La regla de privacidad de HIPAA requiere que las entidades cubiertas mantengan información de salud protegida (PHI) durante al menos seis años a partir de la fecha en que se crea o recibe la PHI, a menos que otra ley o reglamento requiera un período de retención más largo o a menos que se permita un período de retención más corto. por las leyes o regulaciones federales, estatales o locales aplicables.