Ley de Protección de Información de Salud Personal (Ontario)

Información general

La Ley de Protección de Información de Salud Personal (PHIPA) es legislación sobre privacidad de Ontario que se aplica a la recopilación, el uso y la divulgación de información de salud personal (PHI) durante el suministro o la facilitación de servicios de salud.

Los clientes siempre conservan el control acerca de la manera en la que administran y obtienen acceso al contenido almacenado en AWS. Los clientes son responsables de garantizar su propio cumplimiento de la PHIPA, dado que AWS no puede ver ni saber lo que estos suben a su red, ni tampoco si dichos datos están sujetos o no a las regulaciones de la ley. Los clientes de AWS pueden diseñar e implementar un entorno de AWS, y utilizar los servicios de AWS de una manera tal que permita cumplir las obligaciones establecidas por la PHIPA.

Actualmente, la región Canadá (Central) de AWS está disponible para múltiples servicios, incluidos Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3) y Amazon Relational Database Service (Amazon RDS). Si desea obtener una lista completa de las regiones y los servicios de AWS, consulte la página de infraestructura global. Los precios para la región Canadá están disponibles en las páginas de detalles de cada servicio, que se pueden encontrar a través de nuestra página de productos y servicios.

  • La Ley de Protección de Datos Personales y Documentos Electrónicos (PIPEDA) es una ley federal canadiense aplicable a la recopilación, el uso y la divulgación de información personal durante la realización de actividades comerciales en todas las provincias canadienses. Determinadas provincias canadienses también adoptaron leyes de privacidad generales propias tanto para el sector público como para el privado, además de leyes sobre privacidad específicas para la información de salud personal. La Ley de Protección de Información de Salud Personal (PHIPA) es la ley sobre privacidad de Ontario que se aplica a la recopilación, el uso y la divulgación de información de salud personal (PHI) durante el suministro o la facilitación de servicios de salud.

    La obligación de un cliente de AWS de cumplir con la PIPEDA, la PHIPA o cualquier requisito de privacidad provincial canadiense, o el alcance del cumplimiento, variará en función del negocio del cliente. En general, los administradores de información de salud en Ontario y sus agentes deberán cumplir con la PHIPA siempre y cuando trabajen con información de salud personal (otras áreas de su negocio podrían estar sujetas a otras leyes de privacidad). El término "administrador de información de salud" incluye proveedores de asistencia sanitaria (por ej., médicos, enfermeros, etc.), hospitales, instituciones de cuidados de larga duración, instituciones de cuidados especiales, centros comunitarios de acceso a cuidados, redes de integración de salud locales (LHIN), farmacias, laboratorios médicos, médicos asesores locales de salud, servicios de ambulancias, programas comunitarios de salud mental y Ministerio de Salud y Cuidados de Larga Duración.

    Es posible que otras organizaciones también estén sujetas al cumplimiento de la PIPEDA o de otras leyes provinciales sobre privacidad. Si desea obtener más información sobre esta ley, consulte la página sobre la PIPEDA de AWS.

    Los clientes deben consultar a sus asesores legales para averiguar qué leyes de privacidad deben cumplir.

  • Los clientes de AWS pueden diseñar e implementar un entorno de AWS, y utilizar los servicios de AWS de una manera tal que permita cumplir las obligaciones establecidas por la PHIPA.

    Los clientes sujetos a las disposiciones de la PHIPA tienen la responsabilidad de cumplir con sus requisitos en relación con la recopilación, el uso y la divulgación de PHI. La estructura de los servicios de AWS permite a los clientes controlar la manera en la que su contenido se almacena o procesa con AWS, incluido el control acerca de cómo se protege dicho contenido y de quién puede obtener acceso a él. AWS provee servicios que los clientes pueden configurar y utilizar para aumentar la seguridad de cualquier PHI que almacenen en AWS, y es responsabilidad del cliente diseñar una solución que cumpla los requisitos de privacidad correspondientes.

    Tenga en cuenta que no existe ninguna "certificación" con reconocimiento oficial para el cumplimiento de la PHIPA, como las certificaciones o autorizaciones que una entidad puede obtener en relación con SOC, PCI o FedRAMP. En su lugar, AWS ofrece a sus clientes información considerable sobre las políticas, los procesos y los controles definidos y utilizados por AWS. AWS provee manuales, documentos técnicos y guías de prácticas recomendadas en la página de recursos de conformidad de AWS y los clientes tienen acceso bajo demanda a los informes de auditoría externos de AWS en AWS Artifact. Los clientes pueden recurrir a esta información para evaluar si AWS cumple los requisitos de seguridad que deben cumplimentar en función de la PHIPA.

  • No existe ningún requisito equivalente de la PHIPA que exija la celebración de un contrato entre el cliente y AWS, como el acuerdo para socio empresarial obligatorio de la HIPAA en los Estados Unidos. Los clientes deben consultar a sus representantes de cuentas ante cualquier pregunta que tengan acerca de la aplicabilidad de términos contractuales específicos de AWS.

  • Los clientes siempre conservan el control acerca de la manera en la que administran y obtienen acceso al contenido almacenado en AWS. AWS ofrece un conjunto de características avanzadas de acceso, cifrado y generación de registros para ayudar a los clientes a administrar el contenido y el acceso a este de manera eficiente. AWS no accede al contenido de los clientes ni lo divulga a menos que este se lo solicite o si resulta necesario para cumplir con la ley o una solicitud válida y vinculante de un organismo gubernamental o regulador competente. A menos que se le prohíba a AWS legalmente o que haya una clara indicación de conducta ilegal relativa al uso de los servicios de AWS, AWS envía una notificación a los clientes antes de divulgar su contenido para que puedan protegerse. Si desea obtener más información, consulte las preguntas frecuentes sobre privacidad de datos.

  • Los clientes deben consultar a sus asesores legales en relación con el cumplimiento de leyes de privacidad. De manera general, no existe ningún requisito en la PHIPA que limite específicamente la capacidad de una persona u organización para transferir o almacenar datos fuera de Ontario o Canadá. Sin embargo, la PHIPA sí exige a las entidades que tomen las medidas necesarias para proteger la PHI. Es responsabilidad de cada cliente determinar si la transferencia o el almacenamiento de datos fuera de Canadá cumple sus obligaciones relacionadas con la seguridad.

    Los clientes de AWS deben considerar si se aplican las leyes de otras provincias canadienses y verificar si estas especifican límites en relación con la residencia de los datos. Los clientes de AWS eligen las regiones en las que se almacenará el contenido. AWS no migrará ni replicará contenido del cliente fuera de las regiones seleccionadas por él sin su consentimiento.

  • La PHIPA no incluye ningún requisito específico en relación con el cifrado de PHI. Sin embargo, a las entidades que deban cumplir con la PHIPA se les requiere tomar las medidas necesarias para proteger la PHI y es responsabilidad de cada cliente determinar si el cifrado es apropiado para cumplir las obligaciones de seguridad. Como práctica recomendada, AWS recomienda que la PHI se cifre siempre en reposo y en tránsito.

  • AWS pone a disposición una amplia gama de materiales para ayudar a los clientes a comprender el funcionamiento de los controles de seguridad y el entorno de AWS. AWS suministra a los clientes acceso bajo demanda a informes de auditoría externos (como nuestros informes SOC 1 y SOC 2) en AWS Artifact. AWS también provee manuales, documentos técnicos y prácticas recomendadas en la página de recursos de conformidad de AWS acerca de cómo ejecutar cargas de trabajo en AWS de manera segura.

  • En consonancia con el modelo de responsabilidad compartida, los clientes deben considerar la implementación de auditorías y la generación de registros en todo el entorno de AWS de una manera tal que resulte suficiente para cumplir sus requisitos de conformidad. AWS ofrece servicios que simplifican la implementación de arquitecturas de análisis de registros y la generación de registros de escala ajustable. AWS también cuenta con una variedad de socios en AWS Marketplace que ofrecen soluciones de generación de registros de seguridad. Consulte la página sobre capacidades de generación de registros de seguridad de AWS para obtener más información acerca de cómo implementar la generación de registros en AWS.

  • Puede leer la publicación de blog más reciente sobre las tendencias en el sector de la salud de Canadá. Haga clic aquí para leer información acerca de asuntos de conformidad en el área de salud en la nube de AWS.

Recursos para PHIPA

Key Trends in Canadian Healthcare
Sector público de Canadá
¿Tiene preguntas? Pónganse en contacto con un representante empresarial de AWS
¿Está buscando trabajo en el sector de conformidad?
Inscríbase hoy mismo »
¿Desea recibir novedades acerca de asuntos de conformidad en AWS?
Síganos en Twitter »