Datos de salud y productos y servicios de Adobe

[Última actualización: marzo de 2025]

Adobe está ampliando Healthcare Shield para ofrecer servicios compatibles con datos de salud que acepten información sanitaria de clientes que pueda regirse por las leyes y normativas de privacidad aplicables al sector sanitario. Quienes utilicen los productos y servicios compatibles con datos de salud de Adobe podrán enviar a Adobe categorías adicionales de este tipo de datos de cliente, además del caso de uso actual correspondiente al envío de información de salud protegida (PHI), regulada por la Ley de Portabilidad y Responsabilidad de Seguros Médicos de 1995 (“HIPAA”).

Adobe recomienda a sus clientes que evalúen sus necesidades para determinar qué producto se adapta mejor a su caso de uso. Quienes tengan interés en obtener más información sobre los servicios de Adobe compatibles con la HIPAA pueden acceder aquí.

Trabajar con datos relacionados con la salud

La ampliación de Healthcare Shield de Adobe permite el envío de datos de salud de clientes que no tienen por qué encajar en la definición de PHI.

Adobe ofrece a quienes procesan datos de salud de cliente, pero no pertenecen al sector sanitario, servicios preparados para aceptar esta información, denominados Servicios compatibles con datos de salud. Estos Servicios cuentan con características y funciones adicionales que permiten a la clientela, que no tiene por qué pertenecer a la categoría de Entidades cubiertas o Socios comerciales en virtud de la HIPAA, pero que aun así puede procesar datos de salud de cliente, cumplir con las normativas de privacidad y seguridad pertinentes. Estas funciones adicionales pueden incrementar el coste de la licencia o suscripción correspondiente.

No se permite a la clientela crear, recibir, mantener ni transmitir datos de salud de clientes a través de productos y servicios de Adobe que no sean Servicios compatibles con datos de salud, ya que Adobe no ha diseñado estos servicios para respaldar el cumplimiento de las normativas relativas a los datos de salud por las que se rigen la clientela y Adobe.

En este momento, los Servicios compatibles con datos de salud están disponibles únicamente para clientes que se encuentran en EE. UU.

La lista actual de Servicios compatibles con datos de salud incluye los siguientes:

Adobe Customer Journey Analytics (CJA) ¹
Adobe Journey Optimizer (AJO) ²
Adobe Real-Time Customer Data Platform (RTCDP) B2P (público consumidor) Ediciones Prime y Ultimate ³
Adobe Real-Time Customer Data Platform (RTCDP) B2C Ediciones Prime y Ultimate ³

Se puede encontrar más información sobre cómo utilizar las soluciones de Adobe Experience Cloud en contextos empresariales de asistencia sanitaria y salud y bienestar en nuestro documento técnico, Resumen de las soluciones de Adobe Experience Cloud para el sector sanitario, en el Centro de confianza de Adobe.

¹ Excepto CJA Labs. CJA Labs no es un Servicio de CJA compatible con la HIPAA ni con datos de salud. Se puede obtener más información al respecto aquí.
² Excepto la composición de público federado. La composición de público federado no es un Servicio de AJO compatible con la HIPAA ni con datos de salud.
³ Excepto el reenvío de eventos y la composición de público federado. El reenvío de eventos y la composición de público federado no son Servicios de RTCDP compatibles con la HIPAA ni con datos de salud.

Responsabilidades de seguridad compartidas

Los Servicios compatibles con datos de salud de Adobe se basan en un modelo de seguridad de responsabilidad compartida, que exige que tanto la clientela como Adobe asuman responsabilidades específicas para mantener la seguridad de los datos de salud de cliente. En virtud de este modelo de seguridad compartida, Adobe depende de que su cliente implemente una serie de configuraciones que están bajo su control para poder cumplir con los requisitos relativos a los datos de salud de cliente. Adobe también ofrece recomendaciones de configuración para ayudar a sus clientes a satisfacer sus propias obligaciones de cumplimiento a la hora de hacer uso de los Servicios compatibles con datos de salud.

Seguridad de responsabilidad compartida

A continuación, se detalla cómo Adobe ha abordado determinados estándares clave en relación con los datos de salud y se comparten algunas recomendaciones para ayudar a la clientela a cumplir con los requisitos de compatibilidad con datos de salud.

Estándares

Salvaguardas técnicas

Control de acceso

Adobe ha implementado políticas, procedimientos y controles técnicos para asignar identificadores únicos a cada persona usuaria de Adobe (incluida la prevención de la reutilización de identificadores), permitir el acceso a datos de salud solo a personas usuarias autorizadas de Adobe, retirar dicho acceso cuando ya no sea necesario, y permitir la revelación de datos de salud en caso de emergencia. Adobe también proporciona a sus clientes las herramientas necesarias para controlar qué personas usuarias tienen acceso a datos de salud.

Cifrado y descifrado

Adobe permite cifrar datos de salud transmitidos a través de redes públicas y en reposo. Si alguien utiliza Servicios compatibles con datos de salud para transmitir o almacenar datos de salud sin cifrar, deberá dejar constancia del motivo por el que considera que el cifrado no es razonable ni apropiado.

Controles de auditoría

Adobe ha implementado controles para acceder y registrar la actividad de las personas usuarias en Real-Time Customer Data Platform.

Tiempo de espera de sesión

Los sistemas de Adobe están configurados para cerrar las sesiones inactivas del personal autorizado y las personas usuarias cuando los utilicen para acceder o compartir datos de salud después de un lapso de tiempo predefinido o cuando la persona usuaria finalice la sesión.

Controles de integridad

Adobe ha implementado medidas de seguridad técnicas para garantizar que los datos de salud no se modifiquen ni destruyan indebidamente. Se puede obtener más información en www.adobe.com.

Estándares

Salvaguardas administrativas

Análisis y gestión de riesgos

Adobe ha implementado medidas para reducir los riesgos a un nivel razonable y apropiado, lo que conlleva la realización de su propio análisis de riesgos y la implementación de un plan de gestión de riesgos con respecto a los datos de salud que Adobe mantiene. Adobe recomienda que sus clientes realicen sus propios análisis de riesgos en los que se tenga en cuenta el uso de los Servicios compatibles con datos de salud y se utilicen las funciones de seguridad de estos Servicios para reducir los riesgos de seguridad a un nivel razonable y apropiado.

Revisión de la actividad de los sistemas de información

Adobe revisa con regularidad los permisos de acceso de sus personas usuarias y recomienda que cada cliente revise periódicamente el acceso de sus personas usuarias a los datos de salud a través de los registros de auditoría disponibles en los Servicios compatibles con datos de salud.

Formación en materia de seguridad para el personal

Adobe ha creado un programa formativo en materia de concienciación sobre seguridad para formar y mantener a la plantilla al tanto de las políticas y los procedimientos de Adobe para salvaguardar los datos de salud, lo que incluye la aplicación de sanciones apropiadas contra el personal que infrinja dichos procedimientos y políticas, y la suspensión de su acceso a los sistemas que almacenen, procesen o transmitan datos de salud. Adobe recomienda a la clientela que formen a sus personas usuarias acerca del uso apropiado de los Servicios compatibles con datos de salud para procesar dichos datos.

Planificación de contingencias

Adobe ha implementado un plan de contingencia y lo somete a pruebas periódicamente, lo que permite la restauración de datos de salud en caso de emergencia, desastre o interrupción. Adobe recomienda que sus clientes mantengan sus propios planes de contingencia para determinar si los datos de salud almacenados en Servicios compatibles con datos de salud deben estar disponibles para cada cliente en una situación de emergencia.

Estándares

Salvaguardas físicas

Acceso y control de instalaciones

Adobe controla quién tiene acceso físico a los lugares donde se reciben, mantienen o transmiten datos de salud, lo que incluye a personal de ingeniería de software, de instalaciones, etc. Adobe cuenta con políticas y procedimientos para proteger e impedir el acceso físico no autorizado, la manipulación y el robo. Adobe recomienda a sus clientes que regulen el acceso físico a las instalaciones desde las que sus personas usuarias acceden a los Servicios compatibles con datos de salud.

Gestión de estaciones de trabajo y dispositivos

Adobe ha implementado políticas y estándares que exigen al personal solicitar una aprobación para acceder a datos de salud, lo que incluye el acceso físico a zonas restringidas, estaciones de trabajo en zonas restringidas, y estaciones de trabajo y monitores con pantallas de privacidad colocadas para que solo pueda verlas la persona autorizada. Adobe recomienda a sus clientes que aborden la seguridad de las estaciones de trabajo empleadas para acceder a los Servicios compatibles con datos de salud.

Gestión de inventario de hardware e infraestructura

Adobe mantiene un inventario exhaustivo del hardware y la infraestructura del personal autorizado para procesar datos de salud, como registros de mantenimiento y de los movimientos de cada elemento.

Eliminación

Adobe ha establecido prácticas y procedimientos para eliminar de forma adecuada los datos de salud, lo que incluye su eliminación antes de trasladar cualquier equipo. Adobe recomienda a sus clientes que identifiquen los dispositivos donde se descargan datos de salud de los Servicios compatibles con datos de salud y se aseguren de que se eliminen correctamente cuando ya no hagan falta.

Copia de seguridad y restauración

Adobe ha implementado medidas de seguridad técnicas para garantizar que los datos de salud no se modifiquen ni destruyan indebidamente. Adobe aconseja a sus clientes que determinen el alcance necesario para realizar copias de seguridad y poder restaurar los datos de salud que se mantienen a través de los Servicios compatibles con datos de salud.

Información adicional

Se puede obtener información sobre la configuración de los Servicios compatibles con la HIPAA en la documentación de producto disponible en Experience League.

BAA de Adobe para Servicios compatibles con la HIPAA

Es necesario ponerse en contacto con representantes de ventas de Adobe o responsables de éxito de cliente para formalizar el BAA de Adobe relativo a los Servicios compatibles con la HIPAA.

Aviso legal

Esta información tiene como objetivo describir cómo Adobe, en calidad de asociado comercial, ha abordado determinados estándares clave de la norma de seguridad de la HIPAA. No debe considerarse asesoramiento legal. Cada cliente es responsable de su uso particular de los Servicios compatibles con la HIPAA y de garantizar que estos Servicios de Adobe satisfagan sus necesidades de cumplimiento normativo.