Mira
English

Llámenos directamente

801-341-9304
Cumplimiento

HIPAA e IA: Cómo Mira™ Maneja la Información de Salud Protegida

10 de junio de 2026 · Mira

Volver al blog
HIPAA e IA: Cómo Mira™ Maneja la Información de Salud Protegida

Cuando construimos las funciones de IA de Mira™, tomamos una decisión temprana: tratar cada posible exposición de PHI como una restricción de ingeniería estricta, no como un compromiso en un documento de política. La diferencia entre esos dos enfoques se mide en informes de incidentes de brechas.

Esta publicación es la respuesta técnica y de cumplimiento a la pregunta que hará su director de TI, oficial de cumplimiento o equipo legal antes de aprobar una plataforma de facturación habilitada con IA: ¿qué sucede exactamente con la información de salud protegida cuando se ejecutan sus funciones de IA?

Por Qué el Enfoque de Mira™ Es Diferente

La mayoría de los productos de IA en salud comienzan con un modelo de lenguaje y luego determinan los requisitos de cumplimiento a posteriori. Nosotros comenzamos con los requisitos de cumplimiento y luego construimos la capa de IA dentro de esas restricciones.

La arquitectura central tiene cuatro propiedades:

BAA obligatorio. Ninguna función de IA que acceda a datos de pacientes se ejecuta contra ningún proveedor externo de IA a menos que haya un Acuerdo de Socio Comercial (BAA) vigente entre Mira™ y ese proveedor. Esto no es una opción que se configura — es una restricción estricta en el sistema. Si no existe un BAA para un proveedor determinado, las solicitudes a ese proveedor fallan de forma segura. No hacemos una llamada de API sin restricciones como respaldo.

Autorización por organización, desactivado por defecto. Cada función de IA está deshabilitada para cada nueva cuenta de organización de Mira™ de forma predeterminada. El administrador de una organización debe habilitar explícitamente cada función a través del panel de configuración de administración de Mira™. No hay ningún escenario en que una función que accede a datos de pacientes se active sin que un administrador tome una decisión deliberada.

Registro de auditoría, solo longitud. Cada llamada de función de IA se registra en el historial de auditoría inmutable de Mira™. La entrada del registro registra: la función que se ejecutó, la marca de tiempo, el ID de la organización, el ID del usuario y la longitud del prompt en caracteres. El registro no registra el contenido del prompt. Este diseño significa que su equipo de cumplimiento tiene un registro completo de los patrones de uso de IA sin que el registro en sí se convierta en una superficie de exposición de PHI.

Falla segura. Si un proveedor de IA no está disponible o devuelve un error, la función falla con un mensaje de error al usuario. No reintenta con un proveedor menos restringido, degrada el registro ni omite silenciosamente el registro de auditoría. El estado seguro para cualquier condición inesperada es desactivado.

Qué Enviamos — y Qué No

La pregunta de cumplimiento más importante es: ¿qué datos salen de Mira™ y van a un proveedor externo de IA?

La respuesta depende de la función y de qué proveedores están configurados para su organización. Aquí está el principio general: Mira™ envía los datos mínimos necesarios para generar una respuesta útil, preprocesados para eliminar cualquier cosa que no sea necesaria para la consulta.

Para el generador de resúmenes IDG, eso significa datos de resumen clínico estructurado — códigos de diagnóstico, elementos actuales del plan de cuidado, resúmenes de tendencias de signos vitales recientes — no notas clínicas completas en texto libre. Para la función de predicción de denegaciones, eso significa los datos del reclamo y el historial de facturación relevante — sin datos demográficos del paciente más allá de lo que está codificado en el propio reclamo.

Para las funciones que procesan documentación clínica en texto libre (el asistente de documentación de admisión y el sintetizador de notas de visita), ese texto se envía al proveedor de IA. Esto es por diseño — resumir una nota clínica requiere leer la nota clínica. También es por eso que esas funciones requieren BAA y autorización explícita de la organización. Usted está tomando una decisión deliberada, auditada y autorizada por el administrador de enviar esos datos a un procesador externo que opera bajo un BAA.

Lo que nunca enviamos, bajo ninguna configuración: identificadores directos del paciente (nombre, SSN, MRN) más allá de lo que es estándar en una estructura de datos clínicos correctamente desidentificada. La capa de preprocesamiento elimina los identificadores antes de que se ensamble cualquier prompt.

Las Siete Funciones de IA y Sus Proveedores

La primera versión de Mira™ incluye siete funciones de IA. Aquí se muestra cómo cada una se corresponde con los requisitos de BAA y autorización:

FunciónCategoría de datosBAA requeridoAutorización del admin requerida
Generador de Resúmenes IDGResumen clínico estructurado
Asistente de Documentación de AdmisiónNotas clínicas en texto libre
Predicción de DenegacionesDatos de reclamos, historial de facturación
Redacción de Apelaciones Asistida por IADetalles de denegación, contexto del reclamo
Sugerencias de Códigos de FacturaciónCódigos de diagnóstico, contexto de procedimiento
Sintetizador de Notas de VisitaNotas clínicas en texto libre
Chatbot Familiar BilingüeExpediente del paciente (solo elementos documentados)

Las siete requieren un BAA. Las siete requieren autorización del administrador. Ninguna se activa automáticamente.

Los proveedores de IA específicos disponibles para cada función están documentados en el panel de administración de Mira™ bajo Configuración de IA. Mira™ es compatible con Anthropic y endpoints compatibles con OpenAI como proveedores externos, además de un proveedor nulo (sin operación) que permite a su equipo probar flujos de funciones de IA en entornos de prueba sin enviar datos externamente.

El Proceso de Autorización del Administrador

Habilitar una función de IA en Mira™ requiere una acción deliberada del administrador. Aquí está la secuencia:

  1. Inicie sesión como administrador de la organización en usemirahealth.com/es.
  2. Navegue a Configuración → Funciones de IA.
  3. Cada una de las siete funciones aparece con su estado actual (deshabilitado por defecto) y una descripción de los datos que procesa.
  4. Para habilitar una función, haga clic en el interruptor. Un cuadro de diálogo de confirmación muestra la categoría de datos, el requisito de BAA y el comportamiento de registro de auditoría. Haga clic en Confirmar para habilitar.
  5. El cambio se registra en el registro de auditoría de la organización con el ID de usuario del administrador y la marca de tiempo.

Las funciones se pueden deshabilitar en cualquier momento usando el mismo interruptor. Deshabilitar una función es inmediato — las solicitudes en curso se completan, pero no se procesan nuevas solicitudes.

Satisfaciendo la Diligencia Debida

Si su organización requiere una revisión formal antes de habilitar las funciones de IA, Mira™ puede proporcionar:

  • Las plantillas actuales de Acuerdo de Socio Comercial para cada proveedor de IA configurado
  • Los diagramas de flujo de datos para cada función de IA
  • Una exportación de muestra del registro de auditoría que demuestra el formato de solo longitud
  • La documentación de arquitectura de seguridad que cubre el cifrado en reposo y en tránsito

Solicite estos elementos a través de su gerente de cuenta de Mira™ o vía usemirahealth.com/es/contact.

El objetivo de esta arquitectura no es hacer desaparecer la revisión de cumplimiento — es hacer que las respuestas a cada pregunta de cumplimiento sean específicas, verificables y documentadas. Si su equipo legal u oficial de cumplimiento tiene preguntas que esta publicación no aborda, queremos esas preguntas.


Lectura adicional: Política de privacidad · Descripción general de la plataforma · Contacto para solicitudes de diligencia debida

¿Listo para optimizar su facturación?

Contacte a CPS Facturación Médica para conocer cómo podemos ayudar a su organización a maximizar ingresos y reducir denegaciones de reclamos.

Comenzar