Attorney General Ashley Moody News Release
May 23, 2019
Contact: Kylie Mason
Phone: (850) 245-0150

Print Icon Print Version

Procuradora general de Florida anuncia la primera demanda multiestatal y recuperación por filtración de datos en relación con la ley HIPAA

TALLAHASSEE, Fla.— La procuradora general Ashley Moody anunció hoy un acuerdo alcanzado en la primera demanda de la nación presentada en un tribunal federal por una filtración de datos en virtud de la Ley HIPAA (“Health Insurance Portability and Accountability Act”). El acuerdo entre 16 estados sigue a una demanda presentada en diciembre 2018 en un tribunal federal contra Medical Informatics Engineering, Inc., compañía de registros médicos electrónicos basada en la web. La compañía provee un portal para pacientes y servicios de registros médicos personales a proveedores de atención médica que permite a los pacientes tener acceso a sus registros médicos electrónicos En 2015, la compañía tuvo una supuesta filtración de datos que afectaron los datos de más de 3.9 millones de personas. La sentencia acordada propuesta, pendiente de aprobación judicial, resuelve imputaciones de que MIE viola las disposiciones de la HIPAA así como de las Leyes de Protección de la Información y de Prácticas Comerciales Desleales de Florida.

La procuradora general Ashley Moody dijo: “Los consumidores tienen el derecho a que se les protejan sus datos médicos más privados. Las compañías a quienes se les confían los registros médicos personales y otra información privada deben tomar medidas serias de precaución para mantener la información a salvo de los hackers”.

En mayo de 2015, hackers se infiltraron, supuestamente, en uno de los servidores de MIE que contenían nombres, direcciones postales, nombres de usuario, contraseñas e información médica confidencial. Los hackers robaron, al parecer, la información médica protegida electrónica (ePHI) de más de 3.9 millones de personas, incluidos los 112,000 registros que pertenecen a floridanos. De acuerdo con la investigación, los hackers aprovecharon las vulnerabilidades de MIE en el momento de la filtración de datos, como los protocolos insuficientes de gestión de seguridad y contraseñas.

Según los términos de la sentencia acordada, MIE aceptó implementar y mantener:

· Un programa de seguridad de la información y una solución de monitoreo de incidentes y eventos de seguridad para detectar y responder a los ataques maliciosos;
· Tecnología para la prevención de pérdidas de datos para detectar y evitar la exfiltración no autorizada de datos;
· Políticas y procedimientos de contraseñas que requieren el uso de contraseñas fuertes y complejas;
· Procedimientos de autentificación multifactorial cuando se accede de modo remoto a sus sistemas que almacenan o permiten el acceso a ePHI; y
· Controles sobre la creación de cuentas que tienen acceso a ePHI.

Como parte del acuerdo, MIE también pagará casi un millón de dólares a los estados que presentaron la demanda federal. Los otros estados que participaron en el acuerdo son Arizona, Arkansas, Connecticut, Indiana, Iowa, Kansas, Kentucky, Luisiana, Michigan, Minnesota, Nebraska, Carolina del Norte, Tennessee, Virginia Occidental y Wisconsin.

Para ver la demanda enmendada, haga clic aquí. Para ver la sentencia por mutuo acuerdo, haga clic aquí.