¿Qué es el Cumplimiento de HIPAA en Pagos?

Dónde HIPAA se cruza con los pagos

HIPAA no es una ley de pagos en sí. Es el marco federal que protege la información sanitaria del paciente, gestionado por la Office for Civil Rights (OCR) del HHS. Pero en cuanto una conversación de pago involucra algo que vincula a una persona con su atención sanitaria, la actividad de pago entra en el alcance de HIPAA.

Piensa en una llamada típica de facturación. El agente confirma el nombre del paciente, hace referencia al procedimiento o a la visita, comenta el saldo pendiente y cobra un pago con tarjeta. El código del procedimiento, el nombre del proveedor, la fecha del servicio e incluso la propia existencia de la factura: todo eso es Protected Health Information (PHI) cuando se combina con la identidad del paciente. El pago con tarjeta en sí no es PHI, pero la grabación de esa llamada sí, la nota del CRM asociada sí, y la pantalla del agente durante la llamada también.

A quién aplica

HIPAA divide el mundo en covered entities (entidades cubiertas) y business associates (asociados de negocio).

Las covered entities son proveedores sanitarios que transmiten información sanitaria electrónicamente, planes de salud y centros de intercambio de información sanitaria. Hospitales, consultas médicas, clínicas dentales y farmacias entran aquí.

Los business associates son vendors o contratistas que crean, reciben, mantienen o transmiten PHI en nombre de una covered entity. Empresas de facturación, procesadores de pago que manejan PHI, centros de contacto, proveedores de almacenamiento en la nube y vendors de software caen en esta categoría si tocan PHI.

Los dos grupos tienen obligaciones directas bajo HIPAA. La OCR puede multar directamente a los business associates por infracciones, aunque la covered entity lo haya hecho todo bien.

Las tres reglas que importan para los pagos

La Privacy Rule establece los estándares sobre cómo puede usarse y divulgarse la PHI. Para los pagos, incluye la regla del «mínimo necesario»: no compartir más PHI de la que requiera la tarea de pago. Un agente que procesa un cobro con tarjeta no necesita acceso al historial médico completo del paciente.

La Security Rule exige salvaguardas administrativas, físicas y técnicas para la PHI electrónica (ePHI). Para los sistemas de pago, eso significa controles de acceso, registros de auditoría, cifrado en tránsito y en reposo y evaluaciones de riesgo. La Security Rule es neutra en cuanto a la tecnología pero específica sobre los resultados.

La Breach Notification Rule entra en juego cuando se expone PHI no asegurada. Las covered entities tienen que notificar a los pacientes afectados, a la OCR y, en brechas que afecten a 500 o más personas, a los medios. La notificación debe hacerse sin retraso indebido y como máximo 60 días después del descubrimiento.

HITECH y qué cambió

La ley HITECH de 2009 reforzó HIPAA de maneras que importan a las operaciones de pago. Hizo a los business associates directamente responsables, elevó los tramos de sanciones civiles (hasta 50.000 dólares por infracción, con un tope de 1,5 millones de dólares por categoría de infracción idéntica al año) y obligó a notificar las brechas.

HITECH también introdujo el concepto de «PHI no asegurada»: PHI que no está cifrada con los estándares NIST. Los datos cifrados, si se ven afectados por una brecha, generalmente no disparan obligaciones de notificación. Esa única distinción es la razón por la que tanta infraestructura de pago alineada con HIPAA se apoya con fuerza en el cifrado completo.

Dónde las llamadas de pago se complican

Los pagos por teléfono en entornos sanitarios crean trampas de cumplimiento específicas:

• Grabaciones de llamadas Si una grabación captura el nombre del paciente más su factura o procedimiento, es PHI. El sistema de grabación, el almacenamiento y cualquiera con acceso entran en el alcance de HIPAA.
• Números de tarjeta en el audio Los datos de tarjeta dictados o introducidos por tonos DTMF que queden en una grabación no son PHI, pero sí son cardholder data bajo PCI DSS. Así que tienes dos regímenes de cumplimiento mordiendo la misma grabación.
• Pantallas del agente Si el sistema de facturación del agente muestra el diagnóstico o el procedimiento del paciente durante una llamada de pago, el puesto de trabajo del agente está dentro del alcance de HIPAA.
• Recibos por correo electrónico Enviar un recibo de pago que mencione el procedimiento o el proveedor sanitario es una divulgación de PHI. Necesita las mismas protecciones (cifrado, autorización del paciente cuando corresponda).

Acuerdos de Asociado de Negocio

Cualquier vendor que maneje PHI en nombre de una covered entity necesita un Business Associate Agreement (BAA) firmado. No es negociable. Un procesador de pagos, un centro de contacto, un proveedor de IVR o un vendor de grabación de llamadas que toque PHI tiene que firmar un BAA.

El BAA recoge las obligaciones del vendor: proteger los datos, notificar brechas, permitir auditorías, devolver o destruir la PHI al terminar el contrato y obligar a cualquier subcontratista a las mismas condiciones. Sin BAA, la covered entity está en infracción en cuanto la PHI toca el sistema del vendor.

Sanciones y aplicación

La OCR hace cumplir HIPAA. Las sanciones escalan con la culpabilidad:

• De 100 a 50.000 dólares por infracción cuando la covered entity no sabía y no podía razonablemente haber sabido
• De 1.000 a 50.000 dólares por infracción por causa razonable (sin negligencia voluntaria)
• De 10.000 a 50.000 dólares por infracción por negligencia voluntaria que se corrige
• 50.000 dólares por infracción por negligencia voluntaria no corregida

Los topes anuales llegan a 1,5 millones de dólares por categoría de infracción idéntica. Los acuerdos con la OCR alcanzan rutinariamente los millones en organizaciones que gestionan mal la PHI a gran escala.