Skip to content

Explica los fundamentos de HIPAA: la PHI, las salvaguardas de la Security Rule y quién debe cumplir.

Respuesta breve

HIPAA (la ley estadounidense Health Insurance Portability and Accountability Act) protege la Protected Health Information (PHI). La Privacy Rule rige el uso y la divulgación de la PHI; la Security Rule se aplica a la PHI electrónica (ePHI) y exige tres categorías de salvaguardas — administrativas, físicas y técnicas. Se aplica a las covered entities (proveedores, planes de salud, cámaras de compensación) y a los business associates que manejan PHI en su nombre, vinculados por Business Associate Agreements. La Breach Notification Rule fija las obligaciones de notificar a las personas, al HHS y, a veces, a los medios.

HIPAA es la regulación estadounidense de referencia para los datos sanitarios. Los equipos de seguridad de cualquier organización que toque datos de salud — incluidos proveedores SaaS y procesadores en la nube — acaban implicados. Los entrevistadores hacen esta pregunta para ver si sabes asociar las reglas con controles concretos.

Qué protege HIPAA

La Protected Health Information (PHI) es información de salud que identifica individualmente a una persona, en poder o transmitida por una covered entity o un business associate. En formato electrónico es ePHI, y entra en juego la Security Rule.

Quién debe cumplir

  • Covered entities — proveedores de atención sanitaria, planes de salud y cámaras de compensación de salud.
  • Business associates — proveedores y socios que crean, reciben, mantienen o transmiten PHI en nombre de una covered entity. Están vinculados por un Business Associate Agreement (BAA).

Las salvaguardas de la Security Rule

La Security Rule exige tres categorías de salvaguardas para la ePHI:

  • Administrativas — análisis de riesgos, formación del personal, gestión de accesos, planificación de contingencias.
  • Físicas — controles de acceso a las instalaciones, controles de dispositivos y soportes, seguridad de los puestos de trabajo.
  • Técnicas — control de acceso, controles de auditoría, controles de integridad, seguridad en la transmisión (cifrado).

Muchas especificaciones son «addressable» — es decir, evalúas si la salvaguarda es razonable y documentas tu decisión — no opcionales.

Notificación de brechas

La Breach Notification Rule exige notificar a las personas afectadas y al Department of Health and Human Services; las brechas que afectan a 500 o más residentes de un estado también obligan a notificar a medios destacados.

Por qué importa

Los candidatos fuertes señalan que los business associates son directamente responsables, que el análisis de riesgos es la salvaguarda administrativa fundamental, y que «addressable» no significa «ignorar». Eso demuestra un conocimiento operativo real en lugar de una lista de acrónimos memorizada.

Posibles preguntas de seguimiento

  • ¿Qué es un Business Associate Agreement y cuándo se requiere?
  • Da un ejemplo de una salvaguarda administrativa frente a una técnica bajo la Security Rule.
  • ¿Qué desencadena el requisito de notificación a los medios bajo la Breach Notification Rule?

Fuentes

Certificaciones

Consigue 100 preguntas de entrevista de ciberseguridad + respuestas

Déjanos tu correo y te enviaremos el pack en PDF gratuito y el mazo de flashcards.

Sin spam. Cancela tu suscripción cuando quieras.