HHS define una entidad cubierta como:

1. Un proveedor de atención médica que realiza ciertas transacciones en formato electrónico.
   • medicos
   • Clínicas
   • psicólogos
   • dentistas
   • Hogares de ancianos
   • Farmacias

   Por ejemplo: si un médico envía una receta a una farmacia a través de correo electrónico o fax, debe cumplir con las regulaciones de HIPAA ya que está realizando una transacción en un formulario electrónico. Además, la farmacia también debe cumplir con las regulaciones de HIPAA, ya que reciben información confidencial del paciente en forma electrónica.

2. Una cámara de compensación de atención médica.
   Esto incluye una entidad pública o privada que ayude en el procesamiento de la información de salud recibida de otros establecimientos de salud, al convertir la información no estándar en información estándar. Ejemplos incluyen:
   • Compañías represivas
   • Servicios de facturación (es decir, si solicita el pago)
   • Sistema de información de gestión de salud comunitaria
   • Switches y redes de “valor agregado”
3. Un plan de salud.
   Un plan de salud cubierto es un grupo o una persona que brinda y paga el costo de la atención médica. La atención médica puede incluir cualquier diagnóstico, cura, tratamiento o prevención de enfermedades; transporte con fines de atención médica; y más.
   • Programas gubernamentales: Medicare, Medicaid y programas de atención médica para militares y veteranos
   • Organizaciones de mantenimiento de la salud (HMOS)
   • Compañías de Seguros de Salud
   • Planes de salud de la empresa (es decir, planes patrocinados por un empleador)
4. Cualquier socio comercial que realice funciones y actividades en nombre de la entidad cubierta. Si una entidad es una entidad cubierta para cualquier propósito bajo HIPAA, está completamente cubierta para todos los propósitos. Esto significa que debe cumplir con la regla de privacidad, la regla de transacción electrónica y la regla de seguridad. DEBE cumplir con todas las políticas bajo HIPAA en su totalidad.