El Departamento de Salud y Servicios Humanos (HHS) propone cambios para reforzar la norma de seguridad de la HIPAA

Por primera vez en dos décadas, podrían producirse cambios sustanciales en la Norma de Seguridad de la HIPAA, que afectarían a todas las entidades reguladas por la HIPAA. El Departamento de Salud y Servicios Humanos (HHS) publicó un aviso de propuesta de reglamentación (norma propuesta) con el objetivo de reforzar las protecciones de ciberseguridad y defender mejor el sistema sanitario estadounidense frente a las amenazas cibernéticas. El plazo para presentar comentarios finalizará el 7 de marzo de 2025 (60 días después de la publicación de la norma propuesta en el Registro Federal).

Esta propuesta para reforzar las medidas de seguridad exigidas por la Norma de Seguridad de la HIPAA es la respuesta del HHS al aumento significativo de los ciberataques en el sector sanitario. Concretamente, entre 2018 y 2023, el HHS afirmó que las denuncias de grandes violaciones de seguridad como consecuencia de ataques de piratas informáticos y ransomware aumentaron un 102 %, y el número de personas afectadas por estas violaciones aumentó un 1002 %.

Resumen de la norma propuesta

La norma propuesta intenta reforzar los requisitos de la norma de seguridad aclarando y revisando las definiciones y eliminando la distinción entre especificaciones de implementación «obligatorias» y «abordables». La norma propuesta añade nuevos requisitos de implementación para ayudar a garantizar que las entidades reguladas por la HIPAA implementen actividades de cumplimiento coherentes con las mejores prácticas estándar del sector, como el Marco de Ciberseguridad del NIST.

Las entidades reguladas estarían obligadas a documentar por escrito todas las políticas y procedimientos de la Norma de Seguridad, que incluyen:

La creación y el mantenimiento de un inventario escrito de los activos tecnológicos y un mapa de red. Las entidades reguladas deberán revisar y actualizar su inventario de activos y su mapa de red de forma continua, pero al menos una vez cada 12 meses y cuando se produzca un cambio en el entorno o en las operaciones que pueda afectar a la información sanitaria protegida electrónica (ePHI).
Análisis de riesgos anuales con mayor especificidad.. Los análisis de riesgos consistirán en una evaluación escrita que incluirá, entre otras cosas:
- Identificación de todas las amenazas razonablemente previsibles para la confidencialidad, integridad y disponibilidad de la ePHI.
- Identificación de vulnerabilidades potenciales y existentes en los sistemas informáticos pertinentes.
- Evaluación y documentación de las medidas de seguridad utilizadas para proteger la ePHI.
- Una determinación razonable de la probabilidad de que cada amenaza identificada aproveche las vulnerabilidades identificadas.
- Una evaluación de los riesgos que suponen para la ePHI los socios comerciales actuales o potenciales.
Establecimiento de controles de gestión del cambio. La norma propuesta contiene requisitos para realizar evaluaciones técnicas y no técnicas antes de introducir cambios en el entorno de la entidad.
Políticas y procedimientos de gestión de parches. Las entidades reguladas por la HIPAA estarían obligadas a revisar los procesos de gestión de parches al menos una vez cada 12 meses y a modificarlos según sea razonable y apropiado. Un plazo «razonable y apropiado» para corregir vulnerabilidades críticas sería de 15 días naturales desde su identificación.
Planificación sólida de la gestión de riesgos. La norma propuesta contiene requisitos más estrictos para el establecimiento y la implementación de un plan de gestión de riesgos destinado a reducir los riesgos identificados por el análisis de riesgos requerido.
Requisitos estrictos para las políticas y procedimientos de supervisión y respuesta ante incidentes. La norma propuesta exigiría:
- Una revisión de la actividad de los sistemas informáticos pertinentes, que deben personalizarse para ajustarse a la estrategia de gestión de riesgos y promover la concienciación sobre cualquier actividad que pueda sugerir un incidente de seguridad.
- Un plan de respuesta ante incidentes que incluye procedimientos de planificación de recuperación ante desastres que restaurarán la pérdida de los sistemas informáticos en un plazo de 72 horas.
- Una auditoría de cumplimiento anual para garantizar el cumplimiento de los requisitos de la norma de seguridad.

Más allá de las políticas y procedimientos escritos, la norma propuesta intenta ampliar las salvaguardias técnicas de la norma de seguridad, lo que obligaría a las entidades reguladas a:

Cifrar la ePHI en reposo y en tránsito, salvo excepciones limitadas.
Utilice la autenticación multifactorial, salvo en excepciones limitadas.
Establecer e implementar controles técnicos para configurar los sistemas informáticos pertinentes de manera coherente.
Implementar los controles de gestión de la configuración necesarios, incluyendo la implementación de protección contra malware, la eliminación de software superfluo y la desactivación de puertos de acuerdo con el análisis de riesgos.
Realice análisis de vulnerabilidades al menos cada seis meses y pruebas de penetración al menos una vez cada 12 meses.
Utilice la segmentación de red.
Implementar controles técnicos para crear y mantener copias de seguridad de los sistemas informáticos pertinentes y revisar y comprobar la eficacia de dichos controles una vez cada seis meses.

Además, la norma propuesta añade requisitos para los acuerdos con socios comerciales (lo que significa que los acuerdos con socios comerciales deberán actualizarse si la norma propuesta se convierte en ley). En concreto, un acuerdo con un socio comercial debe incluir una disposición que exija a dicho socio notificar a las entidades cubiertas (y a los subcontratistas notificar a los socios comerciales) la activación de su plan de contingencia, sin demoras injustificadas, pero a más tardar 24 horas después de la activación. Además, la norma propuesta establece requisitos adicionales para la contratación de socios comerciales, entre ellos la obligación de que las entidades cubiertas obtengan anualmente de los socios comerciales un análisis por escrito y una certificación del cumplimiento de las medidas de seguridad técnicas de la norma de seguridad. El análisis deberá ser realizado por «una persona con los conocimientos y la experiencia adecuados» en materia de principios de ciberseguridad de la ePHI. La norma propuesta deja claro que una entidad regulada por la HIPAA que delegue las actividades de cumplimiento exigidas por la norma de seguridad a un socio comercial sigue siendo responsable del cumplimiento de la norma de seguridad.

Solicitud de información sobre tecnologías nuevas y emergentes

A través de la norma propuesta, el HHS solicita comentarios relacionados con las tecnologías emergentes, como la inteligencia artificial, la computación cuántica y la realidad virtual y aumentada, así como el papel de la HIPAA en la regulación de estas tecnologías emergentes. La norma propuesta señala que, antes de que las entidades reguladas por la HIPAA implementen estas tecnologías nuevas y emergentes, se debe realizar una evaluación precisa y exhaustiva de los riesgos y vulnerabilidades potenciales para la ePHI.

¿Qué le depara el futuro a las entidades reguladas por la HIPAA?

En este momento, el futuro de la norma propuesta es incierto, ya que es probable que la administración recién elegida decida si seguir adelante con el proceso de elaboración de la norma. Aunque las medidas de protección de la ciberseguridad han recibido el apoyo de ambos partidos y durante la primera administración Trump se prestó especial atención a la seguridad de la información, se espera que la administración Trump se oponga al aumento de la regulación. Por lo tanto, las entidades reguladas por la HIPAA deben seguir atentos a la evolución de la situación. Sin embargo, dado el poco tiempo disponible, las entidades también deben revisar la norma propuesta para determinar si desean presentar comentarios en caso de que la norma propuesta siga adelante en su estado actual.

La privacidad de los datos sanitarios sigue evolucionando rápidamente, por lo que las entidades reguladas por la HIPAA deben seguir de cerca cualquier novedad y seguir tomando las medidas necesarias para cumplir con la normativa. Si tiene alguna pregunta sobre el cumplimiento de la HIPAA o las ramificaciones de la norma propuesta y otros cambios recientes en las leyes de privacidad de los datos sanitarios, o si desea ayuda para enviar comentarios sobre la norma propuesta, póngase en contacto con cualquiera de los autores o con cualquiera de los socios o asesores jurídicos sénior delGrupo de Ciberseguridad y Privacidad de Datosodel Grupo de Práctica Sanitaria de Foley.

Descargo de responsabilidad

Este blog ha sido creado por Foley & Lardner LLP («Foley» o «la Firma») con fines meramente informativos. No pretende transmitir la posición legal de la Firma en nombre de ningún cliente, ni tampoco pretende ofrecer asesoramiento legal específico. Las opiniones expresadas en este artículo no reflejan necesariamente los puntos de vista de Foley & Lardner LLP, sus socios o sus clientes. Por lo tanto, no actúe basándose en esta información sin consultar primero con un abogado colegiado. Este blog no pretende crear, y su recepción no constituye, una relación abogado-cliente. La comunicación con Foley a través de este sitio web por correo electrónico, entradas de blog o cualquier otro medio no crea una relación abogado-cliente para ningún asunto legal. Por lo tanto, cualquier comunicación o material que transmita a Foley a través de este blog, ya sea por correo electrónico, publicación en el blog o cualquier otro medio, no se tratará como confidencial o privado. La información de este blog se publica «TAL CUAL» y no se garantiza que sea completa, precisa o actualizada. Foley no ofrece ninguna garantía, expresa o implícita, en cuanto al funcionamiento o el contenido del sitio. Foley renuncia expresamente a todas las demás garantías, condiciones y declaraciones de cualquier tipo, ya sean expresas o implícitas, ya sea que surjan en virtud de cualquier estatuto, ley, uso comercial o de otro tipo, incluidas las garantías implícitas de comerciabilidad, idoneidad para un fin determinado, título y no infracción. En ningún caso Foley o cualquiera de sus socios, directivos, empleados, agentes o afiliados serán responsables, directa o indirectamente, en virtud de cualquier teoría jurídica (contrato, agravio, negligencia o de otro tipo), ante usted o cualquier otra persona, por cualquier reclamación, pérdida o daño, directo, indirecto, especial, incidental, punitivo o consecuente, que resulte o se derive de la creación, el uso o la confianza en este sitio (incluida la información y otros contenidos) o en cualquier sitio web de terceros o en la información, los recursos o el material a los que se acceda a través de dichos sitios web. En algunas jurisdicciones, el contenido de este blog puede considerarse publicidad de abogados. Si procede, tenga en cuenta que los resultados anteriores no garantizan un resultado similar. Las fotografías tienen fines meramente dramáticos y pueden incluir modelos. Las semejanzas no implican necesariamente la condición actual de cliente, socio o empleado.

[email protected]

Milwaukee 414.297.5339

[email protected]

Nueva York 212.338.3447

[email protected]

Madison 608.250.7420

Un hombre con traje oscuro y corbata roja sonríe en el pasillo luminoso y moderno de un bufete de abogados corporativos, reflejando la profesionalidad de los mejores abogados de Chicago.

[email protected]

Tampa 813.225.4129

Información relacionada

Ver todas las publicaciones

13 de marzo de 2026 La legislación sanitaria hoy

Ciberataque vinculado a Irán: lo que las empresas estadounidenses deben saber ahora

Resumen: El 11 de marzo de 2026, varios informes independientes confirmaron que una de las mayores empresas de dispositivos médicos de Estados Unidos era la…

12 de marzo de 2026 La ley sanitaria actual

Cumplimiento de la normativa GLP-1: la FDA se centra en el marketing de la telesalud en 30 nuevas cartas de advertencia

El 3 de marzo de 2026, la Administración de Alimentos y Medicamentos de los Estados Unidos (FDA) envió 30 cartas de advertencia a empresas de telesalud que comercializan GLP-1 compuesto...

4 de marzo de 2026 La ley sanitaria actual

Cumplimiento normativo en el sector sanitario en 2026: lo que deben saber los responsables de cumplimiento normativo

PYA y Foley & Lardner organizaron la octava conferencia anual «Let’s Talk Compliance» (Hablemos de cumplimiento normativo) el 22 de enero de 2026. Entre los ponentes se encontraban abogados de Foley...

Búsquedas populares

El Departamento de Salud y Servicios Humanos (HHS) propone cambios para reforzar la norma de seguridad de la HIPAA.

Resumen de la norma propuesta

Solicitud de información sobre tecnologías nuevas y emergentes

¿Qué le depara el futuro a las entidades reguladas por la HIPAA?

Autor(es)

Lauren L. Hudon

Michaela L. Wiese

Jennifer J. Hennessy

Aaron T. Maguregui

Información relacionada

Ciberataque vinculado a Irán: lo que las empresas estadounidenses deben saber ahora

Cumplimiento de la normativa GLP-1: la FDA se centra en el marketing de la telesalud en 30 nuevas cartas de advertencia

Cumplimiento normativo en el sector sanitario en 2026: lo que deben saber los responsables de cumplimiento normativo