Riesgos de cumplimiento de la HIPAA con AI Scribes en la atención sanitaria: Lo que los líderes de la salud digital necesitan saber

Los escribas de inteligencia artificial se están convirtiendo rápidamente en el compañero digital de la atención sanitaria moderna. Prometen reducir el agotamiento de los médicos, agilizar la documentación y mejorar la experiencia del paciente. Pero a medida que los proveedores de atención sanitaria y las empresas de salud digital se apresuran a implantar soluciones de escriba de IA, sigue surgiendo una preocupación importante: ¿Cuáles son los riesgos de la HIPAA?

El riesgo de la HIPAA depende en gran medida de cómo se forme, implante, integre y gestione la solución de IA. Si su empresa está explorando o ya está utilizando una solución AI scribe, haga una prueba de presión del riesgo con este blog como hoja de ruta.

¿Qué es un AI Scribe?

Los escribas de IA utilizan modelos de aprendizaje automático para escuchar (o procesar grabaciones de) los encuentros entre el paciente y el médico y generar notas clínicas estructuradas. Estas herramientas se comercializan para integrarse perfectamente en la historia clínica electrónica (HCE), reducir la necesidad de registrar manualmente los datos y permitir a los médicos centrarse más en el paciente durante las visitas.

Entre bastidores, los escribas de IA manejan un gran volumen de información sanitaria protegida (PHI) en tiempo real, a través de múltiples modalidades (por ejemplo, audio, transcripciones, datos estructurados de HCE, etc.). En consecuencia, los escribas de IA estarán regulados por la HIPAA.

Escollos de la HIPAA en el ciclo de vida del AI Scribe

A continuación se presentan los escollos más comunes de la HIPAA que hemos encontrado al asesorar a clientes de salud digital, sistemas de salud y proveedores de IA que despliegan tecnologías de escriba.

1. Entrenamiento de IA en PHI sin la debida autorización

Muchos escribas de IA se "afinan" o se vuelven a entrenar utilizando datos del mundo real, incluidos encuentros anteriores o notas editadas por el médico. Esos datos suelen contener PHI. Según la HIPAA, el uso de la PHI para fines distintos del tratamiento, el pago o las operaciones de atención sanitaria de una entidad cubierta suele requerir la autorización del paciente. En consecuencia, los casos de uso como la formación de modelos o la mejora de productos requieren una sólida justificación de que la actividad puede considerarse operaciones de atención sanitaria de la entidad cubierta; de lo contrario, será necesaria la autorización del paciente.

Riesgo: Si un proveedor de IA está entrenando su modelo con datos de clientes sin autorización del paciente o en nombre del cliente sobre una base defendible de tratamiento, pago u operaciones de atención sanitaria, ese uso tendría que evaluarse como una posible infracción de la HIPAA. Considere también cualquier otro consentimiento que pueda ser necesario para desplegar esta tecnología, como los consentimientos de pacientes o proveedores para ser grabados según las leyes estatales de grabación.

2. Acuerdos inadecuados entre empresas asociadas (Business Associate Agreements, BAA)

Un proveedor de AI scribe que accede, almacena o procesa de otro modo la PHI en nombre de una entidad cubierta o de otro asociado comercial es casi siempre un asociado comercial según la HIPAA. Sin embargo, hemos visto contratos de proveedores que (a) carecen de un acuerdo de asociación empresarial conforme, (b) contienen cláusulas de exención de responsabilidad demasiado amplias que básicamente eliminan la responsabilidad del proveedor, o (c) no definen los usos y divulgaciones permitidos o incluyen usos y divulgaciones no permitidos por la HIPAA (como permitir al proveedor entrenar modelos de IA en la PHI sin la debida autorización o cumplir de otro modo una excepción de la HIPAA).

Consejo: Analice detenidamente cada acuerdo de proveedor de IA. Asegúrese de que el BAA o el contrato de servicios subyacente define claramente: los datos a los que se accede, se almacenan o se procesan de otro modo, cómo se pueden utilizar los datos, incluidos los datos que se pueden utilizar para la formación, y si los datos se desidentifican o se conservan después de la prestación del servicio.

3. Falta de garantías de seguridad

Las plataformas de AI scribe son objetivos de alto valor para los atacantes. Las plataformas pueden capturar audio en tiempo real, almacenar borradores de notas clínicas o integrarse mediante API en la HCE. Si estas plataformas no están debidamente protegidas y se produce una violación de datos como consecuencia de ello, los riesgos incluyen multas y sanciones reglamentarias, demandas colectivas y daños a la reputación.

Requisito de la HIPAA: Las entidades cubiertas y los asociados comerciales deben aplicar salvaguardias técnicas, administrativas y físicas "razonables y apropiadas" para proteger la PHI. Las entidades reguladas por la HIPAA también deben actualizar sus análisis de riesgos para incluir el uso de escribanos de IA.

4. Modelo de alucinaciones y salidas erróneas

Los escribas de IA, especialmente los basados en modelos generativos, pueden "alucinar" o fabricar información clínica. Y lo que es peor, pueden atribuir erróneamente información al paciente equivocado si se producen errores de transcripción o de coincidencia de pacientes. No se trata sólo de un problema de flujo de trabajo. Si la información médica protegida se introduce en un historial erróneo o se divulga a una persona equivocada, podría constituir una infracción de la HIPAA y de las leyes estatales sobre infracción de datos (e incluso ser potencialmente perjudicial para el paciente si la futura atención se ve afectada por una entrada errónea).

Gestión de riesgos: Implemente la revisión humana de todas las notas anotadas con IA. Asegúrese de que los proveedores están formados para confirmar la exactitud de las notas antes de introducirlas en el historial del paciente.

5. Falacias de desidentificación

Algunos proveedores afirman que su solución de IA "cumple la HIPAA" porque los datos están desidentificados. Sin embargo, los proveedores no suelen seguir estrictamente ninguno de los dos métodos de desidentificación permitidos por la HIPAA en 45 C.F.R. § 164.514: el método de determinación por expertos o el método de puerto seguro. Si los datos no están totalmente desidentificados con arreglo a uno de esos métodos, los datos no están desidentificados con arreglo a la HIPAA.

Compliance Check: Si un proveedor afirma que su sistema está fuera del alcance de la HIPAA porque sólo se utilizan datos desidentificados, presione para conocer: el método de desidentificación utilizado, las pruebas del análisis de riesgo de reidentificación y las credenciales del experto en desidentificación utilizado (si procede). Además, tenga en cuenta que si el proveedor recibe la PHI para desidentificar, debe existir un acuerdo de colaboración empresarial con el proveedor y el vendedor para dicha desidentificación.

Próximos pasos prácticos para los sistemas sanitarios y las empresas de salud digital

Para las empresas que estén evaluando o que ya estén implantando un escriba de IA, he aquí algunos consejos para mitigar el riesgo sin ahogar la innovación:

Investigue a fondo a los proveedores
Incorpore la gobernanza a sus flujos de trabajo de HCE
Limitar el uso secundario/formación sin autorización
Actualice su análisis de riesgos
Forme a sus proveedores

Lo esencial

Los escribas automatizados están transformando la documentación clínica. Sin embargo, una gran automatización conlleva una gran responsabilidad, especialmente en virtud de la HIPAA. Los proveedores, las empresas de salud digital y los sistemas de salud deben tratar a los escribas de IA no solo como software, sino como administradores de datos integrados en la atención al paciente. Mediante la creación de salvaguardias contractuales sólidas, limitando el uso de la PHI a lo permitido por la HIPAA y evaluando continuamente los riesgos derivados, los líderes de la salud digital pueden adoptar la innovación sin invitar a riesgos injustificados.

Para obtener más información sobre la IA, la telemedicina, la telesalud, la salud digital y otras innovaciones de salud, incluido el equipo, las publicaciones y la experiencia representativa, póngase en contacto con cualquiera de los autores o cualquiera de los socios o abogados senior del Grupo de Ciberseguridad y Privacidad de Datos o del Grupo de Práctica de Atención Médica de Foley.

Un hombre con traje oscuro y corbata roja sonríe en el pasillo de un moderno despacho de abogados, reflejo de la profesionalidad de los mejores abogados de Chicago.

[email protected]

Tampa 813.225.4129

[email protected]

Madison 608.250.7420

Información relacionada

December 9, 2025 Health Care Law Today

How Following “Doctors’ Orders” Provided a Defense in a First Circuit FCA Case

When it comes to False Claims Act (FCA) litigation, clinical laboratories often find themselves in the crosshairs. But the First…

2 de diciembre de 2025 La ley sanitaria actual

Uso de tecnologías sanitarias digitales en ensayos clínicos: apoyo de la MAHA y expectativas definidas en la guía definitiva de la FDA

Las tecnologías sanitarias digitales (DHT) son un aspecto clave del programa «Make America...» del secretario de Salud y Servicios Humanos (HHS) de EE. UU., Robert F. Kennedy Jr.

11 de noviembre de 2025 Derecho sanitario hoy

Fusiones y adquisiciones en la tecnología GLP-1: Recomendaciones prácticas y buenas prácticas

Este artículo apareció originalmente en Pharmaceutical Online en noviembre de 2025. La revolución del GLP-1 ha reescrito el manual de...