Recurso educativo de Washington

HIPAA vs MHMDA de Washington para SaaS de salud mental: hasta dónde llega cada una y dónde la exención realmente ayuda

El error analítico más común que veo en SaaS de salud mental es tratar la cuestión HIPAA / MHMDA como una disyuntiva. No lo es. HIPAA alcanza a Covered Entities y Business Associates y es específica por dato dentro de esa relación. MHMDA (Washington My Health My Data Act) alcanza a cualquier entidad que procese Consumer Health Data de consumidores de Washington y también es específica por dato. La exención en RCW 19.373.100 opera campo por campo, no a nivel de entidad. Una plataforma puede estar parcialmente cubierta por HIPAA para algunos campos de datos y totalmente cubierta por MHMDA para otros, a menudo dentro de la misma base de datos.

Última revisión legal: 2026-05-19. Citas verificadas contra Chapter 19.373 RCW. Las referencias a HIPAA deben confirmarse contra el texto vigente en 45 CFR Parts 160 y 164 antes de aplicarlas a un asunto específico.

Alcance de cobertura, lado a lado

HIPAA: alcanza a planes de salud, healthcare clearinghouses, proveedores de salud que transmiten información de salud electrónicamente en transacciones HIPAA, y a sus Business Associates. Se aplica a la información de salud protegida (PHI) dentro de la relación cubierta. Alcance federal.
MHMDA: alcanza a cualquier entidad jurídica que haga negocios en Washington o dirija productos o servicios a consumidores de Washington y que (sola o conjuntamente) determine los fines y medios de recolectar, procesar, compartir o vender Consumer Health Data. Alcance estatal de Washington, pero con alcance extraterritorial para empresas de fuera del estado que dirigen sus servicios a consumidores de Washington.
Alcance de datos de HIPAA: PHI definido en 45 CFR 160.103. Estrictamente limitado a información creada o recibida por una Covered Entity o Business Associate relacionada con salud, pagos u operaciones de atención de salud pasadas, presentes o futuras.
Alcance de datos de MHMDA: Consumer Health Data en RCW 19.373.010, incluido el estado de salud mental, estado de ánimo, síntomas, búsqueda de tratamiento, anotaciones de diario e inferencias. Categoría más amplia que el PHI, especialmente en torno a inferencias y divulgaciones no clínicas.

Cómo funciona realmente RCW 19.373.100

La exención de MHMDA en RCW 19.373.100 excluye varias categorías de datos: PHI bajo HIPAA (con datos relacionados bajo Ch. 70.02 RCW y 42 CFR Part 2), datos financieros GLBA, datos de informes de consumidores FCRA, registros educativos FERPA, actividades de salud pública bajo 45 CFR 164.512, datos desidentificados que cumplan el estándar de 45 CFR Part 164, y el procesamiento necesario para prevenir, detectar o responder a incidentes de seguridad y fraude. La carga de calificar para la exención recae sobre la entidad que la invoca. La exclusión es específica por dato, no general por entidad. Un hospital está cubierto por HIPAA para PHI en tratamiento, pago y operaciones de atención de salud, pero los píxeles publicitarios de su sitio web público en una página de "encuentra un terapeuta" recolectan datos que no son PHI y no están exentos.

Los cuatro lugares predecibles donde HIPAA no cubre pero MHMDA sí, en SaaS de salud mental.

Píxeles de marketing en el sitio web público. El seguimiento de conversiones en páginas de aterrizaje como "ayuda para la depresión" o "encuentra un terapeuta" es Consumer Health Data, no PHI.
Intake y emparejamiento previos al proveedor. El usuario divulga historial de diagnóstico, síntomas y preferencia de tratamiento antes de que exista cualquier relación con un proveedor. Aún no es PHI. Ya está cubierto por MHMDA.
Módulos de autoayuda y contenido dirigido al consumidor dentro de una plataforma que también tiene un brazo clínico. El registro de estado de ánimo autoguiado dentro de un producto híbrido está cubierto por MHMDA aunque la sesión con el clínico junto a él sea PHI.
Inferencias derivadas de IA y analíticas agregadas construidas sobre insumos cubiertos por BAA, donde el operador determina de forma independiente los fines y medios. La exclusión por desidentificación solo ayuda si el estándar de desidentificación efectivamente se cumple y se documenta.

Qué obligaciones aplican dónde

Notice of Privacy Practices (HIPAA) cubre PHI dentro de la relación cubierta; no satisface el requisito separado de MHMDA de una Consumer Health Data Privacy Policy bajo RCW 19.373.020.
Authorization (HIPAA) se requiere para usos distintos de tratamiento, pago u operaciones; no satisface el consentimiento de dos capas de MHMDA bajo RCW 19.373.030 para Consumer Health Data que no es PHI.
Derecho de acceso (HIPAA, 45 CFR 164.524) coexiste con el derecho MHMDA de confirmación y acceso bajo RCW 19.373.040. El derecho de MHMDA alcanza más datos e incluye una lista de destinatarios terceros.
Business Associate Agreement (HIPAA) regula las relaciones con procesadores de PHI; no sustituye los contratos con procesadores bajo MHMDA en RCW 19.373.060 respecto de Consumer Health Data que no es PHI. Por lo general se necesita un addendum de Washington o un contrato MHMDA con el procesador por separado.
HIPAA Security Rule coexiste con el estándar de seguridad razonable de MHMDA bajo RCW 19.373.050. El estándar de MHMDA incluye una restricción de acceso vinculada al consentimiento que es más específica de lo que las políticas de acceso basadas en roles típicamente entregan.
Notificación de violación de datos (HIPAA Breach Notification Rule) coexiste con la ley de notificación de violación de datos de Washington en Chapter 19.255 RCW para violaciones que involucran a residentes de Washington.

La postura práctica para SaaS de salud mental híbrido

Para productos con cualquier superficie no cubierta, el camino que sigo tiene cuatro pasos. Primero, construyo un mapa de datos campo por campo que indique qué campos son PHI dentro de una transacción cubierta y cuáles no. Segundo, redacto una Consumer Health Data Privacy Policy por separado bajo RCW 19.373.020 para la superficie no PHI, enlazada de forma prominente desde la página de inicio. Tercero, agrego lenguaje de contrato con procesador bajo MHMDA a cada DPA con proveedores que toque la superficie no PHI, encima de cualquier BAA existente. Cuarto, diseño un flujo unificado de gestión de derechos que satisfaga tanto el derecho de acceso de HIPAA como los derechos de MHMDA de confirmación, acceso, retiro de consentimiento, eliminación y apelación bajo RCW 19.373.040, con excepciones documentadas donde las reglas de retención de HIPAA prevalecen sobre la eliminación de MHMDA para campos PHI.

Qué enviar para una revisión por escrito

Descripción del modelo operativo con identificación de la superficie PHI vs no PHI.
Inventario de datos campo por campo si existe; si no, una descripción de las categorías de datos recolectadas y dónde se almacena cada una.
Notice of Privacy Practices actual, política de privacidad, Consumer Health Data Privacy Policy si está separada, plantilla de BAA y cualquier addendum MHMDA.
Mapa de proveedores y DPAs actuales.
Flujos del sitio de marketing incluyendo cualquier analítica, atribución, píxeles publicitarios y eventos de conversión.
Descripción de cualquier producto de datos desidentificados y la metodología de desidentificación utilizada.

Nota práctica de Sergei

La versión más corta: HIPAA y MHMDA no son alternativas; aplican campo por campo, no a nivel de toda la entidad. Si tienes alguna superficie no PHI (sitio de marketing, intake previo al proveedor, módulos autoguiados, analíticas agregadas), tienes trabajo bajo MHMDA por hacer incluso con una postura HIPAA impecable. El arreglo es incremental, no arquitectónico: un mapa de datos campo por campo, una Consumer Health Data Privacy Policy separada para la superficie no PHI, lenguaje de procesador MHMDA superpuesto a los BAAs existentes y un flujo unificado de derechos que maneje ambos regímenes con limpieza. Reviso bajo licencia de California. Este es trabajo de asesoría regulatoria, no representación en Washington.

Relacionados: Hub MHMDA para SaaS de salud mental; Cumplimiento MHMDA de apps de terapia; Revisión de privacidad de SaaS de salud conductual; Verificador de brechas MHMDA para SaaS de salud mental.

Recurso educativo. Sergei Tokmakov es abogado de California (CA Bar #279869) actualmente solicitando admisión al Washington State Bar. Nada aquí crea una relación abogado-cliente ni constituye asesoría legal de Washington.

Publicidad de abogado. Sergei Tokmakov tiene licencia en California (CA Bar #279869); su admisión en Washington está pendiente. Estas páginas proporcionan información legal general y revisión documental o de cumplimiento pagada para asuntos de Washington. No comparezco ante tribunales de Washington ni me presento como abogado de Washington. Para presentaciones judiciales, representación o litigio en Washington, coordino con un abogado calificado de Washington. La representación comienza solo después de una verificación de conflictos y una carta de compromiso firmada.