Safetica > Resources > O que é a HIPAA? O âmbito, o propósito e como cumprir

O que é a HIPAA? O âmbito, o propósito e como cumprir

jul 23, 2025

A Health Insurance Portability and Accountability Act (HIPAA) de 1996 é a lei federal que criou normas nacionais para proteger informação sensível de saúde dos pacientes contra a divulgação sem o conhecimento ou consentimento do paciente. Saiba mais sobre esta regulamentação dos EUA e descubra como cumprir.

 

 

 

O que é a HIPAA?

A Health Insurance Portability and Accountability Act (HIPAA) tinha como objetivo principal resolver a cobertura do seguro para indivíduos que se encontravam entre empregos. Sem esta lei, os colaboradores teriam corrido o risco de perder a sua cobertura de seguro durante o período entre empregos.

Outro objetivo era assegurar que todos os dados estão devidamente protegidos e que nenhum indivíduo não autorizado pode aceder a dados de saúde.

A HIPAA aplica-se nos Estados Unidos e é regulada pelo Office for Civil Rights (OCR) do Department of Health and Human Services.

HIPAA compliance

 

Propósito da HIPAA

A HIPAA foi criada para modernizar o fluxo de informação de saúde e para garantir que a informação pessoal identificável recolhida em empresas de saúde e seguros é protegida contra fraude e roubo e não pode ser divulgada sem consentimento.

A informação de saúde dos pacientes é tratada com mais sensibilidade e pode ser rapidamente acedida por vários prestadores de cuidados de saúde. Os regulamentos da HIPAA exigem que os registos sejam mais bem protegidos contra fugas. O HIPAA Journal, uma excelente fonte de regulamentos e informação de conformidade da HIPAA, tem uma checklist abrangente para empresas durante o seu percurso para a conformidade.

 

O que é a Protected Health Information?

Qualquer empresa ou indivíduo que trabalhe com Protected Health Information (PHI) tem de cumprir a HIPAA. A PHI é criada quando quaisquer dados de saúde são combinados com informação pessoal identificável, como por exemplo:

  • Nomes
  • Identificadores geográficos
  • Números de telefone e fax
  • Endereços de e-mail
  • Números de registo médico
  • Números de conta
  • Informação sobre veículos
  • URLs de websites
  • Impressões digitais, da retina e de voz
  • Números de segurança social
  • Números de beneficiário de seguro de saúde
  • Números de certificado e licença
  • Informação de dispositivos, endereços IP
  • Fotografias de rosto inteiro

Quando a PHI é armazenada eletronicamente, chama-se ePHI.

 

O âmbito da HIPAA

Existem várias entidades que trabalham regularmente com Protected Health Information e, por isso, têm de seguir a Health Insurance Portability and Accountability Act:

  • Prestadores de cuidados de saúde
  • Planos de saúde
  • Healthcare clearinghouses
  • Parceiros de negócio

 

Regras da HIPAA

A HIPAA é composta pelas seguintes regras:

  • Privacy Rule
  • Security Rule
  • Breach Notification Rule
  • Omnibus Rule
  • Enforcement Rule
 

HIPAA Privacy Rule

A Privacy Rule define como, quando e em que circunstâncias a PHI pode ser utilizada e divulgada. Sem o consentimento prévio do paciente, o uso de informação sobre o paciente é limitado. Os pacientes e os seus representantes podem obter uma cópia dos seus registos de saúde e solicitar correções em caso de erros.

HIPAA Security Rule

A Security Rule estabelece normas para proteger a ePHI. A Security Rule deve ser seguida por qualquer pessoa que trabalhe com ePHI. Os Security Officers e Privacy Officers devem realizar avaliações de risco e auditorias para identificar quaisquer ameaças à integridade da PHI.

Breach Notification Rule

O Department of Health and Human Services tem de ser notificado em caso de violação de dados, assim como os indivíduos afetados. Se forem afetados mais de quinhentos pacientes numa determinada jurisdição, deve ser emitido um comunicado à imprensa num órgão de comunicação social que cubra a área.

Omnibus Rule

A Omnibus Rule é parte do HITECH Act (Health Information Technology for Economic and Clinical Health Act) que entrou em vigor em 2009 e foi criada para incentivar o uso de registos eletrónicos de saúde por parte dos prestadores de cuidados de saúde.

A Omnibus Rule proíbe o uso de PHI para fins de marketing ou angariação de fundos sem autorização.

Enforcement Rule

A Enforcement Rule trata da determinação da coima adequada quando ocorre uma violação. A coima pode ser inferior em caso de negligência; no entanto, se a violação acontecer por negligência intencional, pode ser muito mais elevada.

 

Os direitos dos indivíduos

No âmbito da HIPAA Privacy Rule, os indivíduos têm o direito legal de ver e receber cópias da informação médica.

Os indivíduos têm o direito de:

  • Aceder à PHI
  • Corrigir a PHI
  • Solicitar restrições sobre quem usa a PHI e como esta é divulgada
  • Solicitar comunicações confidenciais
  • Solicitar registo das divulgações
  • Apresentar uma queixa

Embora os pacientes tenham o direito de aceder aos seus registos, alguns tipos de informação estão excluídos do direito de acesso. A informação seguinte está excluída:

A informação excluída é a seguinte:

  • Registos de avaliação ou melhoria de qualidade
  • Registos de atividades de segurança
  • Registos comerciais e de gestão
  • Notas de psicoterapia
  • Informação compilada para uso em ações ou processos civis, criminais ou administrativos

 

Violações da HIPAA

Uma violação da HIPAA ocorre quando uma entidade abrangida pela HIPAA ou um parceiro de negócio não cumpre qualquer uma das HIPAA Rules. As sanções por violações da HIPAA são emitidas pelo Office for Civil Rights (OCR) do Department of Health and Human Services e pelos procuradores-gerais estaduais. A HIPAA usa quatro categorias de sanções:

  • Nível 1: Falta de conhecimento

A entidade abrangida ou o parceiro de negócio não sabia e não poderia razoavelmente saber que estava a violar a HIPAA; portanto, não poderia ter sido evitada. A sanção por violação é de 137 USD–68 928 USD com um limite anual de 2 067 813 USD por disposição idêntica violada.

  • Nível 2: Causa razoável

A violação ocorreu devido a uma causa conhecida mas razoável, não por negligência intencional. A sanção por violação é de 1,41 USD–71 162 USD com um limite anual de 35 581 USD (segundo o critério de aplicação do OCR).

  • Nível 3: Negligência intencional e corrigida em 30 dias

A violação resulta de negligência intencional, mas o problema foi corrigido prontamente (em 30 dias). A sanção por violação é de 14 232 USD – 71 162 USD com um limite anual de 355 808 USD.

  • Nível 4: Negligência intencional e não corrigida em 30 dias

A violação resulta de negligência intencional e permanece por corrigir para além de 30 dias. A sanção por violação é de 71 162 USD – 2 134 831 USD com um limite anual de 2 134 831 USD.

 

Os riscos mais comuns da HIPAA

 

Manter registos não protegidos

Os colaboradores deixam documentos sensíveis nas suas secretárias ou não usam palavras-passe para aceder a dados digitais. Certifique-se de que o local de trabalho está seguro e que se usam palavras-passe na sua empresa.

 

Dados não encriptados

A encriptação dos seus dados não é obrigatória pela HIPAA, mas é altamente recomendada. Mesmo que os dados sejam divulgados, quando estão encriptados não podem ser acedidos sem autorização.

 

Hacking ou campanhas de phishing

Mantenha o seu software antivírus atualizado, mude regularmente as palavras-passe e use uma solução DLP para proteger os seus dados contra fugas.

 

Perda ou roubo de dispositivos

Dispositivos valiosos podem perder-se num piscar de olhos. Encripte os seus dados, para que, mesmo que um dispositivo se perca, ninguém não autorizado possa aceder a ele.

 

Partilha de PHI

Tenha sempre em mente que as pessoas gostam de falar. Muitas vezes, os colaboradores nem se apercebem de que têm partilhado informação sensível entre si. Eduque-os sobre o tratamento de dados sensíveis e certifique-se de que apenas indivíduos autorizados podem aceder aos dados.

 

Falta de formação dos colaboradores

Os colaboradores podem nem sequer aperceber-se de que têm trabalhado com PHI e a violação pode ser prejudicial tanto para a empresa como para os pacientes. Eduque-os regularmente e certifique-se de que percebem o que são a PHI e a HIPAA, bem como as consequências da violação.

 

Acesso não autorizado

Colaboradores que não estão autorizados a processar informação sensível podem ainda assim aceder a ela e consultar os documentos. Defina as políticas de segurança adequadas e certifique-se de que os seus colaboradores estão cientes delas.

 

Ameaças internas na saúde

Como pode ver acima, as violações resultam frequentemente de erros cometidos pelos colaboradores, seja porque perdem um dispositivo, clicam numa campanha de phishing ou simplesmente conversam com colegas sobre pacientes. As violações da HIPAA podem acontecer com facilidade. As ameaças internas podem ser involuntárias ou maliciosas. No entanto, 56 % dos incidentes de ameaças internas são causados por colaboradores negligentes.

E, segundo o Ponemon Institute, o custo total médio de uma violação de dados para empresas de saúde aumentou 29 %, atingindo 9,23 milhões USD. A saúde e a indústria farmacêutica estão entre os setores com os custos anuais mais elevados de ameaças internas, ultrapassando os 10 milhões USD por ano (Ponemon Institute, 2022).

Saiba mais sobre ameaças internas aqui.

 

Como proteger os dados para cumprir a HIPAA?

  1. Adote políticas de segurança e defina os colaboradores autorizados a aceder à sua PHI.
  2. Use uma solução DLP para proteger os seus dados contra ameaças internas e para aplicar políticas de segurança.
  3. Eduque os seus colaboradores regularmente.
  4. Proteja o seu local de trabalho e adote políticas sobre como trabalhar com documentos sensíveis.

 

Fale connosco

 

Como a Safetica protege os seus dados para cumprir a HIPAA?

  1. A Safetica encripta os seus dados e mantém-nos protegidos em caso de perda ou roubo do dispositivo.
  2. A Safetica é uma solução DLP que protege os seus dados contra ameaças internas. Defina que operações podem ser de risco e bloqueie-as ou faça com que a Safetica o notifique a si e aos seus colaboradores sobre potenciais riscos.
  3. Com a Safetica é fácil adotar políticas de segurança e definir colaboradores autorizados que podem trabalhar com PHI. Pode definir as suas políticas de segurança e monitorizar se os dados sensíveis da sua empresa estão a ser utilizados de forma indevida e permitir apenas que indivíduos autorizados acedam aos mesmos.
  4. Eduque os seus colaboradores regularmente. A Safetica notifica os seus colaboradores em caso de operações de risco, para que estejam mais conscientes da segurança de dados.
  5. Proteja o seu local de trabalho e adote políticas sobre como trabalhar com documentos sensíveis. A Safetica realiza auditorias de segurança e fornece-lhe relatórios regulares que lhe permitem ajustar as suas políticas de segurança.

 

Histórias de clientes:
como a Safetica ajuda na saúde

A Gyncentrum Clinic protege os dados sensíveis dos seus clientes com a Safetica. Saiba mais aqui.

O nosso pessoal, tanto administrativo como médico, tem acesso a dados sensíveis dos nossos pacientes diariamente. Estes incluem informação pessoal e médica, resultados de exames e avaliações psicológicas. Graças à Safetica, eu, como pessoa responsável pela proteção de dados na clínica, posso decidir quem tem acesso, como os dados são processados e se podem ser partilhados com terceiros ou não. As atividades dos colaboradores são reportadas e os dados dos pacientes protegidos.

Diz Paweł Czerwiński, proprietário da Gyncentrum.
homepage_safetica_logo_healthcare-gyncentrum

 

Similar posts