Parece que los datos se pueden almacenar en el extranjero, pero la ubicación del servicio  y cualquier riesgo adicional debería ser considerado.

  

9. ¿Las reglas de HIPAA permiten que una entidad cubierta o socio comercial utilice un CSP que almacene ePHI en servidores fuera de los Estados Unidos?

     

Sí, siempre que la entidad cubierta (o socio comercial) celebre un acuerdo de socio comercial (BAA) con el CSP y, de lo contrario, cumpla con los requisitos aplicables de las Reglas HIPAA. Sin embargo, si bien las Reglas de HIPAA no incluyen requisitos específicos para la protección de la información de salud protegida electrónica (ePHI) procesada o almacenada por un CSP o cualquier otro socio comercial fuera de los Estados Unidos, la OCR señala que los riesgos para dicho ePHI pueden variar mucho dependiendo de en su ubicación geográfica. En particular, la externalización de almacenamiento u otros servicios para ePHI en el extranjero puede aumentar los riesgos y las vulnerabilidades de la información o presentar consideraciones especiales con respecto a la exigibilidad de la protección de la privacidad y la seguridad sobre los datos. Las entidades cubiertas (y los socios comerciales, incluido el CSP) deben tener en cuenta estos riesgos al realizar el análisis de riesgos y la gestión de riesgos que exige la Regla de seguridad. Consulte 45 CFR §§ 164.308 (a) (1) (ii) (A) y (a) (1) (ii) (B). Por ejemplo, si la ePHI se mantiene en un país donde existen intentos documentados de intento de piratería u otros ataques de malware, se deben considerar dichos riesgos y las entidades deben implementar medidas de seguridad técnicas adecuadas y razonables para hacer frente a dichas amenazas. [ Fuente ]