 de agosto). HIPAA (Ley de Portabilidad y Responsabilidad de Seguros de Salud). Health IT. https://www.techtarget.com/searchhealthit/definition/HIPAA