Uno de los factores determinantes más importantes en el cumplimiento de la HIPAA es la naturaleza de la información que se transmite: si no es PII (información de identificación personal) sensible, se puede transmitir electrónicamente de forma segura. ¿Qué es PII y qué no lo es? ¿Qué es PII sensible y qué no? (Haga clic aquí para una versión imprimible).
Según los EE.UU. Oficina de Administración y Presupuesto, PII, o información de identificación personal, es cualquier información que se puede usar para identificar, contactar o localizar de manera única a una persona, o se puede usar con otras fuentes para identificar de manera única a una persona.
PII sensible es aquella que, cuando se divulga, podría resultar en daño a la persona cuyo nombre o identidad está vinculado a la información. Para determinar si la IPI es sensible o no, debe tenerse en cuenta el contexto en el que se utiliza la información. Por ejemplo, una lista de suscriptores a un boletín gubernamental no es PII; una lista de personas que reciben tratamiento para trastornos de salud mental es.
Además de la consideración del contexto, la asociación de elementos de la IIP puede crear la necesidad de protección: por ejemplo, el nombre de un individuo se consideraría una IIP sensible cuando se agrupara con el apellido de soltera y la fecha de nacimiento de su madre, pero estos elementos no se considerarían sensibles independientemente unos de otros. Los siguientes tipos de IPI se consideran sensibles cuando están asociados con una persona y deben protegerse cuando se envían electrónicamente:
- Lugar de nacimiento
- Fecha de nacimiento
- Nombre de soltera de la madre
- Información biométrica (identificación de seres humanos por sus características o rasgos)
- Información médica
- Información financiera personal
- Números de cuenta de tarjetas de crédito o de>
- Cualquier información que pueda estigmatizar o afectar negativamente a una persona
(Esta lista no es exhaustiva, y otros datos pueden ser sensible en función de circunstancias específicas.)
Los números de seguro social (SSN), incluidos los números de seguro social abreviados que utilizan solo los últimos cuatro dígitos, se consideran confidenciales, independientemente de que estén o no asociados con un individuo.
Los siguientes tipos de IPI pueden transmitirse electrónicamente sin protección porque no se consideran lo suficientemente sensibles como para requerir protección:
- Números de teléfono de trabajo, domicilio y celular
- Direcciones de trabajo y domicilio
- Direcciones de correo electrónico de trabajo y personales
- Currículums que no contienen un SSN o donde el SSN está oculto
- Información general de antecedentes sobre las personas que se encuentran en los currículums y biografías
- Descripciones de puestos y planes de rendimiento sin calificaciones
La determinación de que la PII no es sensible no significa que liberable. La decisión de divulgar públicamente cualquier información solo puede ser tomada por el funcionario autorizado para tomar tales decisiones. La transmisión electrónica de información de identificación personal no confidencial equivale a transmitir la misma información por correo postal de los Estados Unidos, un servicio de entrega privado, mensajería, fax o voz. Aunque cada una de estas entregas tiene vulnerabilidades, la información transmitida solo puede verse comprometida como resultado de robo, fraude u otra actividad ilegal.