La des-identificación HIPAA bajo 45 CFR §164.514(b) requiere eliminar 18 categorías específicas de Información de Salud Protegida (PHI). Toda herramienta de des-identificación basada en la nube crea un riesgo de transmisión de datos — y una obligación potencial de Acuerdo de Asociado de Negocios (BAA). anonym.plus elimina ambos: todo procesamiento de PHI ocurre localmente en tu máquina, y la herramienta no es un Asociado de Negocios bajo HIPAA.
Des-identificación HIPAA: Dos métodos aprobados
La Regla de Privacidad HIPAA (45 CFR §164.514) especifica dos enfoques de des-identificación compatibles:
Método Safe Harbor (§164.514(b))
Elimina todas las 18 categorías de identificadores enumerados Y no tiene conocimiento real de que la información restante podría usarse para identificar a un individuo. Este es un enfoque basado en listas de verificación que no requiere experiencia estadística.
Método Expert Determination (§164.514(a))
Un experto estadístico o científico calificado aplica principios generalmente aceptados para certificar que el riesgo de identificar a un individuo es muy pequeño. Más flexible — permite retención de algunos identificadores si el análisis estadístico lo apoya. Requiere justificación de experto documentada.
Para la mayoría de organizaciones, Safe Harbor es la opción práctica. Proporciona un estándar de cumplimiento claro y defendible sin requerir experiencia estadística para cada conjunto de datos.
Los 18 identificadores HIPAA Safe Harbor
Las 18 categorías deben ser eliminadas para des-identificación Safe Harbor:
| # | Categoría de identificador | Detección anonym.plus |
|---|---|---|
| 1 | Nombres | ✓ Tipo de entidad PERSON |
| 2 | Datos geográficos más pequeños que estado (dirección, código postal, geocódigos) | ✓ Entidades LOCATION, STREET_ADDRESS, US_ZIP |
| 3 | Fechas (excepto año) relacionadas con individuos — admisión, alta, DOB, fecha de muerte | ✓ Tipo de entidad DATE_TIME |
| 4 | Números de teléfono | ✓ PHONE_NUMBER |
| 5 | Números de fax | ✓ PHONE_NUMBER (incluye fax) |
| 6 | Direcciones de correo electrónico | ✓ EMAIL_ADDRESS |
| 7 | Números de Seguro Social | ✓ US_SSN |
| 8 | Números de registro médico | ✓ MEDICAL_LICENSE, soporte de entidad personalizada |
| 9 | Números de beneficiarios de planes de salud | ✓ US_ITIN, entidad personalizada |
| 10 | Números de cuenta | ✓ IBAN_CODE, CREDIT_CARD, entidad personalizada |
| 11 | Números de certificado/licencia | ✓ MEDICAL_LICENSE, entidades regex personalizadas |
| 12 | Identificadores de vehículos y números de serie | ✓ Entidad personalizada (patrón regex) |
| 13 | Identificadores de dispositivos y números de serie | ✓ Entidad personalizada (patrón regex) |
| 14 | URLs web | ✓ Tipo de entidad URL |
| 15 | Direcciones IP | ✓ IP_ADDRESS |
| 16 | Identificadores biométricos (huellas dactilares, impresiones de voz) | ✓ Detección OCR basada en texto para referencias biométricas etiquetadas |
| 17 | Fotografías de cara completa e imágenes comparables | ✓ Modo imagen: OCR detecta referencias de fotos etiquetadas en documentos |
| 18 | Cualquier otro número único identificador, característica o código | ✓ Entidades personalizadas: define patrones regex para identificadores específicos de la instalación |
Por qué no se requiere Acuerdo de Asociado de Negocios
Un Asociado de Negocios HIPAA se define en 45 CFR §160.103 como una persona u organización que crea, recibe, mantiene o transmite Información de Salud Protegida (PHI) en nombre de una entidad cubierta. La palabra crítica es transmite.
anonym.plus procesa PHI completamente en tu máquina local. Sin PHI es creado, recibido, mantenido o transmitido por anonym.plus o ningún tercero. El motor NLP (Presidio + spaCy) se ejecuta como un proceso local. Ningún contenido de documento llega a ningún endpoint de red.
Porque anonym.plus nunca maneja PHI en tu nombre — solo proporciona software que se ejecuta localmente — es no un Asociado de Negocios bajo 45 CFR §160.103. No se requiere, está disponible o aplica BAA.
Ver el caso de uso de Cuidado de la salud en detalle. Caso de uso de anonimización de cuidado de la salud →
Preguntas frecuentes
¿Cuáles son los 18 identificadores HIPAA Safe Harbor?
Nombres; subdivisiones geográficas por debajo de estado; fechas (excepto año); números de teléfono; números de fax; direcciones de correo; SSNs; números de registro médico; números de beneficiarios de planes de salud; números de cuenta; números de certificado/licencia; identificadores de vehículos; identificadores de dispositivos; URLs; direcciones IP; identificadores biométricos; fotos de cara completa; cualquier otro código identificador único. Todos deben ser eliminados para des-identificación Safe Harbor.
¿Usar anonym.plus requiere un BAA HIPAA?
No. anonym.plus no es un Asociado de Negocios (45 CFR §160.103) porque no crea, recibe, mantiene o transmite PHI. Todo procesamiento es local. Ningún PHI deja tu dispositivo. No se requiere ni se ofrece BAA.
¿Cubre anonym.plus los 18 identificadores HIPAA Safe Harbor?
Sí. Los tipos de entidades integradas cubren identificadores 1–11, 14–15. Los tipos de entidades personalizadas (hasta 50) con patrones regex cubren identificadores 12–13, 18. El modo imagen con OCR cubre referencias biométricas y de fotos incrustadas en documentos. Revisa la tabla de entidades detectadas arriba para mapeo completo.