HIPAA y cumplimiento
¿El fax cumple con HIPAA?
Respuesta corta: sí, faxear datos de salud está permitido por HIPAA, pero un fax solo cumple cuando hay las salvaguardas adecuadas. Aquí verás qué separa un fax listo para HIPAA de una infracción, qué servicios lo cumplen de verdad y cómo se traduce frente al RGPD en España y Latinoamérica.
En resumen: HIPAA nunca prohíbe el fax. La ley pregunta si has tomado medidas razonables para proteger los datos. Con un fax tradicional, eso es sobre todo físico: marca con cuidado y protege la impresión. Con el fax online o en la nube, «cumplir HIPAA» depende ante todo de una cosa: un Business Associate Agreement (BAA) firmado, respaldado por cifrado y controles de auditoría.
Sin BAA, no hay cumplimiento, por mucho que la página de marketing prometa «seguridad de nivel bancario».
Qué hace que un fax cumpla con HIPAA
Para el fax online y en la nube, tu proveedor debe cumplir las cuatro condiciones, no solo la primera que anuncia.
Un BAA firmado
En cuanto un proveedor de fax trata datos de salud por tu cuenta, se convierte en encargado del tratamiento. Sin un Business Associate Agreement (BAA) firmado, usarlo para datos de pacientes es una infracción, por muy buena que sea el cifrado anunciado.
Cifrado en tránsito y en reposo
Los datos de salud deben cifrarse mientras viajan (TLS 1.2 o superior) y mientras residen en los servidores del proveedor (AES-256). Un fax enviado en texto plano a una pasarela de correo no supera esta prueba.
Controles de acceso y registros de auditoría
Inicios de sesión únicos por usuario, permisos por rol, cierre de sesión automático y un registro de quién envió, abrió o descargó cada fax. Los buzones compartidos y las contraseñas genéricas no bastan.
Notificación de brechas
Un proceso documentado para detectar, contener y notificar una filtración. Tu BAA debe detallar las obligaciones del proveedor si los datos de salud quedan expuestos.
Fax tradicional frente a fax online: riesgos distintos
Se suele suponer que el viejo fax es más seguro porque «no toca internet». Solo es verdad a medias. Con el fax analógico, a HIPAA le preocupa la exposición física: un número mal marcado que envía expedientes a un desconocido, o una impresión olvidada en la bandeja. Aplica las salvaguardas habituales —verificar el número, usar portada, mantener la máquina en una zona controlada— y un fax tradicional puede transportar datos de salud bajo HIPAA.
El fax online y en la nube traslada el riesgo al proveedor. Como ahora un tercero transmite y almacena tus faxes, esa empresa es un encargado del tratamiento según HIPAA, y a ti te toca verificarla. La ventaja es real: un buen servicio en la nube ofrece cifrado, registros de acceso y una trazabilidad que una máquina analógica nunca podría —una vez firmado el BAA y activadas las salvaguardas.
El BAA no es negociable
Un Business Associate Agreement es un contrato que hace a tu proveedor de fax legalmente responsable de proteger los datos de salud: cómo los protege, qué hará ante una brecha y que no puede usarlos para otra cosa. Bajo HIPAA, debe estar firmado antes de que cualquier dato de paciente pase por el servicio.
Dos trampas prácticas. Primera: HIPAA suele ser un plan superior, no la opción por defecto —eFax lo reserva a su plan Protect y Fax.Plus a Enterprise—, así que el plan de entrada que contrataste puede no estar cubierto. Segunda: «autodeclarado» no es «auditado»: un proveedor puede anunciar HIPAA en su página y ofrecer el BAA solo «bajo petición», sin publicar informe SOC 2 ni HITRUST. Para datos de salud, exige el BAA firmado y busca una auditoría independiente.
¿Y en España y Latinoamérica? HIPAA no es el RGPD
HIPAA es la ley estadounidense de datos de salud. En España y la UE se aplican el RGPD y la LOPDGDD; en México, la LFPDPPP, y existen leyes equivalentes en Argentina, Colombia y otros países. Los principios coinciden —seguridad, trazabilidad, contrato con el encargado del tratamiento— pero cumplir HIPAA no equivale a cumplir el RGPD ni viceversa. Si manejas datos de salud, mira más allá del BAA: cifrado de extremo a extremo, un contrato de encargo de tratamiento conforme al RGPD y la ubicación de los datos. El BAA importa sobre todo si intercambias con entidades sujetas a HIPAA en EE. UU.
Dónde se rompe el cumplimiento sin avisar: email-to-fax y servicios gratuitos
El fax por correo (email-to-fax) es cómodo y un fallo frecuente. Si envías datos de salud desde un correo normal a una pasarela de fax, el tramo de correo suele viajar sin cifrar antes de convertirse en fax, lo que incumple la seguridad de transmisión de HIPAA. Cuando el documento contiene datos de salud, usa el portal web o la app segura del proveedor (la parte que cubre tu BAA), no el correo normal.
Los servicios gratuitos nunca sirven. No firman BAA ni están diseñados para los requisitos de cifrado, control de acceso y auditoría de HIPAA. El fax gratis es ideal para un documento puntual y no sensible, y una infracción clara en cuanto contiene datos de pacientes.
¿Qué servicios de fax online están listos para HIPAA?
De los servicios de nuestro ranking 2026 —y recuerda: lo que cuenta es el BAA, no el distintivo.
| Servicio | HIPAA | BAA | A tener en cuenta |
|---|---|---|---|
| SRFax | Sí — + PHIPA | Todos los planes | Pensado para la sanidad norteamericana; BAA firmado y cifrado PGP gratis en todos los planes. |
| iFax | Plan Plus y + | Plan Plus y + | BAA desde el plan Plus; SOC 2 + ISO 27001 en Pro. El plan Basic solo envía y no es HIPAA. |
| Documo | Todos los planes | Incluido, sin coste extra | BAA incluido en todos los planes; SOC 2, con API y portal pensados para flujos EHR/EMR. |
| eFax | Solo plan Protect | Protect (~50 $/mes) | Certificado HITRUST, pero el cumplimiento HIPAA solo existe en Protect — los planes Plus y Pro quedan excluidos. |
| Fax.Plus | Solo Enterprise | Bajo petición (Enterprise) | Nuestro n.º 1 general, con ISO 27001 + SOC 2 — pero HIPAA y el BAA solo se activan en el plan Enterprise. |
| CocoFax | Autodeclarado | Bajo petición | Anuncia HIPAA pero sin auditoría pública SOC 2 / HITRUST y con el BAA bajo petición — no lo recomendamos para datos de salud. |
| FaxZero | No | Ninguno | Servicio gratuito sin BAA — válido para faxes no sensibles, nunca para datos de salud. |
Los planes y las condiciones del BAA cambian: confirma siempre el BAA vigente por escrito antes de enviar datos de salud. Para el detalle completo, consulta nuestra guía de los mejores servicios de fax que cumplen HIPAA.
Checklist rápida de cumplimiento
- Consigue el BAA por escrito antes del primer fax con datos de salud, y guarda una copia.
- Confirma que estás en un plan apto para HIPAA, no solo en el plan de entrada.
- Usa el portal o la app segura para datos de salud, no el email-to-fax normal.
- Da a cada usuario un inicio de sesión propio; activa los registros de auditoría y el cierre automático.
- Verifica el número de destino y usa una portada en cada envío.
- Nunca dirijas datos de salud a través de un servicio gratuito o autodeclarado.
Esta guía es información general, no asesoramiento legal. Tus obligaciones dependen de tu organización y de cómo configures el servicio: consulta a tu delegado de protección de datos o a tu asesor legal para tu caso concreto.
Preguntas frecuentes
¿El fax cumple con HIPAA?
Faxear datos de salud está permitido por HIPAA, pero un fax solo cumple con las salvaguardas adecuadas. Para el fax online y en la nube: un BAA firmado, cifrado en tránsito y en reposo, controles de acceso y registros de auditoría, y un proceso de notificación de brechas. Un servicio gratuito, o un fax en la nube sin BAA, no cumple.
¿Necesito un BAA para faxear datos de pacientes?
Sí. Cualquier proveedor que transmita o almacene datos de salud por ti es encargado del tratamiento, y HIPAA exige un BAA firmado antes del primer envío. Sin BAA, no puedes usarlo para datos de salud.
¿El fax analógico tradicional cumple con HIPAA?
Un fax por línea telefónica puede transportar datos de salud bajo HIPAA con salvaguardas razonables: verificar el número, usar portada y proteger la máquina receptora. El riesgo aquí es físico, no la transmisión.
¿El email-to-fax cumple con HIPAA?
Solo si toda la ruta está protegida. Enviar datos de salud desde un correo normal suele transmitir el documento sin cifrar, lo que incumple HIPAA. Usa el portal o la app segura del proveedor, cubiertos por tu BAA.
¿Qué servicios de fax online cumplen con HIPAA?
Los que firman un BAA y cumplen las salvaguardas: SRFax (BAA en todos los planes), iFax (Plus y superiores), Documo (todos los planes), eFax (plan Protect) y Fax.Plus en Enterprise. Los gratuitos como FaxZero nunca, y lo autodeclarado sin auditoría —como CocoFax— no es opción segura para datos de salud.
¿HIPAA y el RGPD son lo mismo?
No. HIPAA es la ley estadounidense; en España se aplican el RGPD y la LOPDGDD, y en México la LFPDPPP. Los principios coinciden, pero cumplir HIPAA no equivale a cumplir el RGPD. Para datos de salud, comprueba también el cifrado, el contrato de encargo de tratamiento y la ubicación de los datos.
Guías relacionadas
¿Necesitas un fax que puedas usar de verdad para datos de salud?
Mira qué proveedores firman un BAA y superan nuestras comprobaciones de seguridad en la guía HIPAA 2026.