En 2023, la Oficina de Derechos Civiles del Departamento de Salud federal (HHS OCR) impuso multas a proveedores de salud pequeños que promediaron $115,000 por caso resuelto. Ninguno de esos consultorios pensó que tenía un problema hasta que llegó la carta.

Puerto Rico es territorio de Estados Unidos. HIPAA aplica aquí exactamente igual que en Florida o Texas. Si tu consultorio transmite información médica electrónicamente — y casi todos lo hacen, aunque sea para cobrarle a Medicare o a un plan médico — eres una Covered Entity y tienes obligaciones concretas bajo ley federal.

Esta guía explica qué te aplica, cuáles son los controles mínimos que HHS espera de un consultorio de 2 a 20 empleados, y qué hacer en los próximos 30 días si no tienes nada implementado.


¿Qué es HIPAA y por qué aplica en Puerto Rico?

HIPAA — Health Insurance Portability and Accountability Act — es ley federal desde 1996. Su componente de privacidad y seguridad aplica a cualquier organización que maneje Protected Health Information (PHI): información de salud que identifica a una persona específica.

PHI incluye diagnósticos, resultados de laboratorio, notas clínicas, número de seguro social, fecha de nacimiento, dirección, y cualquier dato que pueda vincularse a la condición médica de un paciente.

Como territorio de EE.UU., Puerto Rico no tiene excepción. El HHS OCR tiene jurisdicción directa sobre proveedores en la Isla, y de hecho ha abierto investigaciones contra entidades de PR. Si cobras a Medicare, Medicaid, o cualquier plan médico privado usando un sistema electrónico, eres una Covered Entity.

Hay tres tipos de Covered Entities:

  1. Proveedores de salud que transmiten PHI electrónicamente — médicos, dentistas, terapistas, quiroprácticos, laboratorios.
  2. Planes de salud — aseguradoras, HMOs, planes patrocinados por empleadores.
  3. Health Care Clearinghouses — intermediarios que procesan transacciones de salud.

Si contratas un servicio externo que maneja PHI tuya — un sistema de EHR (records médicos electrónicos), un servicio de transcripción médica, una firma de IT que tiene acceso a tus servidores — esa empresa es tu Business Associate y necesitas un contrato escrito con ella. Ese contrato se llama BAA (Business Associate Agreement).


Las 4 reglas que más afectan a un consultorio pequeño

HIPAA no es una sola ley — es un conjunto de reglas. Para un consultorio de 2 a 20 empleados, cuatro son las que más impacto práctico tienen:

1. Privacy Rule

Define qué es PHI, quién puede acceder a ella, y bajo qué condiciones puedes compartirla sin autorización del paciente. Las excepciones más comunes son para tratamiento, pago, y operaciones de salud (Treatment, Payment, Operations — TPO).

Lo que más se viola: compartir información de un paciente con un familiar sin autorización escrita, o discutir casos en áreas donde otros pacientes pueden escuchar.

2. Security Rule

Establece los controles técnicos, físicos y administrativos para proteger la PHI electrónica (ePHI). Requiere que hagas una evaluación de riesgo formal — esto es obligatorio, no opcional.

La Security Rule distingue entre controles required (obligatorios) y addressable (que debes implementar o documentar por qué no aplican a tu caso). Muchos consultorios confunden addressable con opcional. No es lo mismo.

Lo que más se viola: laptops sin encriptar, correos electrónicos con información PHI sin cifrar, dispositivos móviles sin PIN, contraseñas compartidas entre empleados.

3. Breach Notification Rule

Si tienes una brecha que expone PHI sin cifrar, tienes obligaciones de notificación:

  • Pacientes afectados: notificación escrita en menos de 60 días.
  • Si afectó a 500 o más personas en un estado o territorio: notificar al HHS OCR y a medios de comunicación prominentes del área, también en 60 días.
  • Si afectó a menos de 500: reportar al HHS al final del año calendario.

Lo que más se viola: incidentes que se detectan tarde porque no hay monitoreo, o que se tratan como “internos” sin reportar.

4. Omnibus Rule (2013)

Extendió las obligaciones de HIPAA directamente a los Business Associates. Antes del 2013, solo la Covered Entity respondía por lo que hacía su BA. Ahora ambos responden directamente ante HHS.

También aumentó las penalidades al esquema de cuatro niveles que sigue vigente hoy:

NivelSituaciónMulta por violaciónMáximo anual
Tier 1Violación desconocida, razonable$100 – $50,000$25,000
Tier 2Conocía el riesgo pero no actuó maliciosamente$1,000 – $50,000$100,000
Tier 3Negligencia deliberada, corregida$10,000 – $50,000$250,000
Tier 4Negligencia deliberada, no corregida$50,000$1,500,000

Fuente: HHS OCR — Enforcement


Lo que encontramos en la práctica

En los assessments que hacemos a consultorios pequeños, hay tres problemas que aparecen casi siempre:

1. El EHR (records médicos electrónicos) está en la nube, pero el BAA nunca se firmó.

La mayoría de los sistemas modernos de EHR (records médicos electrónicos) — Kareo, DrChrono, athenahealth, SimplePractice, TheraNest — tienen BAA disponibles. El problema es que el consultorio contrató el servicio, configuró las cuentas, y nadie firmó el BAA. Sin ese documento, cualquier brecha que involucre datos en ese sistema es una violación de HIPAA donde el proveedor carga solo con la responsabilidad.

2. El correo electrónico es un Gmail o Yahoo personal.

Enviar resultados de laboratorio, notas de alta, o referidos por correo no cifrado viola la Security Rule. Si el correo está en un dominio corporativo de Microsoft 365 o Google Workspace, hay configuraciones específicas para cifrado en tránsito que mitigan el riesgo. Si es un Gmail personal, no hay mitigación posible.

3. El backup existe, pero está en un disco externo en el escritorio sin cifrar.

Un disco externo sin contraseña conectado a la red o simplemente guardado en una gaveta equivale, bajo HIPAA, a PHI desprotegida. Si se pierde o se roba, es una brecha notificable. Hemos visto consultorios que llevan años haciendo backups diligentemente hacia un disco que nunca ha tenido cifrado.

Ninguno de estos problemas requiere tecnología cara para resolverse. Requieren documentación, configuración, y consistencia.


Checklist de 30 días: lo mínimo viable para un consultorio pequeño

Este checklist no te da cumplimiento total con HIPAA — eso requiere un assessment formal con evaluación de riesgo documentada. Lo que sí te da es una postura defendible: evidencia de que tomaste acción razonable.

Semana 1 — Inventario

  • Lista todos los sistemas que contienen PHI. EHR, software de facturación, email, drive compartido, dispositivos móviles que tienen acceso a cualquiera de esos sistemas.
  • Identifica todos tus Business Associates. EHR vendor, servicio de transcripción, firma de IT que tiene acceso remoto, plataforma de telemedicina, procesador de pagos médicos. Si manejan PHI tuya, son BAs.
  • Verifica si tienes BAA firmado con cada uno. Muchos vendors lo tienen disponible en su portal — solo hay que encontrarlo y firmarlo. Si no lo tienen, pregúntales directamente.

Semana 2 — Acceso y autenticación

  • Activa MFA en todos los sistemas que lo permitan. EHR, email, portal de facturación. MFA significa que robar la contraseña sola no es suficiente para entrar. En Microsoft 365, esto se activa en el portal de administración en menos de 30 minutos.
  • Elimina cuentas de empleados que ya no trabajan contigo. Este es uno de los hallazgos más comunes en auditorías — cuentas activas de personas que salieron hace meses.
  • Aplica el principio de mínimo acceso. La recepcionista no necesita acceso a las notas clínicas completas. El médico no necesita acceso al módulo financiero completo. Configurar roles toma tiempo, pero reduce tu superficie de riesgo.

Semana 3 — Dispositivos y cifrado

  • Activa cifrado en todas las laptops y computadoras que tienen acceso a PHI. En Windows, esto es BitLocker — ya está incluido en Windows Pro y Enterprise. En Mac, es FileVault. No requiere software adicional.
  • Configura PIN o contraseña en todos los teléfonos y tablets con acceso a correo o EHR. Si el dispositivo se pierde sin PIN, es una brecha potencialmente notificable.
  • Si tienes backups en disco externo, encríptalo. VeraCrypt es gratuito y funciona en Windows y Mac. Alternativamente, migra los backups a un servicio en la nube con cifrado (OneDrive for Business, Google Workspace) y firma el BAA correspondiente.

Semana 4 — Documentación mínima

  • Documenta tu evaluación de riesgo. No tiene que ser un documento de 50 páginas. Tiene que responder: ¿cuáles son mis sistemas con PHI?, ¿cuáles son los riesgos que veo?, ¿qué he hecho para mitigarlos? El HHS tiene una herramienta gratuita de evaluación de riesgo en healthit.gov.
  • Crea una política de privacidad para pacientes (Notice of Privacy Practices). Si ya tienes una, verifica que esté actualizada. La plantilla de HHS está disponible en su sitio.
  • Define quién en tu organización es el Privacy Officer y el Security Officer. En un consultorio pequeño puede ser la misma persona. Tiene que haber alguien designado formalmente.
¿Prefieres trabajar desde un Excel ya configurado?
El Plan de Cumplimiento HIPAA de 30 días incluye este checklist completo, un inventario de sistemas con PHI, registro de Business Associates, y un dashboard que calcula tu progreso automáticamente — todo listo para completar desde el primer día. Disponible en la tienda de Aprende SecTY.

Qué pasa si tienes una brecha

Si descubres que información de un paciente fue accedida, robada o divulgada sin autorización, el reloj empieza a correr desde el momento en que lo descubres.

Primero: documenta todo. Fecha de descubrimiento, sistemas afectados, número estimado de pacientes, tipo de información expuesta.

Segundo: evalúa si la PHI estaba cifrada en el momento de la brecha. Si estaba cifrada con un estándar válido (AES-128 o superior), la notificación puede no ser requerida.

Tercero: si la brecha involucra PHI no cifrada de más de un paciente, presume que tienes obligación de notificar y consulta con un asesor antes de tomar más pasos.

La Breach Notification Rule tiene un mecanismo de safe harbor: si puedes demostrar que la probabilidad de que la PHI haya sido comprometida es baja (por ejemplo, el dispositivo robado tenía contraseña fuerte y no hay evidencia de acceso), puedes documentar ese análisis y no notificar. Pero ese análisis tiene que estar documentado.


Próximos pasos

El checklist de arriba te da un punto de partida. Lo que no reemplaza es la evaluación de riesgo formal que la Security Rule requiere — un documento que analiza amenazas y vulnerabilidades específicas de tu entorno y describe los controles que tienes o vas a implementar.

Esa evaluación es lo que una auditora del HHS pide primero. Es también lo que tu aseguradora de ciber-seguro va a preguntar cuando renueves tu póliza en 2026.

Si no sabes por dónde empezar, o quieres que alguien revise lo que tienes, escríbenos a [email protected]. Una conversación de 30 minutos puede darte claridad sobre tu postura actual — sin costo, sin compromiso.


Yarelis Lozada Castro, CISM, CDPSE, ISACA Authorized Trainer, es co-fundadora de SecTYCS LLC. Ha liderado assessments de seguridad en clínicas, firmas de contabilidad y organizaciones financieras en Puerto Rico.

¿Tu consultorio maneja PHI pero no sabes qué controles tienes que tener? Lee también: Backups inmutables: el control que tu aseguradora va a exigir en 2026. Próximamente: “Cuestionario de ciber-seguro 2026: las 12 preguntas que tu aseguradora va a hacer”.