Las aplicaciones solo deben cumplir con HIPAA si almacenan, transmiten o muestran Información médica protegida (PHI) y si la empresa que crea la aplicación es una Entidad cubierta o un Asociado comercial.
Información de salud protegida es cualquier información identificable individualmente como nombres reales, número de seguro social, dirección, etc. en combinación con información de salud como registros de salud, registros de seguros, visitas clínicas, etc. Además, solo ciertos negocios se incluyen en la categoría de entidad cubierta, que son proveedores de atención médica, cámaras de compensación de salud y planes de salud. Más allá de eso, los subcontratistas que tienen un acuerdo existente para usar y proteger la PHI de las Entidades Cubiertas se llaman Asociados Comerciales, y también se requiere que cumplan con HIPAA.
Si no pertenece a ninguna de las categorías de Entidad cubierta o Asociado comercial, no es necesario que cumpla con HIPAA, incluso si está creando datos relacionados con la salud. Sin embargo, es posible que deba proteger la información confidencial según las leyes de privacidad de la información de su estado.
Por ejemplo, la aplicación Fitbit almacena y transmite información de salud como frecuencia cardíaca, pero la compañía FitBit no es una entidad cubierta, por lo que no están cubiertos por HIPAA y no tienen que cumplir con HIPAA.
Por otro lado, si un hospital en particular tiene una banda de monitor de frecuencia cardíaca y una aplicación asociada, se les requerirá que se aseguren de que esa aplicación cumple con HIPAA porque, como organización, están cubiertos por HIPAA.
Y si Fitbit comenzara a contratar hospitales para transmitir sus datos al hospital para uso clínico, (hipotéticamente) se convertirían en Asociados Comerciales y se les exigiría cumplir con HIPAA.
¡Espero haber respondido a su pregunta!