Reporte de Infracciones de HIPAA: Requisitos, Plazos y Proceso (2026)

Bajo la Regla de Notificacion de Infracciones de HIPAA (45 CFR 164.400-414), las entidades cubiertas deben notificar a los individuos afectados y al Departamento de Salud y Servicios Humanos de EE. UU. de cualquier infraccion de informacion de salud protegida no asegurada sin demora irrazonable y a mas tardar 60 dias calendario despues del descubrimiento.
La ley federal exige que las entidades cubiertas y sus asociados comerciales sigan un proceso especifico cuando ocurre una infraccion de informacion de salud protegida no asegurada. La Regla de Notificacion de Infracciones de HIPAA, codificada en 45 CFR 164.400 a 164.414, establece a quien se debe notificar, que informacion debe contener la notificacion y con que rapidez debe ocurrir.
Equivocarse en la notificacion de infracciones acarrea consecuencias reales. Solo en 2024, la Oficina de Derechos Civiles (OCR) de HHS completo 22 acciones de aplicacion y recaudo mas de $9.9 millones en acuerdos y sanciones monetarias civiles. La infraccion de Change Healthcare, divulgada en 2024 y que afecto a aproximadamente 190 millones de individuos, demostro como un solo incidente puede activar un escrutinio regulatorio y publico masivo.
Este articulo cubre el proceso completo de notificacion de infracciones: desde determinar si un incidente califica como infraccion, pasando por cada notificacion requerida, hasta las sanciones por no cumplir.
Que Cuenta como una Infraccion bajo HIPAA
Bajo 45 CFR 164.402, una infraccion es la adquisicion, el acceso, el uso o la divulgacion de informacion de salud protegida de una manera no permitida bajo la Regla de Privacidad de HIPAA que comprometa la seguridad o privacidad de la PHI.
Esa definicion es intencionalmente amplia. Cada vez que la PHI se maneja de una forma que la Regla de Privacidad no permite, se presume que el incidente es una infraccion a menos que la entidad cubierta o el asociado comercial pueda demostrar lo contrario mediante una evaluacion de riesgo.
La regla aplica solo a la PHI no asegurada, es decir, la PHI que no ha sido vuelta inutilizable, ilegible o indescifrable para personas no autorizadas. Si la PHI ha sido cifrada usando metodos especificados por el Secretario de HHS o destruida de acuerdo con las guias del NIST, se considera asegurada, y los requisitos de notificacion de infracciones no aplican.
La Evaluacion de Riesgo de Cuatro Factores
Cuando ocurre un uso o divulgacion no permitido, la entidad cubierta o el asociado comercial debe realizar una evaluacion de riesgo para determinar si el incidente alcanza el nivel de una infraccion reportable. Bajo 45 CFR 164.402(2), esta evaluacion considera al menos cuatro factores:
-
Naturaleza y alcance de la PHI involucrada. Que tipos de identificadores quedaron expuestos? Los nombres por si solos conllevan un riesgo distinto que los numeros de Seguro Social, los diagnosticos o la informacion financiera. La evaluacion tambien considera la probabilidad de reidentificacion si los datos fueron desidentificados.
-
La persona no autorizada que recibio o accedio a la PHI. Fue el destinatario otra entidad cubierta con sus propias obligaciones de HIPAA, o fue un tercero desconocido? La identidad del destinatario afecta directamente la probabilidad de que la PHI sea usada indebidamente.
-
Si la PHI fue realmente adquirida o vista. Un fax mal dirigido que fue interceptado y devuelto sin abrir presenta un riesgo distinto que uno que fue leido. La evidencia de que la PHI nunca fue realmente accedida puede respaldar una determinacion de baja probabilidad de compromiso.
-
La medida en que se ha mitigado el riesgo. Los pasos tomados despues del incidente importan. Si la entidad cubierta obtuvo garantias del destinatario de que la informacion fue destruida, o si la evidencia forense muestra que no hubo exfiltracion de datos, esos hechos pesan en contra de encontrar una infraccion reportable.
La carga de la prueba recae en la entidad cubierta o el asociado comercial. Bajo 45 CFR 164.414(b), la entidad debe demostrar que se proporcionaron todas las notificaciones requeridas o que un uso o divulgacion no permitido no constituyo una infraccion. Mantener documentacion de la evaluacion de riesgo es esencial.
Tres Excepciones a la Definicion de Infraccion
No todo uso o divulgacion no permitido califica como infraccion. La Seccion 164.402(1) contempla tres excepciones estrechas:
Excepcion 1: Acceso no intencional del personal. Un empleado u otra persona que actua bajo la autoridad de la entidad cubierta o del asociado comercial adquiere, accede o usa PHI de forma no intencional, siempre que el acceso se haya hecho de buena fe, dentro del alcance de la autoridad, y no resulte en un uso o divulgacion no permitido adicional.
Excepcion 2: Divulgacion inadvertida entre personas autorizadas. Una persona autorizada para acceder a la PHI en una entidad cubierta, un asociado comercial o un acuerdo de atencion de salud organizada divulga inadvertidamente PHI a otra persona autorizada para acceder a la PHI en la misma entidad o acuerdo. Nuevamente, no puede resultar ningun uso o divulgacion no permitido adicional.
Excepcion 3: Creencia de buena fe de no retencion. Ocurre una divulgacion a una persona no autorizada, pero la entidad cubierta o el asociado comercial tiene la creencia de buena fe de que el destinatario no autorizado no habria podido razonablemente retener la informacion. Por ejemplo, un proveedor muestra brevemente el expediente de un paciente a la visita equivocada, pero la visita no pudo haber memorizado ni registrado los detalles clinicos.
Estas excepciones son estrechas. Si un incidente no encaja claramente dentro de una de ellas, y la evaluacion de riesgo de cuatro factores no demuestra una baja probabilidad de compromiso, la entidad cubierta debe tratar el incidente como una infraccion reportable.
Requisitos de Notificacion a los Individuos
Bajo 45 CFR 164.404, una entidad cubierta debe notificar a cada individuo cuya PHI no asegurada ha sido, o se cree razonablemente que ha sido, accedida, adquirida, usada o divulgada como resultado de una infraccion.
Plazo
La notificacion debe proporcionarse sin demora irrazonable y en ningun caso mas tarde de 60 dias calendario despues del descubrimiento de la infraccion. El descubrimiento ocurre el primer dia en que la infraccion es conocida, o habria sido conocida mediante el ejercicio de la diligencia razonable, por cualquier empleado, funcionario o agente de la entidad cubierta.
Esta ventana de 60 dias es un plazo estricto, no una meta. La OCR ha impuesto sanciones especificamente por notificacion tardia, incluso cuando la entidad cubierta finalmente notifico a los individuos afectados.
Contenido de la Notificacion Individual
La notificacion debe redactarse en lenguaje sencillo e incluir, en la medida de lo posible:
- Una breve descripcion de lo ocurrido, incluyendo la fecha de la infraccion y la fecha del descubrimiento
- Una descripcion de los tipos de PHI no asegurada involucrada (como nombre completo, numero de Seguro Social, fecha de nacimiento, diagnostico o informacion de tratamiento)
- Los pasos que los individuos pueden tomar para protegerse de posibles danos
- Una breve descripcion de lo que la entidad cubierta esta haciendo para investigar la infraccion, mitigar el dano y prevenir futuros incidentes
- Procedimientos de contacto, incluyendo un numero telefonico gratuito, direccion de correo electronico, sitio web o direccion postal
Metodos de Entrega
El metodo principal es el correo de primera clase a la ultima direccion conocida del individuo. Si el individuo ha aceptado recibir avisos electronicos, la entidad cubierta puede enviar la notificacion por correo electronico.
Para los individuos fallecidos, la entidad cubierta debe enviar el aviso escrito al familiar mas cercano o representante personal si su informacion de contacto esta disponible.
Notificacion Sustituta
Cuando la informacion de contacto es insuficiente o esta desactualizada:
- Menos de 10 individuos: La entidad cubierta puede usar una forma alternativa de notificacion escrita, telefono u otros medios.
- 10 o mas individuos: La entidad cubierta debe publicar un aviso visible en su sitio web durante al menos 90 dias o proporcionar el aviso a traves de los principales medios impresos o de difusion en el area geografica afectada. Cualquiera de las dos opciones debe incluir un numero telefonico gratuito que permanezca activo durante al menos 90 dias.
Situaciones Urgentes
Cuando hay razones para creer que el uso indebido de la PHI es inminente, las entidades cubiertas pueden complementar la notificacion escrita con llamadas telefonicas u otro contacto urgente. Este contacto adicional no reemplaza el requisito de notificacion escrita.
Notificacion a HHS (El Portal de Infracciones)
Bajo 45 CFR 164.408, las entidades cubiertas tambien deben notificar al Secretario de Salud y Servicios Humanos de cada infraccion de PHI no asegurada. El plazo y el metodo dependen del tamano de la infraccion.
Infracciones que Afectan a 500 o Mas Individuos
Para las infracciones que involucran a 500 o mas individuos, la entidad cubierta debe notificar a HHS al mismo tiempo que la notificacion individual, es decir, dentro de 60 dias del descubrimiento. La notificacion se presenta a traves del Portal de Infracciones de HHS.
Los reportes de infracciones que involucran a 500 o mas individuos se publican de forma publica en el sitio web de HHS, en una base de datos a menudo llamada el Muro de la Verguenza. La lista incluye el nombre de la entidad cubierta, el numero de individuos afectados, el tipo de infraccion, la ubicacion de la informacion infringida y un resumen del incidente.
La OCR investiga cada infraccion reportada a traves del portal que afecta a 500 o mas individuos.
Infracciones que Afectan a Menos de 500 Individuos
Las infracciones mas pequenas no requieren notificacion inmediata a HHS. En cambio, las entidades cubiertas deben mantener un registro de estas infracciones y presentarlas al Secretario dentro de 60 dias del final del ano calendario en que fueron descubiertas. Este reporte anual tambien se realiza a traves del Portal de Infracciones.
Notificacion a los Medios
Bajo 45 CFR 164.406, cuando una infraccion afecta a mas de 500 residentes de un solo estado o jurisdiccion, la entidad cubierta debe notificar a los medios de comunicacion prominentes que sirven a ese estado o jurisdiccion.
La notificacion a los medios debe ocurrir sin demora irrazonable y a mas tardar 60 dias calendario despues del descubrimiento de la infraccion. Los requisitos de contenido reflejan los de la notificacion individual bajo 45 CFR 164.404(c): que ocurrio, que informacion estuvo involucrada, que pueden hacer los individuos para protegerse, que esta haciendo la entidad al respecto y como obtener mas informacion.
Este requisito aplica por estado. Una infraccion que afecta a 400 individuos en un estado y a 200 en otro no activaria la notificacion a los medios para ningun estado, aunque el total supere 500. Una infraccion que afecta a 500 individuos todos en el mismo estado activaria la obligacion de notificacion a los medios para ese estado.
Obligaciones de Notificacion de los Asociados Comerciales
Bajo 45 CFR 164.410, cuando ocurre una infraccion en o por un asociado comercial, el asociado comercial debe notificar a la entidad cubierta. El asociado comercial no notifica directamente a los individuos afectados, a HHS ni a los medios. Esas responsabilidades permanecen con la entidad cubierta.
Plazo
Un asociado comercial debe proporcionar el aviso sin demora irrazonable y a mas tardar 60 dias calendario despues de descubrir la infraccion. El descubrimiento se define de la misma forma que para las entidades cubiertas: el primer dia en que la infraccion es conocida o deberia haber sido conocida por cualquier empleado, funcionario o agente del asociado comercial.
Contenido del Aviso
El asociado comercial debe proporcionar:
- La identificacion de cada individuo cuya PHI no asegurada ha sido o se cree razonablemente que ha sido afectada
- Cualquier otra informacion disponible que la entidad cubierta necesite para cumplir con sus obligaciones de notificacion bajo 45 CFR 164.404(c)
Muchos acuerdos de asociado comercial incluyen disposiciones de notificacion de infracciones que son mas estrictas que el minimo federal. Los plazos contractuales de 24 a 72 horas para el aviso inicial son comunes. La regla federal de 60 dias es un techo, no un plazo recomendado.
Los asociados comerciales son directamente responsables bajo HIPAA por no proporcionar una notificacion oportuna de infracciones. La OCR puede investigar y de hecho investiga a los asociados comerciales de forma independiente.
Notificacion y Aplicacion por el Fiscal General del Estado
La HITECH Act otorgo a los fiscales generales estatales la autoridad para presentar acciones civiles en nombre de los residentes del estado por violaciones de las Reglas de Privacidad y Seguridad de HIPAA. Aunque HIPAA en si es una ley federal, este mecanismo de aplicacion significa que las infracciones pueden activar investigaciones tanto a nivel federal como estatal.
Muchos estados tambien tienen sus propias leyes de notificacion de filtraciones de datos que pueden imponer requisitos adicionales mas alla de HIPAA. Estas leyes estatales a menudo tienen plazos de notificacion mas cortos, exigen la notificacion al fiscal general del estado o cubren categorias de informacion no abordadas por HIPAA. Las entidades cubiertas que operan en varios estados necesitan dar seguimiento y cumplir con cada ley estatal aplicable ademas de los requisitos federales de HIPAA.
Cuando un fiscal general del estado presenta una accion de aplicacion de HIPAA, la HITECH Act exige que el fiscal general notifique a HHS al menos 48 horas antes de presentar la demanda e incluya una copia de la demanda. La OCR colabora con los fiscales generales estatales en la aplicacion.
Como Presentar una Queja de HIPAA
Los individuos que creen que se han violado sus derechos de privacidad de la informacion de salud pueden presentar una queja ante la Oficina de Derechos Civiles de HHS. Este proceso es distinto de las obligaciones de notificacion de infracciones que recaen sobre las entidades cubiertas.
Metodos de Presentacion
- En linea: A traves del Portal de Quejas de la OCR
- Correo postal: Envie un formulario de queja completado a Centralized Case Management Operations, U.S. Department of Health and Human Services, 200 Independence Avenue, S.W., Washington, DC 20201
- Correo electronico: OCRComplaint@hhs.gov
- Telefono: (800) 368-1019 (TDD: (800) 537-7697)
Requisitos Clave
La queja debe incluir el nombre, la direccion y el numero de telefono de la entidad que se cree que violo HIPAA, junto con una descripcion de los actos u omisiones y cuando ocurrieron. Las quejas deben presentarse dentro de 180 dias de cuando el demandante conocio o deberia haber conocido la presunta violacion. La OCR puede extender este plazo por causa justificada.
HIPAA y la HITECH Act prohiben las represalias contra cualquier persona que presente una queja.
Niveles de Sanciones por Fallas en la Notificacion de Infracciones
No cumplir con la Regla de Notificacion de Infracciones puede resultar en sanciones monetarias civiles bajo 45 CFR 160.404. Las sanciones se estructuran en cuatro niveles segun el nivel de culpabilidad:
| Nivel | Nivel de culpabilidad | Por violacion | Tope anual |
|---|---|---|---|
| 1 | No sabia (y no pudo haber sabido mediante diligencia razonable) | $100 a $50,000 | $1,500,000 |
| 2 | Causa razonable (no descuido intencional) | $1,000 a $50,000 | $1,500,000 |
| 3 | Descuido intencional, corregido dentro de 30 dias | $10,000 a $50,000 | $1,500,000 |
| 4 | Descuido intencional, no corregido dentro de 30 dias | $50,000 minimo | $1,500,000 |
Estos montos se ajustan anualmente por inflacion bajo la Federal Civil Monetary Penalty Inflation Adjustment Act.
El descuido intencional se define bajo 45 CFR 160.401 como la falla consciente e intencional o la indiferencia imprudente ante la obligacion de cumplir con las disposiciones de simplificacion administrativa de HIPAA. La HITECH Act exige que la OCR investigue todas las quejas que indiquen un posible descuido intencional.
Ejemplos Recientes de Aplicacion
La actividad de aplicacion de la OCR se ha acelerado en los ultimos anos. En 2024, la agencia completo 22 acciones de aplicacion (el segundo total mas alto de su historia) y recaudo mas de $9.9 millones en acuerdos y sanciones monetarias civiles. Las acciones notables incluyen:
- Warby Parker (diciembre de 2024): sancion monetaria civil de $1,500,000 por violaciones de la Regla de Seguridad de HIPAA tras una investigacion de ciberseguridad
- Gulf Coast Pain Consultants (diciembre de 2024): sancion de $1,190,000 por violaciones de la Regla de Seguridad
- Children's Hospital Colorado (diciembre de 2024): sancion de $548,265 por violaciones de las Reglas de Privacidad y Seguridad
- Providence Medical Institute (octubre de 2024): sancion de $240,000 en una investigacion de ciberseguridad por ransomware
Las sanciones penales tambien son posibles. Bajo 42 U.S.C. 1320d-6, obtener o divulgar conscientemente PHI en violacion de HIPAA puede resultar en multas de hasta $250,000 y prision de hasta 10 anos, dependiendo de la naturaleza del delito.
Mejores Practicas de Cumplimiento
Las organizaciones sujetas a HIPAA pueden reducir el riesgo de notificacion de infracciones y garantizar el cumplimiento a traves de varios pasos practicos:
- Mantenga un plan de respuesta a infracciones. Las politicas escritas que asignan roles, establecen plazos de investigacion y preparan de antemano plantillas de notificacion permiten una respuesta mas rapida cuando ocurre un incidente.
- Capacite a los miembros del personal. Los empleados suelen ser los primeros en descubrir una posible infraccion. La capacitacion sobre lo que constituye un incidente reportable y a quien contactar internamente acelera el plazo entre el descubrimiento y la notificacion.
- Cifre la PHI en reposo y en transito. Los datos correctamente cifrados se consideran asegurados bajo HIPAA, lo que significa que los requisitos de notificacion de infracciones no aplican incluso si los datos se pierden o son robados.
- Documente las evaluaciones de riesgo. Cada incidente debe documentarse, se determine o no en ultima instancia que es una infraccion reportable. La documentacion respalda la carga de la prueba de la entidad cubierta bajo 45 CFR 164.414.
- Revise los acuerdos de asociado comercial. Asegurese de que los BAA incluyan disposiciones de notificacion de infracciones con plazos y requisitos de reporte especificos que cumplan o superen los minimos federales.
El Marco Mas Amplio de HIPAA
La Regla de Notificacion de Infracciones es un componente del marco regulatorio mas amplio de HIPAA. Funciona junto con la Regla de Privacidad (que rige los usos y divulgaciones permitidos de la PHI), la Regla de Seguridad (que establece las salvaguardas para la PHI electronica) y la Regla de Aplicacion (que rige las investigaciones, sanciones y audiencias).
Comprender la notificacion de infracciones de forma aislada no es suficiente. Una entidad cubierta que mantiene practicas solidas de privacidad y seguridad reduce la probabilidad de que ocurra una infraccion en primer lugar. Cuando las infracciones ocurren, las organizaciones con programas de cumplimiento establecidos estan mejor posicionadas para responder dentro de los plazos requeridos y demostrar buena fe ante los reguladores.
Este articulo ofrece informacion legal, no asesoria legal. La notificacion de infracciones de HIPAA implica requisitos regulatorios complejos que pueden interactuar con las leyes estatales. Consulte a un abogado para obtener asesoria especifica a su situacion.
Preguntas frecuentes
Que tan rapido debe una entidad cubierta reportar una infraccion de HIPAA?
Bajo 45 CFR 164.404, una entidad cubierta debe notificar a los individuos afectados sin demora irrazonable y a mas tardar 60 dias calendario despues de descubrir la infraccion. Para las infracciones que afectan a 500 o mas individuos, la notificacion a HHS y a los medios tambien debe ocurrir dentro de 60 dias. Las infracciones que afectan a menos de 500 individuos se reportan a HHS anualmente, dentro de 60 dias del final del ano calendario.
Que es el Portal de Infracciones de HHS (Muro de la Verguenza)?
El Portal de Infracciones de HHS es una base de datos en linea mantenida por la Oficina de Derechos Civiles donde se enumeran publicamente todas las infracciones reportadas que afectan a 500 o mas individuos. La base de datos incluye el nombre de la entidad cubierta, el tipo de infraccion, el numero de individuos afectados y un resumen del incidente. La OCR investiga cada infraccion reportada a traves de este portal.
Puede una entidad cubierta evitar reportar una infraccion si fue accidental?
No automaticamente. HIPAA ofrece tres excepciones estrechas para el acceso no intencional del personal (hecho de buena fe y dentro del alcance de la autoridad), la divulgacion inadvertida entre personas autorizadas en la misma entidad y las divulgaciones donde el destinatario no pudo razonablemente retener la informacion. Fuera de estas excepciones, la entidad cubierta debe realizar una evaluacion de riesgo de cuatro factores para determinar si el incidente es reportable.
Estan obligados los asociados comerciales a reportar las infracciones directamente a los individuos afectados?
No. Bajo 45 CFR 164.410, un asociado comercial que descubre una infraccion debe notificar a la entidad cubierta dentro de 60 dias. La entidad cubierta entonces maneja la notificacion a los individuos, a HHS y a los medios. Sin embargo, los asociados comerciales son directamente responsables bajo HIPAA por no notificar a la entidad cubierta, y muchos acuerdos de asociado comercial imponen plazos contractuales mas estrictos.
Cuales son las sanciones por no reportar una infraccion de HIPAA?
Las sanciones monetarias civiles van de $100 a $50,000 por violacion para las violaciones sin conocimiento, hasta un minimo de $50,000 por violacion para el descuido intencional no corregido dentro de 30 dias. Cada categoria de violacion tiene un tope anual de $1,500,000. Las sanciones penales bajo 42 U.S.C. 1320d-6 pueden alcanzar $250,000 en multas y hasta 10 anos de prision para los delitos mas graves.
Fuentes y referencias
- 45 CFR 164.402 - Definiciones (Infraccion)(law.cornell.edu)
- 45 CFR 164.404 - Notificacion a los individuos(law.cornell.edu)
- 45 CFR 164.406 - Notificacion a los medios(law.cornell.edu)
- 45 CFR 164.408 - Notificacion al Secretario(law.cornell.edu)
- 45 CFR 164.410 - Notificacion por un asociado comercial(law.cornell.edu)
- 45 CFR 160.404 - Monto de una sancion monetaria civil(law.cornell.edu)
- HHS Panorama de la Regla de Notificacion de Infracciones(hhs.gov).gov
- HHS - Presentacion de un aviso de infraccion al Secretario(hhs.gov).gov
- HHS - Presentacion de una queja de privacidad de la informacion de salud(hhs.gov).gov
- HHS - Logros y resumen de HIPAA de 2024(hhs.gov).gov
- HHS - Autoridad de aplicacion de los fiscales generales estatales(hhs.gov).gov
- HHS - Regla de Aplicacion de HIPAA(hhs.gov).gov