Las dos leyes que todo proveedor de salud debe conocer
La traducción en el sector salud en Estados Unidos se rige por dos requisitos federales distintos, pero que se traslapan entre sí. El primero es la HIPAA, la Ley de Portabilidad y Responsabilidad del Seguro Médico, que regula la privacidad y la seguridad de la Información Médica Protegida (PHI). El segundo es el Title VI de la Ley de Derechos Civiles de 1964, que obliga a toda organización que recibe fondos federales a brindar un acceso lingüístico significativo a las personas con dominio limitado del inglés (LEP). En conjunto, estas leyes crean un marco regulatorio que la mayoría de las herramientas de traducción con IA no puede satisfacer.
Lo que la HIPAA dice sobre la PHI y las herramientas de IA
La Regla de Privacidad de la HIPAA restringe la forma en que las entidades cubiertas —incluidos hospitales, clínicas, aseguradoras y sus asociados comerciales— pueden usar, divulgar y transmitir la PHI. La PHI abarca cualquier información de salud que identifique de manera individual a una persona: nombres de pacientes, fechas de nacimiento, diagnósticos, expedientes de tratamiento, resultados de laboratorio, listas de medicamentos y más.
Cuando un trabajador de la salud copia información de un paciente en una herramienta de IA basada en la nube, como ChatGPT, Google Translate o DeepL, está transmitiendo PHI a un proveedor tecnológico externo. A menos que ese proveedor haya firmado un Acuerdo de Asociado Comercial (BAA) con la entidad cubierta, esa transmisión constituye una violación de la HIPAA. Al momento de escribir esto, la mayoría de las herramientas de traducción con IA de consumo no ofrecen BAA, y sus términos de servicio a menudo establecen de forma explícita que los datos que ingresa el usuario pueden usarse para entrenar modelos, almacenarse en servidores o ser consultados por los empleados del proveedor.
Las implicaciones son considerables. Aunque la IA produzca una traducción perfecta, el solo hecho de enviar datos de un paciente a un tercero no autorizado constituye una filtración. Bajo el marco sancionador de la HIPAA, las multas van desde $141 por infracción cometida sin conocimiento hasta $2,134,831 por infracción por negligencia deliberada que no se corrige. La Oficina de Derechos Civiles (OCR) del Departamento de Salud y Servicios Humanos ha enfocado cada vez más su labor sancionadora en las divulgaciones no autorizadas a través de plataformas tecnológicas.
Cómo pegar texto en ChatGPT viola la HIPAA
Para ilustrar el riesgo de forma concreta, considere un escenario común: un coordinador de altas hospitalarias necesita traducir del inglés al español las instrucciones de alta de un paciente. El coordinador abre ChatGPT, pega el resumen de alta —que contiene el nombre del paciente, el diagnóstico, los medicamentos y las instrucciones de seguimiento— y pide una traducción al español. En ese momento, el coordinador ha:
- Transmitido PHI a un tercero (OpenAI) sin un BAA vigente.
- Perdido el control sobre cómo el proveedor de IA almacena, usa o conserva esos datos.
- Expuesto potencialmente los datos a su uso en el entrenamiento de modelos, lo que en teoría permitiría que otros usuarios los recuperaran.
- No dejado ningún registro de auditoría que el equipo de cumplimiento de la organización pueda revisar.
Este no es un riesgo hipotético. Las investigaciones de la OCR han derivado en acuerdos superiores a $1 millón por divulgaciones no autorizadas relacionadas con plataformas tecnológicas. El hecho de que la divulgación haya sido bienintencionada, con el fin de ayudar a un paciente, no reduce la responsabilidad legal.
Requisitos de acceso lingüístico del Title VI
El Title VI de la Ley de Derechos Civiles aborda el tema desde otro ángulo. No se centra en la privacidad de los datos, sino en los derechos civiles. Conforme al Title VI, toda organización que recibe asistencia financiera federal —lo que incluye prácticamente a todo hospital, clínica y sistema de salud que acepta Medicare o Medicaid— debe tomar medidas razonables para brindar un acceso significativo a sus programas y servicios a las personas con dominio limitado del inglés.
El Departamento de Salud y Servicios Humanos ha emitido lineamientos detallados sobre lo que exige el «acceso significativo». En el caso de los materiales escritos, esto significa proporcionar documentos traducidos que sean exactos, oportunos y apropiados para el público al que se dirigen. Los lineamientos señalan de manera específica que la traducción debe realizarla un traductor calificado y que la traducción automática por sí sola podría no cumplir con el estándar si introduce errores o ambigüedades que afecten la comprensión.
La palabra clave es «calificado». El Title VI no prohíbe de plano la traducción automática, pero exige que el producto traducido final cumpla con un estándar de calidad que garantice que las personas con dominio limitado del inglés puedan comprender la información. Para documentos críticos como formularios de consentimiento, planes de tratamiento y avisos de derechos del paciente, el estándar es alto. Una traducción con IA plagada de frases forzadas, errores de terminología médica o lenguaje culturalmente inapropiado no constituye un acceso significativo, aunque la idea general sea correcta.
Multas y sanciones
La exposición financiera por incumplir la HIPAA y el Title VI es considerable:
- Sanciones de la HIPAA: multas escalonadas que van de $141 a $2,134,831 por infracción, con topes anuales que pueden alcanzar decenas de millones. En los casos de violaciones intencionales o dolosas se aplican sanciones penales, incluida la privación de la libertad.
- Aplicación del Title VI: el principal mecanismo de sanción es la amenaza de perder los fondos federales. Para un sistema hospitalario que depende del reembolso de Medicare y Medicaid, esto representa una amenaza existencial. La OCR también puede remitir casos al Departamento de Justicia para su litigio.
- Litigios privados: los pacientes perjudicados por una traducción deficiente pueden presentar demandas por negligencia médica, y el uso de traducción con IA sin certificar puede utilizarse como prueba de negligencia en la prestación de una atención adecuada.
- Daño a la reputación: la OCR publica sus acciones sancionadoras. Una filtración de la HIPAA que involucre herramientas de IA genera atención mediática que puede dañar la confianza de los pacientes y las relaciones con la comunidad.
La alternativa que sí cumple
La traducción médica que cumple con la normativa requiere un flujo de trabajo que atienda a la vez la HIPAA y el Title VI. Así se ve en la práctica:
Manejo seguro de los datos
La PHI debe transmitirse únicamente por canales cifrados que cumplan con la HIPAA. El proveedor de traducción debe tener un BAA firmado y vigente, y debe mantener controles de seguridad que cumplan con los requisitos de salvaguarda administrativa, física y técnica de la HIPAA. Ningún dato del paciente debe pasar jamás por herramientas de IA de consumo ni por plataformas sin protección.
Traductores humanos calificados
Los traductores que trabajan con documentos médicos deben contar con una competencia demostrada en terminología médica, tanto en el idioma de origen como en el de destino. Deben comprender los flujos de trabajo clínicos, la nomenclatura farmacéutica y el contexto del sistema de salud de los dos países involucrados. Este no es un trabajo para un traductor generalista y, mucho menos, para una IA sin supervisión.
Control de calidad
Los documentos médicos críticos deben pasar por un proceso de revisión que incluya a un segundo lingüista o a un experto en la materia. Esto es especialmente importante en los formularios de consentimiento, donde un error de traducción puede tener consecuencias legales y clínicas directas.
Registro de auditoría
Los flujos de trabajo que cumplen con la normativa mantienen registros de quién tradujo cada documento, cuándo y bajo qué controles de calidad. Esta documentación es esencial para responder a las consultas de la OCR y para demostrar el cumplimiento durante las auditorías.
La IA puede tener un papel en este flujo de trabajo. Los traductores médicos profesionales suelen usar la traducción automática como un primer borrador y luego aplican su experiencia clínica y lingüística para elaborar un producto final exacto. La distinción clave es que el resultado de la IA es una herramienta dentro de un proceso controlado y conforme a la HIPAA, no un sustituto por sí solo de la traducción humana calificada.
¿Necesita traducción médica que cumpla con la HIPAA? Manejamos la PHI de forma segura y con BAA firmados. Obtenga una muestra gratis de 250 palabras.