La Ley de Tecnología de la Información de Salud para la Salud Económica y Clínica (HITECH), promulgada como parte de la Ley de Recuperación y Reinversión Estadounidense de 2009, se convirtió en ley el 17 de febrero de 2009, para promover la adopción y el uso significativo de la tecnología de la información sanitaria. El Subtítulo D de la Ley HITECH aborda las preocupaciones de privacidad y seguridad asociadas con la transmisión electrónica de información médica, en parte, a través de varias disposiciones que fortalecen la aplicación civil y penal de las reglas de HIPAA.
La sección 13410 (d) de la Ley HITECH, que entró en vigor el 18 de febrero de 2009, revisó la sección 1176 (a) de la Ley del Seguro Social (la Ley) al establecer:
- Cuatro categorías de infracciones que reflejan niveles crecientes de culpabilidad;
- Cuatro niveles correspondientes de montos de sanción que aumentan significativamente el monto mínimo de sanción por cada infracción; y
- Una cantidad máxima de sanción de $ 1.5 millones por todas las violaciones de una disposición idéntica.
También enmendó la sección 1176 (b) de la Ley por:
- Rechazar la barra anterior sobre la imposición de sanciones si la entidad cubierta no sabía y con el ejercicio de una diligencia razonable no habría sabido de la infracción (tales infracciones ahora se castigan con el nivel más bajo de sanciones) ; y
- Proporcionar una prohibición sobre la imposición de sanciones por cualquier infracción que se corrija dentro de un período de 30 días, siempre que la infracción no se deba a negligencia intencional.
Esta regla final interina conforma las regulaciones de ejecución de HIPAA con estas revisiones estatutarias que están vigentes actualmente bajo la sección 13410 (d) de la Ley HITECH. Esta regla final interina no hace enmiendas con respecto a aquellas disposiciones de ejecución de la Ley HITECH que aún no son efectivas bajo las disposiciones legales aplicables.