HIPAA: la conformità che i clienti USA richiedono

HIPAA (Health Insurance Portability and Accountability Act) è la legge federale statunitense che protegge i dati sanitari identificabili (PHI). Si applica alle Covered Entity americane — provider sanitari, piani assicurativi, clearinghouse — e ai loro Business Associate: chiunque crei, riceva, conservi o trasmetta PHI per loro conto, ovunque si trovi. Un'azienda italiana che tratta dati sanitari per clienti USA assume gli obblighi per via contrattuale, attraverso il Business Associate Agreement, e li trasferisce a sua volta ai propri subfornitori.

È il contratto che HIPAA impone tra Covered Entity e Business Associate, e a cascata verso i subcontractor che trattano PHI. Definisce gli usi consentiti dei dati, le salvaguardie di sicurezza, l'obbligo di segnalare violazioni e incidenti, le condizioni per ricorrere a subfornitori e la restituzione o distruzione dei dati a fine rapporto. Va firmato prima che i dati sanitari inizino a circolare.

La certificazione HIPAA non esiste, per nessuno: il Department of Health and Human Services non riconosce alcuna certificazione ufficiale, e le attestazioni offerte sul mercato sono private e senza valore normativo. Quello che facciamo è portare il metodo del nostro sistema di gestione certificato ISO/IEC 27001, 27017, 27018 e ISO 9001 sul terreno HIPAA: risk analysis, controlli tecnici, evidenze documentate. Non siamo uno studio legale: il BAA lo negoziano i legali delle parti, noi prepariamo l'infrastruttura e le evidenze che quel contratto richiede.

Dipende dalla maturità di partenza. Per un'organizzazione che opera già con un sistema ISO 27001, gran parte dei controlli richiesti dalla Security Rule è in piedi: il lavoro è il mapping (con la guida NIST SP 800-66 Rev. 2), la chiusura dei gap specifici e la preparazione delle evidenze — indicativamente settimane, non anni. Partendo da zero il percorso è più lungo e conviene impostarlo come costruzione del sistema di sicurezza, non come adempimento una tantum.

No. HIPAA non impone alcuna localizzazione: le linee guida HHS sul cloud computing ammettono la conservazione fuori dagli USA, purché ci sia un BAA con il cloud provider e i rischi siano coperti dalla risk analysis. Per un'azienda italiana l'hosting in datacenter europei è spesso la scelta più sensata, perché semplifica anche la conformità GDPR. La residenza dei dati resta una scelta contrattuale da definire con il cliente. Per saperne di più, leggi il nostro approfondimento su HIPAA per le aziende italiane.

La proposta di revisione pubblicata nel Federal Register il 6 gennaio 2025 (NPRM) è la prima modifica sostanziale dal 2013: autenticazione a più fattori obbligatoria, cifratura delle ePHI a riposo e in transito, eliminazione della distinzione tra specifiche «required» e «addressable», inventario tecnologico con mappa dei flussi e verifica di conformità annuale. La regola finale è attesa nel corso del 2026: conviene progettare già oggi sui requisiti proposti.