Ir al menú principal Ir al contenido principal Ir al pie de página
  • Para Individuos y familias
  • Para Medicare
  • Para Proveedores
  • Para Agentes
  • English
  • Para empleadores:
  • Para empleadores:
  • Planes y servicios

    Planes y Servicios

  • A quiénes servimos

    A quiénes servimos

  • Recursos para empleadores

    Recursos para empleadores

  • Ingresar al portal de empleadores
  • Ingresar al portal de empleadores
  • Planes y Servicios

    Planes y Servicios

  • A quiénes servimos

    A quiénes servimos

  • Por qué Cigna
  • Recursos para empleadores

    Recursos para empleadores

  • Inicio Empleadores Tendencias de la industria Informed on Reform Folleto informativo de HIPAA

    Ley de Portabilidad y Responsabilidad de Seguros de Salud

    La Ley de Portabilidad y Responsabilidad de Seguros de Salud de 1996 (HIPAA, por sus siglas en inglés) se promulgó para proteger la seguridad y la privacidad de la información personal de salud.

    Aspectos básicos de la ley HIPAA

    La ley HIPAA protege el uso y la divulgación de la Información de salud protegida (PHI, por sus siglas en inglés), que incluye la información médica de una persona, así como los identificadores personales como nombre, dirección, fecha de nacimiento y número de Seguro Social. La PHI se define como cualquier información en cualquier formato o medio que:

    • Cree o reciba un proveedor de cuidado de la salud, un plan de salud, un empleador o un centro de procesamiento de cuidado de salud; Y
    • Esté relacionada con la condición o la salud física o mental presente, pasada o futura de una persona o con el pago del cuidado de la salud para una persona; y
    • Permita la identificación personal.

    Según la ley HIPAA, hay tres normas principales que deben seguir las entidades cubiertas y los colaboradores comerciales (que se definen en la página siguiente).

    • Norma de privacidad, que establece los estándares para la protección de la información de salud personal identificable y limita cuándo se puede usar y divulgar la PHI
    • Norma de seguridad, que describe las medidas de protección que se deben implementar para proteger la confidencialidad, integridad y disponibilidad de la PHI electrónica (ePHI)
    • Norma de notificación de infracción, que requiere que las entidades cubiertas y los colaboradores comerciales notifiquen cualquier "infracción" a la privacidad

    ¿Quién debe cumplir con la ley HIPAA?​

    Las entidades cubiertas y sus colaboradores comerciales deben cumplir con las normas de la ley HIPAA. Las entidades cubiertas son cualquier entidad que transmite PHI y ePHI, incluidos:

    • Planes de salud (entre ellos, planes totalmente asegurados y autofinanciados)
    • Proveedores de cuidado de la salud que transmiten información de salud por vía electrónica (incluye facturación)
    • Centros de procesamiento de cuidado de la salud
    • Otras entidades que utilizan información de salud personal identificable

    Aunque la definición de entidad cubierta no incluye a patrocinadores de planes del empleador o planes que no sean los planes de salud, todos los empleadores y empleados se ven afectados por las normas de la ley HIPAA y se benefician de ellas.

    Un colaborador comercial es cualquier persona u organización que cumple ciertas funciones para una entidad cubierta o le brinda servicios que implique acceder a la PHI. Estos servicios pueden incluir:

    • Administración y procesamiento de reclamos
    • Análisis, procesamiento y almacenamiento de datos
    • Servicios financieros o legales
    • Administración de prácticas o beneficios

    Si una entidad cubierta contrata los servicios de un colaborador comercial, debe tener un contrato o acuerdo por escrito, llamado "Acuerdo de colaborador comercial". El acuerdo debe detallar las divulgaciones y los usos permitidos de la PHI por parte del colaborador comercial y debe requerir que el colaborador comercial proteja la PHI. Es importante señalar que una relación de colaboración como agente con una entidad cubierta, en la mayoría de los casos, requeriría que se celebre un Acuerdo de colaborador comercial debido a la naturaleza de la información compartida.

    ¿Qué se requiere según la ley HIPAA?

    Con excepciones limitadas, la ley HIPAA requiere que las entidades cubiertas y los colaboradores comerciales:

    • Usen, soliciten y divulguen solo la cantidad mínima de PHI necesaria
    • Implementen procedimientos, protocolos y políticas de seguridad de datos para proteger la PHI
    • Cumplan con normas uniformes para ciertas transacciones electrónicas
    • Notifiquen a las personas si se ha infringido la seguridad de su PHI

    Norma de privacidad

    Una entidad cubierta solo puede usar o divulgar PHI según lo requiera o lo permita expresamente la ley HIPAA. La Norma de privacidad tiene como fin limitar el uso y la divulgación de la PHI al "mínimo necesario" y restringir el acceso y el uso de la PHI al personal identificado.

    Usos requeridos y permitidos de la PHI

    Las divulgaciones y los usos requeridos según le ley HIPAA incluyen:

    • Actividades específicas de conformidad con la ley, como las relacionadas con la salud pública, la fuerza pública y los procedimientos judiciales;
    • Tratamiento, pago y operaciones de cuidado de la salud;
    • Cuando las personas hayan autorizado esa divulgación voluntariamente o mediante un consentimiento escrito y firmado; y
    • Cuando la PHI se ha "anonimizado" (es decir, se ha eliminado suficiente información para no identificar ni proporcionar una base razonable para identificar a una persona).1
    • Incluso dentro de lo permitido, una entidad cubierta debe hacer esfuerzos razonables para utilizar, divulgar y solicitar solo la cantidad mínima de PHI necesaria para lograr el propósito previsto del uso, la divulgación o la solicitud.

    La PHI no se puede utilizar o divulgar para un propósito no relacionado con un plan de salud a otro plan (como un plan de pensión o por discapacidad) o con fines de empleo en general.
    Las entidades cubiertas pueden divulgar la PHI a un colaborador comercial para permitir que brinde asistencia a la entidad cubierta en el ejercicio de funciones que están permitidas por la ley HIPAA. El colaborador comercial debe asegurar que cumplirá con el Acuerdo de colaborador comercial vigente.

    Requisito de autorización

    Antes de utilizar o divulgar PHI a terceros para fines distintos de los permitidos por la Norma de privacidad, la ley HIPAA requiere que las entidades cubiertas obtengan una autorización por escrito de la persona. La autorización debe especificar quién está autorizado para realizar y recibir las divulgaciones, el propósito específico del uso o la divulgación y una fecha de vencimiento.

    Requisitos administrativos

    La Norma de privacidad requiere que una entidad cubierta establezca prácticas y medidas de protección de la privacidad, designe a un empleado para que actúe como Oficial de Privacidad y Seguridad, brinde capacitación sobre la ley HIPAA a su fuerza laboral y ofrezca una Notificación de prácticas de privacidad.

    La Notificación de prácticas de privacidad debe ofrecer una explicación clara y fácil de leer de los derechos de las personas con respecto a su información de salud personal y las prácticas de privacidad que ha establecido la entidad cubierta. La notificación debe explicar de qué manera se usa y se protege la PHI de una persona, así como las divulgaciones que están prohibidas. El Departamento de Salud y Servicios Humanos (HHS, por sus siglas en inglés) de los EE. UU. ofrece modelos de notificaciones e información detallada sobre la distribución de las notificaciones en su página de la ley HIPAA.

    Norma de seguridad

    La Norma de seguridad de la ley HIPAA requiere que las entidades cubiertas y los colaboradores comerciales protejan la confidencialidad, la integridad y la disponibilidad de la ePHI. La "integridad" se define como asegurar que la ePHI sea auténtica y no haya sido alterada o destruida de una manera no autorizada. "Disponibilidad" significa que solo una persona autorizada puede acceder a la ePHI utilizarla a pedido.

    Se deben implementar y mantener medidas de protección administrativas, técnicas y físicas razonables y apropiadas para asegurar la protección de la ePHI ante usos no permitidos y amenazas a la seguridad razonablemente previstas. Las medidas de protección requeridas incluyen resguardar la PHI con sistemas protegidos con contraseñas, limitar el acceso físico a los establecimientos que guardan ePHI y auditar el acceso al sistema. Hay estándares específicos que las entidades deben cumplir. Sin embargo, estos estándares son "requeridos" o "direccionables", lo que permite a las entidades cubiertas implementar soluciones que se ajusten mejor a sus necesidades y su entorno específico.

    Norma de notificación de infracción

    La ley HIPAA define una “infracción” como la adquisición, el acceso, el uso o la divulgación de PHI que infringe la Norma de privacidad o pone en riesgo la seguridad o la privacidad de la PHI. Hay exclusiones en cuanto a qué se considera una infracción, entre ellas: adquisición, acceso o uso no intencional, de buena fe, por parte de una persona autorizada, sin un nuevo uso o divulgación; o una divulgación a una persona no autorizada creyendo de buena fe que la PHI no podría haber sido retenida.

    ¿Cómo se hace cumplir la ley HIPAA?

    La Oficina de Derechos Civiles del HHS hace cumplir de las Normas de privacidad, seguridad y notificación de infracción de la ley HIPAA. El incumplimiento de los requisitos de la ley HIPAA puede resultar en penalidades monetarias. En algunos casos, el Departamento de Justicia (DOJ, por sus siglas en inglés) también puede imponer sanciones penales. Las infracciones a la ley HIPAA se pueden descubrir por medio de investigaciones de reclamos, informes anónimos o el gobierno podría auditar aleatoriamente a una entidad cubierta.

    Aunque los empleadores no son entidades cubiertas, es su responsabilidad asegurar que los planes de salud de grupo que patrocinan cumplan con la ley HIPAA. Esto significa que los empleados que desempeñan funciones en nombre del plan de salud o en la administración del plan de salud deben comprender y cumplir con los requisitos de la ley HIPAA.

    ¿Qué pueden hacer las entidades cubiertas?

    Todas las entidades cubiertas, incluido cualquier plan de salud patrocinado por un empleador (ya sea totalmente asegurado o autoasegurado), deben tomar medidas e implementar las mejores prácticas para asegurar el cumplimiento de las Normas de privacidad y seguridad de la ley HIPAA. Para los empleadores que patrocinan planes de salud de grupo, esto incluye lo siguiente con respecto al plan y los empleados que lo respaldan.

    Establecer políticas y procedimientos para asegurar el cumplimiento de la ley HIPAA: Como parte de este proceso, designar un Oficial de Privacidad de HIPAA que tenga la responsabilidad de supervisar la política y los procedimientos, así como su implementación.

    • Realizar un análisis de riesgo: Revisar periódicamente las políticas y los procedimientos para cumplir con la ley HIPAA e identificar las posibles brechas.
    • Implementar medidas de protección: Implementar las medidas de seguridad físicas, técnicas y administrativas necesarias para proteger cualquier PHI que se mantenga. Algunos ejemplos son utilizar protecciones con contraseña en dispositivos electrónicos, restringir y monitorear el acceso a sistemas que contengan PHI y guardar los archivos y los dispositivos electrónicos en gabinetes con cerradura.
    • Capacitación periódica: Capacitar periódicamente a los empleados que respaldan a la entidad cubierta (incluido un plan de salud de grupo patrocinado por el empleador) y que tienen acceso a la PHI sobre las políticas y los procedimientos de la ley HIPAA, según sea necesario y apropiado para realizar las tareas y mantenerlos actualizados con los requisitos de cumplimiento.
    • Conformidad con la documentación: Registrar el resultado de cualquier análisis de riesgo, cómo se establecieron las medidas de protección, la capacitación sobre la ley HIPAA proporcionada a la fuerza laboral y cualquier otra acción realizada para cumplir con los requisitos de la ley HIPAA.

    1 Para "anonimizar" la información en conformidad con los estándares de la ley HIPAA, las entidades cubiertas y los colaboradores comerciales deben eliminar 18 identificadores, entre ellos la mayoría de las fechas y los identificadores geográficos, O BIEN hacer que un experto certifique que la información no permite la identificación.

    La información en esta publicación no es asesoramiento u opinión legal sobre circunstancias o hechos específicos. El contenido es para información general únicamente y te recomendamos consultar con un abogado sobre tu propia situación y cualquier pregunta legal específica que puedas tener. Cigna HealthcareSM no asume responsabilidad alguna por ninguna circunstancia que derive del uso, mal uso, interpretación o aplicación de cualquier información suministrada en esta publicación.

    Quiero...
  • Obtener una tarjeta ID
  • Presentar un reclamo
  • Ver mis reclamos y EOB
  • Verificar la cobertura de mi plan
  • Ver la lista de medicamentos con receta
  • Buscar un médico, dentista o centro dentro de la red
  • Buscar un formulario
  • Buscar información del formulario de impuestos 1095-B
  • Ver el Glosario de Cigna Healthcare
  • Comunicarme con Cigna Healthcare
  • Audiencias
  • Individuos y familias
  • Medicare
  • Empleadores
  • Agentes
  • Proveedores
  • Administradores externos
  • Internacional
  • Maneja tu cuenta
  • Portal myCigna para miembros
  • Portal para proveedores
  • Cigna para empleadores
  • Cigna para agentes
  • Cigna Healthcare. Todos los derechos reservados.
  • Privacidad
  • Términos de uso
  • Avisos legales
  • Divulgaciones sobre productos
  • Nombres de la compañía
  • Derechos de los clientes
  • Accesibilidad
  • Reportar fraude
  • Mapa del sitio
  • Aviso de privacidad de los datos de salud de los consumidores de Washington
  • Configuración de cookies
  • Aviso legal

    Los planes individuales y familiares de seguro médico y dental están asegurados por Cigna Health and Life Insurance Company (CHLIC), Cigna HealthCare of Arizona, Inc., Cigna HealthCare of Illinois, Inc., Cigna HealthCare of Georgia, Inc., Cigna HealthCare of North Carolina, Inc., Cigna HealthCare of South Carolina, Inc. y Cigna HealthCare of Texas, Inc. Los planes de beneficios de salud y de seguro de salud de grupo están asegurados o administrados por CHLIC, Connecticut General Life Insurance Company (CGLIC) o sus afiliadas (puedes ver un listado de las entidades legales que aseguran o administran HMO para grupos, HMO dentales y otros productos o servicios en tu estado). Los planes o las pólizas de seguro por lesiones accidentales, enfermedades críticas y cuidado hospitalario son distribuidos exclusivamente por o a través de subsidiarias operativas de The Cigna Group Corporation, son administrados por Cigna Health and Life Insurance Company y están asegurados por (i) Cigna Health and Life Insurance Company (Bloomfield, CT). El nombre Cigna Healthcare, el logotipo y otras marcas de Cigna Healthcare son propiedad de The Cigna Group Intellectual Property, Inc.

    Todas las pólizas de seguros y los planes de beneficios grupales contienen exclusiones y limitaciones. Para conocer la disponibilidad, los costos y los detalles completos de la cobertura, comunícate con un agente autorizado o con un representante de ventas de Cigna Healthcare. Este sitio web no está dirigido a los residentes de New Mexico.

    Al seleccionar estos enlaces, saldrás de Cigna.com hacia otro sitio web que podría no ser un sitio web de Cigna Healthcare. Cigna Healthcare no puede controlar el contenido ni los enlaces de sitios web que no son de Cigna Healthcare. Detalles

    La aseguradora publica el formulario traducido para fines informativos y la versión en inglés prevalece para fines de solicitud e interpretación.

    The insurer is issuing the translated form on an informational basis and the English version is controlling for the purposes of application and interpretation.