Devo essere conforme all'HIPAA se sono solo un fornitore per un operatore sanitario?

Sì, se crei, ricevi, conservi o trasmetti Informazioni Sanitarie Protette (PHI) per conto di un'Entità Coperta, sei un Business Associate ai sensi del 45 CFR 160.103 e l'HITECH Act del 2009 applica direttamente a te la Security Rule e la maggior parte della Privacy Rule. Il contratto con l'Entità Coperta deve essere un Business Associate Agreement che soddisfi il 45 CFR 164.504(e). I tuoi subappaltatori downstream che trattano ePHI devono firmare BAA equivalenti con te ai sensi del 164.308(b)(2). Le sanzioni ai sensi del 45 CFR 160.404 raggiungono i 2,13 milioni di USD per categoria di violazione all'anno nel 2026.

Cosa richiede tecnicamente la HIPAA Security Rule?

Tre gruppi di salvaguardie ai sensi del 45 CFR 164.308 (Amministrativa), 164.310 (Fisica) e 164.312 (Tecnica). Le salvaguardie tecniche comprendono: controllo degli accessi (164.312(a) — ID utente univoci, accesso di emergenza, disconnessione automatica, cifratura/decifratura), controlli di audit (164.312(b) — registrare ed esaminare l'attività), integrità (164.312(c) — meccanismo di autenticazione degli ePHI), autenticazione della persona o dell'entità (164.312(d)) e sicurezza della trasmissione (164.312(e) — controlli di integrità e cifratura). La cifratura è «addressable» e non «required», ma in pratica nessun auditor accetta ePHI non cifrati a riposo o in transito nel 2026.

La cifratura mi dà un porto sicuro dalla notifica delle violazioni?

Sì, se e solo se la cifratura soddisfa lo standard delle Linee guida HHS ai sensi della sezione 13402(h) dell'HITECH — NIST SP 800-111 per i dati a riposo (AES-128 minimo, AES-256 consigliato) e crittografia validata NIST SP 800-52 / FIPS 140-2 per i dati in transito (TLS 1.2+). Gli ePHI cifrati vengono resi «inutilizzabili, illeggibili o indecifrabili per persone non autorizzate» e un evento di perdita non è una violazione segnalabile. Le chiavi devono essere gestite separatamente dai dati cifrati; la perdita delle chiavi insieme al testo cifrato è una violazione.

Checklist per lo sviluppo di software HIPAA — Privacy Rule, Security Rule, BAA

Q: Quanto tempo ho per segnalare una violazione?

Ai sensi del 45 CFR 164.404, le Entità Coperte devono notificare gli individui interessati senza ingiustificato ritardo e in ogni caso entro 60 giorni di calendario dalla scoperta. I Business Associate devono notificare all'Entità Coperta entro lo stesso limite di 60 giorni ai sensi del 164.410, ma la maggior parte dei BAA negozia 30 giorni o meno. Se la violazione riguarda 500 o più individui, la notifica all'HHS ai sensi del 164.408 è contestuale alla notifica individuale, più un avviso prominente sui media ai sensi del 164.406. Per meno di 500 individui si invia un registro annuale all'HHS entro 60 giorni dalla fine dell'anno.

Q: Posso usare AWS, GCP, Azure per gli ePHI?

Sì, tutti e tre pubblicano elenchi di servizi idonei all'HIPAA e firmeranno un BAA. Devi (a) firmare il BAA prima di inviare qualsiasi ePHI, (b) limitare i carichi di lavoro ePHI ai soli servizi idonei, (c) implementare i controlli lato cliente richiesti dal BAA — cifratura con chiavi gestite da KMS, IAM con privilegi minimi, conservazione dei log CloudTrail/Cloud Audit Logs/Activity Log, isolamento VPC. Molti servizi adiacenti (es. email consumer, alcuni servizi IA) sono esclusi; verifica l'elenco di idoneità ogni trimestre. Per l'utilizzo di LLM in particolare, AWS Bedrock, Azure OpenAI Service e Vertex AI sono idonei all'HIPAA con BAA; il consumer ChatGPT e Claude.ai non lo sono.

Q: Come si presenta uno SDLC conforme all'HIPAA?

Otto pilastri. (1) Analisi dei rischi documentata ai sensi del 164.308(a)(1)(ii)(A), aggiornata annualmente o dopo modifiche sostanziali. (2) Formazione del personale ai sensi del 164.530(b) per il personale con accesso agli ePHI. (3) Accesso con privilegi minimi con revisioni trimestrali ai sensi del 164.308(a)(4). (4) Log di audit in un archivio a prova di manomissione con conservazione di 6+ anni per soddisfare il 164.316(b)(2). (5) Cifratura a riposo e in transito ai sensi delle linee guida HITECH. (6) Backup e disaster recovery conformi alla pianificazione della contingenza del 164.308(a)(7). (7) Catena BAA mappata e aggiornata annualmente. (8) Runbook di risposta agli incidenti con orologio da 60 giorni integrato, testato due volte l'anno.

Sophie Laurent Legal & Compliance Lead, YuSMP Group · Esperta di GDPR, HIPAA e Regolamento UE sull'IA

L'HIPAA si applica a me? CE, BA e l'estensione HITECH

L'HIPAA (Legge pubblica 104-191, 1996) e le sue norme al 45 CFR Parti 160 e 164 si applicano direttamente alle Entità Coperte (CE): piani sanitari, clearinghouse sanitarie e fornitori di servizi sanitari che trasmettono qualsiasi informazione sanitaria in forma elettronica in relazione a una transazione per la quale l'HHS ha adottato uno standard (definizione al 45 CFR 160.103).

L'HITECH Act del 2009 e la Omnibus Rule del 2013 hanno esteso la maggior parte della Privacy Rule e tutta la Security Rule direttamente ai Business Associate (BA) — qualsiasi persona o entità che crea, riceve, conserva o trasmette Informazioni Sanitarie Protette per conto di una CE. I BA includono provider cloud, fornitori SaaS, società di fatturazione, servizi di trascrizione, società di analisi dei dati e ora — secondo le linee guida sub-regolamentari dell'HHS — i provider di inferenza IA quando i PHI li attraversano.

Se sviluppi software che tratta Informazioni Sanitarie Protette, quasi certamente sei un Business Associate. Il test dell'HHS è funzionale: hai accesso ai PHI nel corso della fornitura di servizi a una CE? Se sì, si applicano lo status di BA e il requisito del BAA, indipendentemente dalla formulazione contrattuale.

Si noti l'eccezione per lo status di «conduit» (Linee guida HHS, 2013): i servizi di pura trasmissione (ISP, servizi postali) che accedono ai PHI solo in modo transitorio non sono BA. I provider cloud esplicitamente non si qualificano per l'eccezione conduit secondo le stesse linee guida, perché conservano i PHI anche solo momentaneamente.

Livelli sanzionatori 2026 e postura di enforcement dell'HHS

Le sanzioni pecuniarie civili ai sensi del 45 CFR 160.404, adeguate all'inflazione nell'aggiornamento del Federal Register del 2024, seguono una scala graduata per colpevolezza. Le cifre del 2026, secondo l'ultimo adeguamento HHS:

Livello	Colpevolezza	Per violazione	Massimale annuo per categoria
1	Non sapeva e non avrebbe potuto sapere	USD 141–71.162	USD 2.134.831
2	Causa ragionevole	USD 1.424–71.162	USD 142.322 (ai sensi della sentenza HITECH del 2021)
3	Negligenza intenzionale, corretta entro 30 giorni	USD 14.232–71.162	USD 355.808
4	Negligenza intenzionale, non corretta	Da USD 71.162	USD 2.134.831

Le sanzioni penali ai sensi del 42 USC 1320d-6 prevedono pene detentive da 1 a 10 anni per le violazioni intenzionali e per i reati commessi con l'intento di vendere PHI a scopo di lucro. I Procuratori Generali degli Stati hanno anche potere di enforcement conferito dall'HITECH. Nel 2024–2025 gli accordi di risoluzione OCR si sono attestati costantemente nella fascia USD 1–5 milioni, con i settlement di Anthem e Premera che continuano a segnare il limite superiore.

L'HHS ha pubblicato un avviso di proposta di regolamentazione nel dicembre 2024 per rafforzare la Security Rule, tra cui: rendere la maggior parte delle specifiche «addressable» come «required», rendere obbligatoria l'autenticazione a più fattori, la cifratura degli ePHI a riposo e in transito per impostazione predefinita, inventari degli asset e audit di conformità annuali. Trattiamo l'NPRM come lo standard operativo per qualsiasi build HIPAA che inizi nel 2026 — la finalizzazione è ampiamente attesa nel 2026–2027.

Elementi essenziali della Privacy Rule (45 CFR 164.500–534)

La Privacy Rule disciplina gli usi e le comunicazioni di PHI in qualsiasi forma (cartacea, orale, elettronica). Per i costruttori di software, le disposizioni operative:

164.502 — Usi e comunicazioni in generale. I PHI possono essere utilizzati o comunicati solo come consentito o richiesto dalla Privacy Rule, o come autorizzato dall'individuo.
164.502(b) — Minimo necessario. Limitare i PHI al minimo necessario per la finalità prevista. Nel software: controllo degli accessi basato sui ruoli e visibilità a livello di campo, non «tutti vedono tutto».
164.508 — Autorizzazioni. Marketing, note di psicoterapia, vendita di PHI — richiedono un'autorizzazione scritta specifica. Implementazione: flussi di consenso esplicito con percorsi di revoca.
164.514 — De-identificazione. Due porti sicuri: Determinazione di esperti (statistica) e Safe Harbor (rimozione di 18 identificatori). I dati de-identificati sono al di fuori dell'HIPAA. Tratta la pipeline di de-identificazione come un elemento critico per la sicurezza — la re-identificazione è una violazione.
164.520 — Avviso sulle pratiche in materia di privacy. Richiesto alle CE; i contratti BA spesso richiedono che il BA rispetti la NPP della CE.
164.524 — Diritto di accesso. Gli individui devono poter accedere ai propri PHI entro 30 giorni (è consentita una proroga di 30 giorni). Il software deve supportare l'esportazione dei dati del paziente in formati leggibili dalla macchina (linee guida HHS, iniziativa 2020 OCR right-of-access).
164.526 — Diritto di modifica. I pazienti possono richiedere modifiche; il sistema deve accettare e instradare le richieste di modifica.
164.528 — Resoconto delle comunicazioni. 6 anni di storia per le comunicazioni non relative a trattamento, pagamento, operazioni — il log di audit deve essere progettato per questo fin dal primo giorno.

Salvaguardie tecniche della Security Rule (164.302–318)

La Security Rule disciplina solo gli ePHI (PHI in forma elettronica) ed è la norma con cui i team di sviluppo lavorano ogni giorno. È organizzata in tre gruppi di salvaguardie, ciascuno con «Standard» (obbligatori) e «Specifiche di implementazione» (Required o Addressable). «Addressable» non significa opzionale — significa che devi implementarla o documentare un'alternativa ragionevole e appropriata.

Salvaguardie amministrative — 164.308

164.308(a)(1) Processo di gestione della sicurezza — analisi dei rischi, gestione dei rischi, politica sanzionatoria, revisione dell'attività del sistema informativo. L'analisi dei rischi è il fondamento dell'intero programma della Security Rule; i risultati HHS citano costantemente analisi dei rischi mancanti o obsolete come causa principale nei principali accordi.
164.308(a)(3) Sicurezza del personale — autorizzazione/supervisione, verifica, procedure di terminazione.
164.308(a)(4) Gestione degli accessi alle informazioni — autorizzazione degli accessi, istituzione e modifica. Le revisioni trimestrali degli accessi sono ora considerate la base.
164.308(a)(5) Consapevolezza e formazione in materia di sicurezza — formazione periodica, promemoria di sicurezza, protezione da malware, monitoraggio dei login, gestione delle password.
164.308(a)(6) Procedure per gli incidenti di sicurezza — identificare, rispondere, documentare, mitigare.
164.308(a)(7) Piano di contingenza — backup dei dati, disaster recovery, modalità operativa di emergenza, test e revisione, criticità di applicazioni e dati.
164.308(a)(8) Valutazione — valutazione tecnica e non tecnica periodica rispetto allo standard.
164.308(b) Contratti con i Business Associate — assicurazioni scritte soddisfacenti (BAA) prima di consentire l'accesso ai BA.

Salvaguardie fisiche — 164.310

Controlli degli accessi alle strutture (164.310(a)), uso e sicurezza delle postazioni di lavoro (164.310(b)/(c)), controlli dei dispositivi e dei supporti incluso lo smaltimento, il riutilizzo, la responsabilità e il backup (164.310(d)). Per i SaaS cloud-native i controlli fisici sono in gran parte ereditati dal BAA cloud, ma le politiche per le postazioni di lavoro dei laptop degli sviluppatori che trattano ePHI in ambienti non di produzione sono ancora di tua responsabilità.

Salvaguardie tecniche — 164.312

Questa è la sezione che il tuo team di ingegneria deve implementare direttamente. Cinque standard:

164.312(a) Controllo degli accessi. Identificazione univoca dell'utente (Required), procedura di accesso di emergenza (Required), disconnessione automatica (Addressable — in pratica required), cifratura e decifratura (Addressable — in pratica required).
164.312(b) Controlli di audit. Meccanismi hardware, software e procedurali che registrano ed esaminano l'attività nei sistemi informativi contenenti ePHI. Nessuna conservazione specificata, ma il 164.316(b)(2) fissa 6 anni per la documentazione correlata.
164.312(c) Integrità. Meccanismo per autenticare gli ePHI — proteggerli da alterazione o distruzione impropria. Hash crittografici, firme digitali, archiviazione write-once per i log di audit.
164.312(d) Autenticazione della persona o dell'entità. Verificare l'identità prima di concedere l'accesso. L'MFA è ora considerata la base.
164.312(e) Sicurezza della trasmissione. Controlli di integrità e cifratura degli ePHI in transito. TLS 1.2+ ovunque, senza eccezioni.

Notifica delle violazioni: l'orologio da 60 giorni (164.400–414)

La notifica delle violazioni è stata aggiunta dall'HITECH e codificata al 45 CFR Sottoparte D. Una «violazione» è l'acquisizione, l'accesso, l'uso o la comunicazione di PHI non protetti in modo non consentito dalla Privacy Rule e che compromette la sicurezza o la privacy (164.402). Una valutazione del rischio a quattro fattori determina se è richiesta la notifica; la presunzione è che un uso o una comunicazione non consentita sia una violazione a meno che l'analisi a quattro fattori non dimostri una bassa probabilità di compromissione.

Soglia	Obbligo CE	Obbligo BA
Qualsiasi violazione, <500 individui	Notificare agli individui entro 60 giorni (164.404); registro HHS annuale entro 60 giorni dalla fine dell'anno (164.408)	Notificare alla CE entro 60 giorni (164.410), in genere negoziato a 5–30
Violazione, 500+ individui in uno Stato/giurisdizione	Notificare agli individui, all'HHS e ai principali organi di stampa (164.406) senza ingiustificato ritardo, entro 60 giorni al massimo	Notificare alla CE ai sensi del BAA

Il porto sicuro: se i PHI erano cifrati secondo lo standard delle linee guida HHS/HITECH (NIST SP 800-111 a riposo, TLS FIPS 140-2 validato NIST SP 800-52 in transito), l'evento di perdita non è una violazione segnalabile. La cifratura è il singolo controllo con il maggiore impatto in tutto lo stack tecnico HIPAA.

BAA e la catena dei subappaltatori

Il requisito del BAA al 45 CFR 164.504(e) non è negoziabile. Elementi obbligatori:

Usi e comunicazioni consentiti e obbligatori dei PHI da parte del BA.
Il BA non utilizzerà né comunicherà PHI se non come consentito o richiesto.
Il BA implementerà salvaguardie appropriate (Security Rule per gli ePHI).
Il BA segnalerà le violazioni e gli incidenti di sicurezza.
Il BA garantirà che i subappaltatori accettino le stesse restrizioni (164.308(b)(2), 164.502(e)(1)(ii)).
Il BA renderà disponibili i PHI per l'accesso individuale, la modifica e il resoconto.
Il BA restituirà o distruggerà i PHI alla cessazione del rapporto (se fattibile).
Il BA renderà disponibili le pratiche di conformità all'HHS.
Risoluzione per violazione sostanziale.

Crea subito un inventario dei BAA se non ne hai uno. Vediamo programmi in cui Postgres su un'istanza RDS idonea all'HIPAA è correttamente coperto da BAA, ma i log confluiscono in uno stack di osservabilità non idoneo all'HIPAA — una violazione istantanea. Ogni servizio downstream che anche solo transitoriamente vede ePHI necessita di un BAA.

Team di ingegneria che rivede le prove di conformità HIPAA — La catena BAA è l'area più controllata negli audit HIPAA. Mappala visivamente; aggiornala annualmente; filtra ogni nuovo servizio attraverso di essa.

Cloud, LLM, mobile e IoT — gli ePHI negli stack moderni

Le realtà HIPAA moderne vanno ben oltre ciò che il legislatore del 1996 immaginava. Implicazioni pratiche:

Cloud. AWS, GCP, Azure pubblicano elenchi di servizi idonei all'HIPAA. Firma il BAA prima di inviare ePHI. Limita i carichi di lavoro ePHI ai soli servizi idonei. Attenzione ai servizi «shadow» che gli analisti attivano.
LLM. AWS Bedrock, Azure OpenAI Service e Vertex AI offrono utilizzo coperto da BAA. Il consumer ChatGPT e Claude.ai non sono coperti da BAA — anche incollare PHI in una console per sviluppatori è una violazione. Per la RAG su PHI, l'embedding store, il DB vettoriale e i log di recupero contengono tutti ePHI e necessitano di copertura BAA completa. Il nostro servizio di sviluppo software HIPAA-compliant tratta lo stack LLM come una superficie ePHI di prima classe.
Mobile. Le app iOS e Android per la salute che trattano PHI devono usare Keychain/Keystore per le credenziali, applicare un'autenticazione biometrica o tramite PIN, disabilitare il backup degli ePHI su iCloud/Google Drive dell'utente a meno che non siano coperti da BAA (nessuno dei due lo è), e agganciare i certificati.
IoT e monitoraggio remoto. Cifratura del trasporto dal dispositivo al cloud, rotazione dell'identità del dispositivo, avvio sicuro e log a prova di manomissione. Sovrapposizione della FDA 510(k) per i dispositivi di classe II/III.

Uno SDLC conforme all'HIPAA in 8 pilastri

Analisi dei rischi ai sensi del 164.308(a)(1)(ii)(A), aggiornata annualmente e dopo modifiche sostanziali. Usa la metodologia NIST 800-30; gli auditor la riconoscono.
Formazione del personale ai sensi del 164.530(b) per chiunque tratti PHI; documentata in un LMS con attestazioni di completamento.
Accesso con privilegi minimi con revisioni trimestrali ai sensi del 164.308(a)(4); provisioning SCIM, JIT per l'accesso alla produzione, definizioni dei ruoli con versioning.
Log di audit in un archivio a prova di manomissione (object lock, append-only) con conservazione di 6+ anni per soddisfare il 164.316(b)(2); registra ogni lettura, scrittura, cancellazione ed esportazione di PHI, con utente, timestamp, IP sorgente e identificatore del record.
Cifratura a riposo (AES-256, chiavi gestite da KMS) e in transito (TLS 1.2+, moduli crittografici validati FIPS 140-2 ove fattibile); BYOK per i tenant enterprise.
Backup, DR e piano di contingenza testato ai sensi del 164.308(a)(7); RTO/RPO documentati per sistema, restore testato almeno annualmente.
Catena BAA mappata, aggiornata annualmente, filtrata attraverso gli acquisti.
Runbook di risposta agli incidenti con orologio da 60 giorni integrato, testato due volte l'anno tramite simulazioni, integrato con il paging on-call.

La checklist tecnica che gli auditor utilizzano davvero

ID utente univoci — nessun account condiviso, mai.
MFA obbligatorio per ogni account con accesso ai PHI, senza eccezioni per «comodità dell'amministratore».
Timeout di sessione ≤ 15 minuti per le interfacce cliniche, ≤ 30 per il back-office.
Disconnessione automatica implementata e testata.
Cifratura a riposo con chiavi gestite da KMS; politica di rotazione delle chiavi documentata e applicata.
TLS 1.2+ ovunque; cifrature deboli disabilitate; HSTS preload.
Log di audit append-only, immutabili, con verifica dell'integrità (HMAC o firmati); conservazione di 6 anni.
Traccia di audit per l'esportazione di PHI con risoluzione a livello di campo.
Pipeline di de-identificazione validata rispetto a Safe Harbor o Determinazione di esperti, con rischio di re-identificazione ritestato annualmente.
Accesso al database di produzione solo tramite JIT, ogni sessione registrata.
Backup cifrati, geograficamente diversificati, testati per il restore.
Inventario BAA aggiornato; ogni servizio che tratta PHI nell'ambito.
Analisi dei rischi aggiornata, firmata, datata negli ultimi 12 mesi.
Runbook di risposta agli incidenti aggiornato, ultima simulazione negli ultimi 6 mesi.
Registri di formazione del personale aggiornati, ultimo ciclo negli ultimi 12 mesi.

Le 10 principali violazioni che riscontriamo nelle revisioni pre-audit

Analisi dei rischi mancante o obsoleta da 3+ anni.
Log che confluiscono in un fornitore di osservabilità non coperto da BAA (Datadog predefinito, Sentry predefinito, ecc.).
Accesso «shadow» degli sviluppatori alla produzione senza JIT, senza registrazione.
Account di servizio condivisi, spesso residui dell'era di sviluppo.
De-identificazione implementata come SQL ad hoc, non come pipeline validata.
App mobile che memorizza nella cache PHI nello storage locale senza cifratura.
ChatGPT o Claude.ai utilizzati dal personale di supporto con PHI reali — violazione istantanea.
Backup cifrati in transito ma archiviati in chiaro su una cache CDN.
Nessun BAA con il provider email nonostante i PHI presenti nei corpi dei ticket di supporto.
Il runbook di risposta agli incidenti fa riferimento all'orologio da 60 giorni ma nessuno lo ha attivato in 18 mesi.

Se stai pianificando una build HealthTech o remediando un programma HIPAA, eseguiamo gap assessment a prezzo fisso tramite il servizio di sviluppo software HIPAA-compliant; li abbiamo realizzati in tandem con progetti di sviluppo SaaS e sviluppo software su misura, e un Fractional CTO con esperienza HIPAA in genere si ripaga entro i primi due mesi solo in termini di riduzione del rischio.

FAQ

Devo essere conforme all'HIPAA se sono solo un fornitore?

Se crei, ricevi, conservi o trasmetti PHI per conto di un'Entità Coperta, sì — sei un Business Associate ai sensi del 45 CFR 160.103, si applicano direttamente a te la Security Rule estesa dall'HITECH e la maggior parte della Privacy Rule, e hai l'obbligo di un BAA.

Cosa richiede tecnicamente la Security Rule?

Salvaguardie tecniche del 164.312: controllo degli accessi con ID univoci e accesso di emergenza (164.312(a)), controlli di audit (164.312(b)), integrità (164.312(c)), autenticazione (164.312(d)) — con MFA come soglia del 2026 — e sicurezza della trasmissione con TLS 1.2+ (164.312(e)).

Quanto tempo ho per segnalare una violazione?

CE: notificare agli individui entro 60 giorni dalla scoperta (164.404); HHS contestualmente se 500+; registro annuale se <500. BA: notificare alla CE entro 60 giorni (164.410), di solito contrattualmente ridotto a 5–30.

La cifratura dà un porto sicuro dalla notifica delle violazioni?

Sì, se cifrata secondo lo standard delle linee guida HHS/HITECH — NIST 800-111 a riposo, NIST 800-52 / FIPS 140-2 in transito. Le chiavi devono essere separate dal testo cifrato.

Posso usare AWS, GCP, Azure per gli ePHI?

Sì — firma il BAA prima, limita ai servizi idonei all'HIPAA, implementa la cifratura KMS, IAM con privilegi minimi, log di audit completi, isolamento VPC. Verifica l'elenco di idoneità ogni trimestre.

Come si presenta uno SDLC conforme all'HIPAA?

Otto pilastri: analisi dei rischi, formazione del personale, accesso con privilegi minimi, log di audit con conservazione di 6 anni, cifratura, piano di contingenza, catena BAA, risposta agli incidenti con orologio da 60 giorni integrato.

L'HIPAA non è una checklist. È una postura operativa.

I team che realizzano build HIPAA correttamente trattano la conformità come un artefatto di build-time: acquisti filtrati dal BAA, servizi cifrati per impostazione predefinita, log di audit generati dal framework e non a mano, MFA applicato dal primo giorno, analisi dei rischi in calendario. I team che trattano l'HIPAA come un audit di fine progetto mancano sempre qualcosa di sostanziale e ne pagano le conseguenze durante un'indagine OCR.

Ultimo aggiornamento: 26 maggio 2026. I riferimenti alle sezioni si intendono al 45 CFR Parti 160 e 164. Nulla in questo articolo costituisce consulenza legale per una situazione specifica.

Servizi correlati

Copertina del servizio di software HIPAA-compliant

Richiedi una proposta

Condividi alcuni dettagli e un consulente senior risponderà entro un giorno lavorativo.

Preferisci parlare direttamente? ☎ Chiama +374 44 871 811 ✉ [email protected]