El Departamento de Salud y Servicios Humanos (HHS) propone cambios para reforzar la norma de seguridad de la HIPAA.

Por primera vez en dos décadas, podrían producirse cambios sustanciales en la Norma de Seguridad de la HIPAA, que afectarían a todas las entidades reguladas por la HIPAA. El Departamento de Salud y Servicios Humanos (HHS) ha publicado un aviso de propuesta de reglamentación (norma propuesta) con el objetivo de reforzar las protecciones de ciberseguridad y mejorar la defensa contra las amenazas cibernéticas dirigidas al sistema sanitario estadounidense. El plazo para presentar comentarios finalizará el 7 de marzo de 2025 (60 días después de la publicación de la norma propuesta en el Registro Federal).

Esta propuesta para reforzar las medidas de seguridad exigidas por la Norma de Seguridad de la HIPAA es la respuesta del HHS al aumento significativo de los ciberataques en el sector sanitario. Concretamente, entre 2018 y 2023, el HHS afirmó que las denuncias de grandes violaciones de seguridad como consecuencia de ataques de piratas informáticos y ransomware aumentaron un 102 %, y el número de personas afectadas por estas violaciones aumentó un 1002 %.

Resumen de la norma propuesta

La norma propuesta intenta reforzar los requisitos de la norma de seguridad aclarando y revisando las definiciones y eliminando la distinción entre especificaciones de implementación «obligatorias» y «abordables». La norma propuesta añade nuevos requisitos de implementación para ayudar a garantizar que las entidades reguladas por la HIPAA implementen actividades de cumplimiento coherentes con las mejores prácticas estándar del sector, como el Marco de Ciberseguridad del NIST.

Las entidades reguladas estarían obligadas a documentar por escrito todas las políticas y procedimientos de la Norma de Seguridad, que incluyen:

La creación y el mantenimiento de un inventario escrito de los activos tecnológicos y un mapa de red. Las entidades reguladas deberán revisar y actualizar su inventario de activos y su mapa de red de forma continua, pero al menos una vez cada 12 meses y cuando se produzca un cambio en el entorno o en las operaciones que pueda afectar a la información sanitaria protegida electrónica (ePHI).
Análisis de riesgos anuales con mayor especificidad.. Los análisis de riesgos consistirán en una evaluación por escrito que incluirá, entre otras cosas:
- Identificación de todas las amenazas razonablemente previsibles para la confidencialidad, integridad y disponibilidad de la ePHI.
- Identificación de vulnerabilidades potenciales y existentes en los sistemas informáticos pertinentes.
- Evaluación y documentación de las medidas de seguridad utilizadas para proteger la ePHI.
- Una determinación razonable de la probabilidad de que cada amenaza identificada aproveche las vulnerabilidades identificadas.
- Una evaluación de los riesgos que suponen para la ePHI los socios comerciales actuales o potenciales.
Establecimiento de controles de gestión del cambio. La norma propuesta contiene requisitos para realizar evaluaciones técnicas y no técnicas antes de introducir cambios en el entorno de la entidad.
Políticas y procedimientos de gestión de parches. Las entidades reguladas por la HIPAA estarían obligadas a revisar los procesos de gestión de parches al menos una vez cada 12 meses y a modificarlos según sea razonable y apropiado. Un plazo «razonable y apropiado» para corregir vulnerabilidades críticas sería de 15 días naturales desde su identificación.
Planificación sólida de la gestión de riesgos. La norma propuesta contiene requisitos más estrictos para el establecimiento y la implementación de un plan de gestión de riesgos destinado a reducir los riesgos identificados por el análisis de riesgos requerido.
Requisitos estrictos para las políticas y procedimientos de supervisión y respuesta ante incidentes. La norma propuesta exigiría:
- Una revisión de la actividad de los sistemas informáticos pertinentes, que deben personalizarse para ajustarse a la estrategia de gestión de riesgos y promover la concienciación sobre cualquier actividad que pueda sugerir un incidente de seguridad.
- Un plan de respuesta ante incidentes que incluye procedimientos de planificación de recuperación ante desastres que restaurarán la pérdida de los sistemas informáticos en un plazo de 72 horas.
- Una auditoría de cumplimiento anual para garantizar el cumplimiento de los requisitos de la Norma de Seguridad.

Más allá de las políticas y procedimientos escritos, la norma propuesta intenta ampliar las salvaguardias técnicas de la norma de seguridad, lo que exigiría a las entidades reguladas:

Cifrar la ePHI en reposo y en tránsito, salvo excepciones limitadas.
Utilice la autenticación multifactorial, salvo en excepciones limitadas.
Establecer e implementar controles técnicos para configurar los sistemas informáticos pertinentes de manera coherente.
Implementar los controles de gestión de la configuración necesarios, incluyendo la implementación de protección contra malware, la eliminación de software superfluo y la desactivación de puertos de acuerdo con el análisis de riesgos.
Realice análisis de vulnerabilidades al menos cada seis meses y pruebas de penetración al menos una vez cada 12 meses.
Utilice la segmentación de red.
Implementar controles técnicos para crear y mantener copias de seguridad de los sistemas informáticos pertinentes y revisar y comprobar la eficacia de dichos controles una vez cada seis meses.

Además, la norma propuesta añade requisitos para los acuerdos con socios comerciales (lo que significa que los acuerdos con socios comerciales deberán actualizarse si la norma propuesta se convierte en ley). En concreto, un acuerdo con un socio comercial debe incluir una disposición que exija a dicho socio notificar a las entidades cubiertas (y a los subcontratistas notificar a los socios comerciales) la activación de su plan de contingencia, sin demoras injustificadas, pero a más tardar 24 horas después de la activación. Además, la norma propuesta establece requisitos adicionales para la contratación de socios comerciales, entre ellos la obligación de que las entidades cubiertas obtengan anualmente de los socios comerciales un análisis por escrito y una certificación del cumplimiento de las medidas de seguridad técnicas de la norma de seguridad. El análisis deberá ser realizado por «una persona con los conocimientos y la experiencia adecuados» en materia de principios de ciberseguridad de la ePHI. La norma propuesta deja claro que una entidad regulada por la HIPAA que delegue las actividades de cumplimiento exigidas por la norma de seguridad a un socio comercial sigue siendo responsable del cumplimiento de la norma de seguridad.

Solicitud de información sobre tecnologías nuevas y emergentes

A través de la norma propuesta, el HHS solicita comentarios relacionados con las tecnologías emergentes, como la inteligencia artificial, la computación cuántica y la realidad virtual y aumentada, así como el papel de la HIPAA en la regulación de estas tecnologías emergentes. La norma propuesta señala que, antes de que las entidades reguladas por la HIPAA implementen estas tecnologías nuevas y emergentes, se debe realizar una evaluación precisa y exhaustiva de los riesgos y vulnerabilidades potenciales para la ePHI.

¿Qué le depara el futuro a las entidades reguladas por la HIPAA?

En este momento, el futuro de la norma propuesta es incierto, ya que es probable que la administración recién elegida decida si seguir adelante con el proceso de elaboración de la norma. Aunque las medidas de protección de la ciberseguridad han recibido el apoyo de ambos partidos y durante la primera administración Trump se prestó especial atención a la seguridad de la información, se espera que la administración Trump se oponga al aumento de la regulación. Por lo tanto, las entidades reguladas por la HIPAA deben seguir atentos a la evolución de la situación. Sin embargo, dado el poco tiempo disponible, las entidades también deben revisar la norma propuesta para determinar si desean presentar comentarios en caso de que la norma propuesta siga adelante en su estado actual.

La privacidad de los datos sanitarios sigue evolucionando rápidamente, por lo que las entidades reguladas por la HIPAA deben seguir de cerca cualquier novedad y seguir tomando las medidas necesarias para cumplir con la normativa. Si tiene alguna pregunta sobre el cumplimiento de la HIPAA o las ramificaciones de la norma propuesta y otros cambios recientes en las leyes de privacidad de los datos sanitarios, o si desea ayuda para enviar comentarios sobre la norma propuesta, póngase en contacto con cualquiera de los autores o con cualquiera de los socios o asesores jurídicos sénior delGrupo de Ciberseguridad y Privacidad de Datosodel Grupo de Práctica Sanitaria de Foley.

Descargo de responsabilidad

Foley & Lardner LLP ("Foley" o "la Firma") pone a disposición este blog únicamente con fines informativos. No pretende transmitir la posición jurídica de la Firma en nombre de ningún cliente, ni tampoco asesoramiento jurídico específico. Las opiniones expresadas en este artículo no reflejan necesariamente los puntos de vista de Foley & Lardner LLP, sus socios o sus clientes. En consecuencia, no actúe sobre la base de esta información sin buscar el asesoramiento de un abogado autorizado. Este blog no pretende crear, y su recepción no constituye, una relación abogado-cliente. La comunicación con Foley a través de este sitio web por correo electrónico, entrada de blog, o de otro modo, no crea una relación abogado-cliente para ningún asunto legal. Por lo tanto, cualquier comunicación o material que usted transmita a Foley a través de este blog, ya sea por correo electrónico, entrada de blog o de cualquier otra manera, no será tratado como confidencial o de propiedad. La información de este blog se publica "TAL CUAL" y no se garantiza que sea completa, exacta o actualizada. Foley no hace representaciones o garantías de ningún tipo, expresas o implícitas, en cuanto a la operación o el contenido del sitio. Foley rechaza expresamente todas las demás garantías, condiciones y representaciones de cualquier tipo, ya sean expresas o implícitas, ya se deriven de cualquier estatuto, ley, uso comercial o de otro tipo, incluidas las garantías implícitas de comerciabilidad, idoneidad para un fin determinado, titularidad y no infracción. En ningún caso Foley o cualquiera de sus socios, directivos, empleados, agentes o afiliados serán responsables, directa o indirectamente, bajo ninguna teoría legal (contrato, agravio, negligencia u otra), ante usted o cualquier otra persona, por cualquier reclamación, pérdida o daño, directo, indirecto especial, incidental, punitivo o consecuente, resultante de u ocasionado por la creación, uso o confianza en este sitio (incluyendo información y otros contenidos) o cualquier sitio web de terceros o la información, recursos o material al que se acceda a través de cualquiera de dichos sitios web. En algunas jurisdicciones, los contenidos de este blog pueden considerarse publicidad de abogados. En su caso, tenga en cuenta que resultados anteriores no garantizan un resultado similar. Las fotografías son sólo para fines de dramatización y pueden incluir modelos. Los parecidos no implican necesariamente la condición actual de cliente, socio o empleado.