¿Cumple un terapeuta con IA con la HIPAA? Qué revisar antes de compartir nada

La mayoría de las apps de terapia con IA no cumplen con la HIPAA, y las raras que sí lo hacen te lo dirán en lenguaje claro y te entregarán los papeles para demostrarlo. Si una app esquiva la pregunta, trata "usamos cifrado" como una respuesta completa o entierra el tema a tres toques de profundidad, asume que tus conversaciones no están protegidas como crees. Que un terapeuta con IA cumpla con la HIPAA se reduce a unas cuantas cosas concretas y comprobables, no a un sello en la página de inicio.

Aquí está la parte incómoda. Puedes verter tu peor semana en una caja de chat a la 1 a. m., sentirte más ligero, y nunca darte cuenta de que esas mismas palabras están guardadas en un registro en algún lado, asociadas a tu correo, posiblemente entrenando un modelo. La solución no es la paranoia. Son cinco minutos de lectura antes de confiar en la caja.

Qué significa de verdad "cumplir con la HIPAA" para un terapeuta con IA

La HIPAA es una ley estadounidense de privacidad sanitaria. Regula cómo las "entidades cubiertas" —médicos, clínicas, aseguradoras— y sus "socios comerciales" manejan tu información de salud protegida. La frase "terapeuta con IA que cumple la HIPAA" se usa a la ligera, así que precisémosla: una app está genuinamente cubierta solo si actúa como un proveedor de salud, o en su nombre, y ha firmado los contratos adecuados que lo respalden.

Esa distinción importa más de lo que suena. Un chatbot de bienestar que se llama a sí mismo "compañía" o "coach" suele quedar por completo fuera de la HIPAA. No porque sea turbio, sino porque nunca afirmó ser atención sanitaria en primer lugar. Así que la ley en la que estás confiando quizá ni siquiera aplique a la app que llevas en el bolsillo.

Dos cosas separan un esquema que cumple de un lenguaje de marketing:

• Un Acuerdo de Socio Comercial (BAA, por sus siglas en inglés). Es el contrato que obliga legalmente a un proveedor a proteger tus datos de salud. Sin un BAA en la cadena, no hay protección de la HIPAA, punto.
• Salvaguardas definidas. Controles de acceso, registros de auditoría, cifrado, deberes de notificación de brechas. Reales, por escrito, no insinuadas por un ícono de candado.

¿Mi terapeuta con IA cumple la HIPAA? Las 6 comprobaciones que de verdad te lo dicen

Hazlas antes de compartir cualquier cosa que no le dirías a un desconocido en el autobús.

1. Lee quién dicen ser. Busca en el sitio y en la ficha de la tienda de apps las palabras "HIPAA", "entidad cubierta" y "socio comercial". Un servicio que cumple lo declara directamente. El lenguaje vago de bienestar ("apoyo", "superación personal", "no es un servicio médico") es en sí mismo una respuesta, normalmente "no".

2. Encuentra el camino del BAA. Una herramienta de grado clínico nombrará su BAA o explicará cómo se maneja contractualmente la información de salud protegida. Las apps de consumo casi nunca ofrecen uno a usuarios individuales. Si no encuentras la palabra, trata la respuesta como un no.

3. Abre la política de privacidad y usa Ctrl-F. Busca "terceros", "vender", "compartir", "publicidad" y "entrenamiento". Si tus mensajes pueden usarse para entrenar modelos o compartirse con socios publicitarios, eso te dice cómo ve en realidad la empresa tus datos: como un activo, no como una confidencia.

4. Comprueba dónde viven los datos y por cuánto tiempo. Busca un periodo de retención y una opción de borrado real. "Conservamos los datos el tiempo que sea necesario" sin un interruptor de apagado significa que tu confesión de la 1 a. m. puede sobrevivir a tu interés en la app.

5. Mira el inicio de sesión y el candado. El cifrado en tránsito (HTTPS) es lo mínimo. El cifrado en reposo, el inicio de sesión de dos factores y la posibilidad de usar un seudónimo son señales de que alguien pensó en la persona detrás de la cuenta.

6. Encuentra el plan ante brechas. Las operaciones que cumplen detallan qué pasa si se filtran los datos y con qué rapidez te avisarán. El silencio aquí es una señal de alerta con cara de calma.

Si una app pasa una o dos de estas y falla el resto, no cumple. Solo lo desea.

Cumplir la HIPAA vs. ser de verdad privada: no es lo mismo

Aquí está la línea que vale la pena tatuarte por dentro de los párpados: cumplir la HIPAA no es lo mismo que la privacidad. Una app puede cumplir por completo y aun así compartir o vender legalmente datos que no te diste cuenta de que entregaste, según los consentimientos que aceptaste con un clic. Y una app puede ser profundamente privada —datos mínimos, cifrado fuerte, sin socios publicitarios— sin cumplir la HIPAA en absoluto, simplemente porque nunca operó como atención sanitaria.

Así que deja de usar "cumple la HIPAA" como sinónimo de "segura". Haz dos preguntas separadas. ¿Cubre la ley esto? Y, al margen de la ley, ¿qué hace en realidad esta empresa con mis palabras? La segunda pregunta es la que te protege un martes cualquiera.

Para la mayoría de las herramientas de salud mental con IA de consumo, el encuadre honesto es este: son privadas por política, no por ley. Eso puede estar perfectamente bien. Solo significa que estás confiando en las decisiones y la ingeniería de una empresa en lugar de en una ley federal. Decídelo a propósito, no por accidente.

Qué significa esto antes de escribir algo real

Ajusta tu honestidad a la protección que puedas verificar. Una regla práctica útil:

• El detalle completo (nombres, las notas de tu terapeuta, un historial médico específico) pertenece solo a una herramienta que hayas confirmado que cumple la HIPAA con un BAA, o a una sesión con un humano con licencia.
• Los temas y los sentimientos ("he estado temiéndoles a los domingos", "el pecho se me aprieta antes de las reuniones") suelen ser seguros de explorar con una app de consumo reputada cuya política de verdad hayas leído.
• Cualquier cosa por cuya filtración entrarías en pánico debería hacerte pausar y releer primero esta lista.

No tienes que elegir entre conseguir ayuda y protegerte. Solo tienes que saber por qué tipo de puerta estás entrando.

Si estás en peligro inmediato o pensando en hacerte daño, contacta ahora a tu número local de emergencias o a una línea de ayuda; en España puedes llamar al 024. Ese es un momento para un humano, no para una caja de chat.

FAQ

¿Las apps de terapia con IA cumplen la HIPAA por defecto?

No. La mayoría de las apps de terapia con IA y de "compañía" de consumo no cumplen la HIPAA, y muchas ni siquiera están cubiertas por ella porque no operan como proveedores de salud. El cumplimiento es algo que un servicio tiene que construir y documentar deliberadamente, incluido un Acuerdo de Socio Comercial. Asume que una app no cumple hasta que demuestre lo contrario por escrito.

¿Cómo sé si un terapeuta con IA cumple la HIPAA?

Busca una declaración clara en el sitio o en la ficha de la app, un Acuerdo de Socio Comercial nombrado, una política de privacidad que limite el compartir y el vender, una política real de retención y borrado de datos, cifrado en tránsito y en reposo, y un proceso declarado de notificación de brechas. Si eso falta o es vago, trátalo como que no cumple. Un servicio que de verdad cumple hace que esto sea fácil de confirmar en lugar de difícil.

¿Una app que cumple la HIPAA es lo mismo que una privada?

No, y confundirlas es el error común. La HIPAA es un marco legal que puede aplicar o no; la privacidad es lo que la empresa hace en realidad con tus datos. Una app puede cumplir y aun así compartir datos que consentiste, o ser muy privada sin estar cubierta por la HIPAA en absoluto. Comprueba tanto el estatus legal como las prácticas reales de datos.

¿Qué debo evitar contarle a un chatbot de IA que no cumple?

Mantén los detalles muy identificables o sensibles —nombre completo, historial médico exacto, las notas de un clínico, cualquier cosa que te alarmaría ver filtrada— fuera de cualquier app que no hayas verificado. Compartir sentimientos y patrones generales suele ser de bajo riesgo con una herramienta reputada. El punto es ajustar cuánto revelas a cuánta protección hayas confirmado de verdad.