El Health and Human Services (HHS) de Estados Unidos publicó un documento dirigido a desarrolladores de aplicaciones móviles de salud con el fin de informarles en qué casos tienen la obligación de aplicar las reglas HIPAA (Health Insurance Portability and Accountability Act).

Según explica el texto, los desarrolladores contratados por una entidad cubierta para crear una app con el fin de generar, intercambiar o almacenar información protegida de relevancia deben adecuarse a las normas HIPAA. Es más: los desarrolladores contratados/subcontratados por estas entidades o por otros business associates se convierten, por el mero trabajo en conjunto, en un socio de negocios HIPAA.

¿En qué situaciones, por ejemplo, un desarrollador SÍ es un business associate HIPAA?

  • Si un proveedor de salud contrata a un desarrollador por sus servicios de gestión de pacientes – incluyendo consejería remota, monitoreos, mensajería e integración de HCE- y un médico le indica a su paciente que descargue esa app, toda la información que el usuario ingrese se integrará automáticamente a la HCE del proveedor. Entonces, en estos casos, el desarrollador es un socio de negocios porque está creando, recibiendo, manteniendo y transmitiendo información de salud protegida en nombre de una entidad cubierta.
  • Cuando un consumidor utiliza la app que ofrece su plan de salud para requerir, descargar y almacenar registros o para chequear el estado de reclamos y coberturas, está sujeto al análisis que puede realizar el plan de salud sobre el uso del software y la información almacenada. En estos casos, como no se trata de una app directa al consumidor, el desarrollador se convierte en un socio del plan de salud, y en consecuencia en un socio de negocios HIPAA, ya que está creando, recibiendo, manteniendo o transmitiendo información de salud protegida en nombre de una entidad.

¿En qué escenarios, por ejemplo, el desarrollador NO es un socio de negocios HIPAA?

  • Si un consumidor descarga una app de salud y vuelca información sanitaria que recolectó por sí mismo –como por ejemplo el nivel de glucosa en sangre-, el uso de la aplicación responde a una forma de gestionar y organizar los datos clínicos sin involucrar a su médico tratante. En este caso, el desarrollador no está creando, recibiendo, manteniendo ni transmitiendo información sanitaria protegida. Por ende, no es un socio de negocios HIPAA.
  • Si un paciente crónico descarga la información almacenada en su historia clínica electrónica desde un portal de pacientes, la combina con datos propios y, luego, vuelca todos los registros en una app, lo que está haciendo es utilizar una herramienta móvil para organizar y gestionar su información clínica. Como en este caso el desarrollador no ha sido contratado para crear, recibir, mantener ni transmitir datos clínicos protegidos, no se convierte en un socio de negocios HIPAA.
  • Si un médico le propone a su paciente que utilice una determinada app para registrar datos como alimentación, peso y ejercicio físico, la recomendación del profesional da cuenta de su confianza en la aplicación, pero no involucra al desarrollador. Entonces, el hecho de que el paciente utilice la app para enviar información a una entidad cubierta no convierte al desarrollador en un socio de negocios HIPAA.
  • Si un proveedor de salud y un desarrollador de aplicaciones llegan a un acuerdo de interoperabilidad para facilitar el intercambio seguro de información entre la HCE de un paciente y una app, el convenio no crea una relación de socios de negocio. No importa si el usuario ingresa su información en el software y accede, por ejemplo, a resultados de pruebas diagnósticas desde la app, ya que la herramienta existe para facilitar el acceso iniciado por el paciente. En este caso, el desarrollador está proveyendo un servicio ante el requerimiento del paciente y se limita a transmitir información en su nombre desde y para el proveedor.

El HHS, además, incluye en su guía ciertas preguntas que un desarrollador debe considerar para establecer si es o no un socio de negocios HIPAA:

  • ¿Mi app crea, recibe, mantiene o transmite información identificable?
  • ¿Quiénes son mis clientes? ¿Son entidades cubiertas por las reglas HIPPA?
  • ¿Cómo me financio?
  • ¿Una entidad cubierta me contrató para que desarrolle la app?
  • ¿Mi app es elegida independientemente por un usuario?
  • ¿El consumidor controla todas las decisiones respecto a transmitir su información a una tercera parte?
  • ¿Tengo relación de interoperabilidad con esa tercera parte?

Por “entidad cubierta” HIPAA se refiere a planes de salud, a centros de información sanitaria y a la mayoría de los proveedores de atención médica.

DATO: Más allá de contemplar si un desarrollador es un business associate HIPAA, la entidad pública remarca que en cualquier caso la seguridad y la privacidad de los datos de los consumidores es muy importante. En este sentido, sugiere dos documentos para tener en cuenta a la hora de crear una app: Mobile App Developers: Start with Security y Marketing Your Mobile App: Get it Right from the Start.