¿Zoom cumple con HIPAA? Lo que los equipos de salud necesitan saber

Esta es una guía independiente. No está afiliada ni respaldada por Zoom Communications, Inc.

Tu responsable de cumplimiento acaba de señalar las sesiones de terapia que tu equipo realiza en Zoom. Un paciente presentó una queja. Ahora necesitas respuestas rápidas: ¿Zoom cumple con HIPAA y qué debes cambiar antes del lunes?

La respuesta corta es sí, Zoom puede cumplir con HIPAA, pero solo si eliges el plan correcto, firmas un Business Associate Agreement (BAA) y configuras correctamente alrededor de doce ajustes. El plan gratuito y la mayoría de las configuraciones predeterminadas no califican.

Esta guía te muestra exactamente qué planes de Zoom soportan cumplimiento con HIPAA (a marzo de 2026), qué cubre un BAA, cómo proteger tu configuración y dónde Zoom tiene limitaciones. También encontrarás una checklist para tu equipo de TI y respuestas a las preguntas más frecuentes de administradores de salud.

Este artículo es solo informativo y no constituye asesoría legal o médica. Consulta a un profesional calificado en cumplimiento de HIPAA para orientación específica a tu organización.

¿Zoom cumple con HIPAA?

Zoom puede cumplir con HIPAA, pero no lo hace por defecto. Ninguna herramienta de videoconferencia lo hace. El cumplimiento de HIPAA no es una función que puedas activar; es una combinación del plan de software correcto, un acuerdo legal firmado, configuración adecuada y políticas organizacionales.

En la práctica, esto significa que si descargaste Zoom la semana pasada y empezaste a hacer sesiones de telemedicina con el plan gratuito, no cumples con HIPAA. Incluso con un plan de pago, no cumples hasta que firmes un BAA con Zoom y ajustes la configuración de tu cuenta.

Considera el caso de la Dra. Rivera, que tiene una pequeña práctica de salud mental con cuatro terapeutas. Usaron Zoom Basic durante dos años, asumiendo que la encriptación era suficiente. Después de una auditoría de cumplimiento, descubrieron que sin un BAA, cada sesión grabada era una posible violación de HIPAA. La corrección tomó tres días. El estrés duró meses.

A marzo de 2026, Zoom ofrece configuraciones compatibles con HIPAA en planes de pago específicos a través de Zoom for Healthcare. Zoom firma BAAs para cuentas elegibles, cubriendo Zoom Meetings, Zoom Phone, Zoom Team Chat y Zoom Rooms cuando se usan dentro de los términos del acuerdo.

¿Qué planes de Zoom soportan cumplimiento con HIPAA?

No todos los planes de Zoom califican para un BAA. A marzo de 2026, Zoom ofrece configuraciones elegibles para HIPAA en estos planes:

• Zoom Workplace Pro (de pago) con complemento de salud
• Zoom Workplace Business y superiores
• Zoom Workplace Enterprise (incluye funciones dedicadas para salud)
• Zoom for Healthcare (plan específico con integraciones de historiales clínicos electrónicos)

El plan gratuito Zoom Basic no califica para BAA. Las cuentas personales Pro sin el complemento de salud tampoco.

Los nombres de planes, elegibilidad para BAA y precios cambian con frecuencia. Visita zoom.us/pricing o contacta al equipo de ventas de Zoom para confirmar las opciones actuales antes de tomar decisiones de cumplimiento.

La diferencia clave entre planes no es solo el BAA. Los planes superiores incluyen funciones que las organizaciones de salud realmente necesitan: salas de espera personalizadas con el nombre de tu consultorio, integración con sistemas de historiales clínicos como Epic y Cerner, y controles administrativos detallados para gestionar quién puede grabar sesiones.

Si estás comparando opciones, nuestra guía sobre alternativas a Microsoft Teams muestra cómo otras plataformas manejan el cumplimiento.

¿Qué es un BAA y por qué importa?

Un Business Associate Agreement (BAA) es un contrato legalmente vinculante entre un proveedor de salud (u otra entidad cubierta) y un proveedor que maneja información de salud protegida. Bajo HIPAA, debes tener un BAA firmado con cada servicio externo que pueda acceder, almacenar o transmitir PHI.

Sin un BAA, no importa qué tan segura sea la encriptación de Zoom. Estás violando HIPAA.

El BAA de Zoom cubre estos productos cuando están configurados correctamente:

• Zoom Meetings (video y audio)
• Zoom Phone
• Zoom Team Chat
• Zoom Rooms
• Zoom Webinars (con restricciones)
• Grabaciones en la nube (cuando están habilitadas bajo los términos del BAA)

Productos no cubiertos por el BAA estándar de Zoom:

• Zoom Apps (aplicaciones de terceros del marketplace)
• Zoom Whiteboard (verifica el estado actual con Zoom)
• Zoom Mail y Calendar
• Cualquier función del plan gratuito

Para solicitar un BAA de Zoom, generalmente necesitas:

1. Tener un plan de pago elegible (Business o superior, o Pro con complemento de salud)
2. Contactar al equipo de ventas de Zoom o a tu representante de cuenta
3. Revisar y firmar el documento BAA
4. Configurar tu cuenta según la guía de implementación HIPAA de Zoom

El proceso de firma del BAA suele tomar de 1 a 5 días hábiles para planes estándar. Las cuentas Enterprise pueden negociar términos personalizados del BAA, lo que puede tomar de 2 a 4 semanas.

Piensa en el BAA como un cinturón de seguridad. El auto (Zoom) puede ser seguro, pero sin el cinturón (BAA), sigues en riesgo en un choque (auditoría o filtración de datos).

Cómo hacer que Zoom cumpla con HIPAA: checklist de configuración

Firmar el BAA es el primer paso. El segundo es configurar tu cuenta de Zoom para que realmente cumpla los requisitos de HIPAA. Zoom proporciona una guía de implementación HIPAA a los firmantes del BAA, pero aquí están los ajustes críticos que tu equipo de TI debe atender.

Configuración de encriptación

• Activa la encriptación de extremo a extremo (E2EE) para reuniones con PHI. Zoom ofrece E2EE como opción, pero no viene activada por defecto. Nota: E2EE desactiva algunas funciones como grabación en la nube, salas de reuniones secundarias y transcripción en vivo.
• Requiere encriptación para endpoints de terceros (H.323/SIP) si usas hardware de sala de conferencias.
• Activa la encriptación AES 256-bit GCM (activada por defecto en todas las reuniones de Zoom desde 2020).

Seguridad de reuniones

• Activa las salas de espera para que los pacientes no caigan en sesiones con otros pacientes.
• Requiere contraseñas para reuniones en cada sesión.
• Desactiva "Unirse antes del anfitrión" para evitar que los pacientes entren a una sala sin supervisión.
• Bloquea la reunión después de que todos los participantes esperados se hayan unido.
• Desactiva la transferencia de archivos en el chat durante reuniones (evita el compartir accidental de PHI por chat).
• Desactiva la grabación en la nube por defecto y actívala solo para sesiones donde la grabación es clínicamente necesaria y el paciente ha dado su consentimiento.

Administración de la cuenta

• Restringe el compartir pantalla solo al anfitrión (evita que los pacientes compartan pantalla accidentalmente).
• Desactiva las funciones de Zoom AI Companion para reuniones con PHI, a menos que estén explícitamente cubiertas en tu BAA.
• Desactiva la transcripción de reuniones a menos que sea necesaria y se tenga consentimiento.
• Usa dominios gestionados para que solo direcciones de correo autorizadas accedan a tu organización en Zoom.
• Activa la autenticación de dos factores (2FA) para todas las cuentas de usuario.
• Configura tiempos de espera automáticos para cuentas inactivas.

Grabación y almacenamiento

• Si necesitas usar grabación en la nube, asegúrate de que tu BAA la cubra explícitamente y que el acceso esté restringido a personal autorizado.
• Las grabaciones locales mantienen datos en tu propia infraestructura pero requieren tu propia encriptación y controles de acceso.
• Elimina las grabaciones cuando ya no sean clínicamente necesarias (establece una política de retención).

Para organizaciones que necesitan ayuda para configurar reuniones virtuales de forma segura, tenemos una guía paso a paso por separado.

¿Zoom cumple con HIPAA para telemedicina y psicoterapia?

Esta es la pregunta más frecuente entre los profesionales de salud, y la respuesta tiene matices.

Para telemedicina en general, los planes de Zoom compatibles con HIPAA funcionan bien. La plataforma soporta consultas de video individuales, sesiones de terapia grupal e incluso revisiones de monitoreo remoto de pacientes. A marzo de 2026, Zoom for Healthcare incluye funciones diseñadas específicamente para telemedicina: salas de espera virtuales, integraciones con historiales clínicos Epic y Cerner, y herramientas de flujo de trabajo clínico.

Para psicoterapia y salud mental, se necesita precaución adicional. Los terapeutas manejan PHI especialmente sensible (registros de abuso de sustancias, diagnósticos de salud mental, notas de sesión). Considera estos pasos adicionales:

• Nunca uses el AI Companion o la transcripción de Zoom durante sesiones de terapia. Incluso si están cubiertos por el BAA, la transcripción automática de terapia genera un riesgo innecesario.
• Desactiva toda grabación a menos que el paciente dé consentimiento por escrito y la legislación estatal lo permita.
• Usa la sala de espera para que los pacientes de sesiones grupales no se vean entre sí antes de que el anfitrión los admita.
• Capacita al personal sobre qué pueden y qué no pueden decir en el chat de Zoom durante las sesiones (los registros de chat pueden almacenarse).

Una práctica de terapia grupal tiene cuatro sesiones nocturnas simultáneas. Sin una configuración adecuada de la sala de espera, el Paciente A del grupo de ansiedad accidentalmente se une a la sesión de abuso de sustancias. Los nombres de pacientes visibles en pantalla constituyen una violación de HIPAA. Una configuración adecuada de sala de espera y contraseña previene esto por completo.

¿Y las exenciones de HIPAA de la era COVID? De 2020 a 2023, el Departamento de Salud de EE.UU. (HHS) otorgó discreción en la aplicación para proveedores de telemedicina que usaban herramientas de video para consumidores. Esas exenciones expiraron. A marzo de 2026, las reglas estándar de aplicación de HIPAA se aplican en su totalidad. Usar Zoom sin BAA para telemedicina es una violación.

Si quieres saber cómo crear salas de reuniones secundarias para terapia grupal, nuestra guía cubre el proceso de configuración.

¿Zoom cumple con HIPAA en comparación con Google Meet y Microsoft Teams?

Quienes toman decisiones en el sector salud a menudo comparan Zoom con Google Meet y Microsoft Teams. Así se comparan en cumplimiento de HIPAA a marzo de 2026:

Zoom ofrece una vertical dedicada al sector salud con funciones específicas. Su BAA cubre Meetings, Phone, Chat y Rooms. El plan Zoom for Healthcare incluye integraciones con historiales clínicos y herramientas de flujo de trabajo clínico. La ventaja de Zoom es su conjunto de funciones para telemedicina y que la mayoría de los pacientes ya saben usarlo.

Google Meet (a través de Google Workspace) puede cumplir con HIPAA. Google firma BAAs para los planes Workspace Business, Enterprise y Education Plus. El BAA cubre Meet, Gmail, Drive, Calendar y otras aplicaciones principales de Workspace. Google Meet no tiene las funciones específicas de salud de Zoom (sin integraciones con historiales, sin salas de espera clínicas), pero se integra bien si tu organización ya usa Google Workspace.

Microsoft Teams (a través de Microsoft 365) también soporta cumplimiento con HIPAA. Microsoft firma BAAs para los planes Business, Enterprise y Education. Teams tiene integración profunda con las herramientas de salud de Microsoft, incluyendo la plataforma Microsoft Cloud for Healthcare y Azure Health Data Services. Es más fuerte para organizaciones que ya están en el ecosistema Microsoft.

Las tres pueden cumplir con HIPAA. Tu elección depende de tu infraestructura existente, presupuesto y qué sistema de historiales clínicos usas.

Para equipos que exploran alternativas más allá de las videollamadas tradicionales, consulta las plataformas de reuniones en línea que ofrecen enfoques diferentes para la colaboración virtual.

¿Qué pasa si usas Zoom sin cumplimiento de HIPAA?

Usar Zoom (o cualquier herramienta de video) para manejar PHI sin cumplimiento adecuado no es solo un problema de política. Conlleva consecuencias financieras y legales reales.

Las sanciones de HIPAA se dividen en cuatro niveles según el grado de negligencia:

Montos de sanción ajustados por inflación a 2026. Fuente: HHS Office for Civil Rights.

Más allá de las multas, una violación de HIPAA puede desencadenar:

• Investigaciones de fiscales generales estatales (muchos estados tienen sus propias leyes de privacidad de salud con sanciones separadas)
• Demandas de pacientes por negligencia o violación de confidencialidad
• Pérdida de licencia profesional para proveedores individuales
• Daño reputacional que lleva a los pacientes a buscar otras clínicas
• Notificación obligatoria de la violación a cada paciente afectado, al HHS y (para violaciones de más de 500 registros) a medios locales

Las violaciones de HIPAA más comunes relacionadas con Zoom no son hackeos dramáticos. Son errores cotidianos: un terapeuta usando Zoom Basic sin BAA, una clínica que nunca desactivó la grabación en la nube, un administrador que compartió un enlace de reunión con el nombre del paciente en la URL. Cada uno de estos es un incidente reportable.

Para consejos sobre cómo llevar mejores reuniones virtuales con prácticas de seguridad adecuadas, consulta nuestra guía sobre reuniones en línea participativas.

Zoom y HIPAA: conclusiones clave

Zoom cumple con HIPAA cuando lo configuras correctamente. Esto es lo que debes hacer esta semana:

1. Verifica tu plan. Necesitas Zoom Workplace Business o superior, o Zoom Pro con el complemento de salud. El plan gratuito no califica.
2. Firma el BAA. Contacta al equipo de ventas de Zoom. No programes otra sesión con pacientes hasta que el BAA esté firmado.
3. Ejecuta la checklist de configuración. Activa salas de espera, requiere contraseñas, activa E2EE para sesiones con PHI, desactiva funciones de IA y restringe la grabación.
4. Capacita a tu personal. El cumplimiento de HIPAA falla más en el factor humano que en el tecnológico. Cada profesional clínico y administrativo que use Zoom necesita entender qué puede y qué no puede hacer.
5. Documenta todo. Mantén el BAA, capturas de configuración, registros de capacitación y plan de respuesta a incidentes en un solo lugar. Los auditores los pedirán.

Zoom es una opción sólida para telemedicina y comunicación en salud cuando está configurado correctamente. La familiaridad de los pacientes, integraciones con historiales clínicos y funciones dedicadas a salud lo convierten en una de las opciones más fuertes del mercado. Pero la responsabilidad del cumplimiento recae en ti, no en Zoom.

Para reuniones de equipo no clínicas como juntas generales, eventos sociales o networking, Flat.social ofrece un enfoque espacial donde los participantes se mueven y conversan de forma natural.

Zoom es una marca registrada de Zoom Communications, Inc. HIPAA es una ley federal de EE.UU. Este sitio no está afiliado, respaldado ni patrocinado por Zoom Communications, Inc.