Registrarse
Contacto Iniciar sesión Registrarse
Estado del Sistema

Acuerdo compatible con HIPAA para el manejo de Información de Salud Protegida (PHI)

Última actualización: 16 de julio de 2025

Esta traducción se proporciona solo por conveniencia. La versión en inglés de este documento es el acuerdo legalmente vinculante.

Este ACUERDO DE SOCIO DE NEGOCIOS (el "BAA") se celebra y se firma a partir de la fecha de aceptación por parte de la Entidad Cubierta ("Fecha Efectiva") por y entre Bloo Inc., una corporación de Delaware con su lugar principal de negocios en [COMPANY ADDRESS] ("Socio de Negocios"), y la entidad u organización que acepta este acuerdo ("Entidad Cubierta"). En este BAA, la Entidad Cubierta y el Socio de Negocios son cada uno una "Parte" y, colectivamente, son las "Partes".

Antecedentes

  1. La Entidad Cubierta es ya sea una "entidad cubierta" o "socio de negocios" de una entidad cubierta según se define cada una bajo la Ley de Portabilidad y Responsabilidad del Seguro de Salud de 1996, Ley Pública 104-191, enmendada por la Ley HITECH y las regulaciones relacionadas promulgadas por HHS (colectivamente, "HIPAA") y, como tal, está obligada a cumplir con las disposiciones de HIPAA con respecto a la confidencialidad y privacidad de la Información de Salud Protegida;

  2. Las Partes han celebrado o celebrarán uno o más acuerdos bajo los cuales el Socio de Negocios proporciona ciertos servicios especificados a la Entidad Cubierta a través de la plataforma Blue (colectivamente, el "Acuerdo");

  3. Al proporcionar servicios de conformidad con el Acuerdo, el Socio de Negocios tendrá acceso a Información de Salud Protegida;

  4. Al proporcionar los servicios de conformidad con el Acuerdo, el Socio de Negocios se convertirá en un "socio de negocios" de la Entidad Cubierta según se define dicho término bajo HIPAA;

  5. Ambas Partes están comprometidas a cumplir con todas las leyes federales y estatales que rigen la confidencialidad y privacidad de la información de salud, incluyendo, pero no limitándose a, los Estándares para la Privacidad de Información de Salud Individualmente Identificable encontrados en 45 CFR Parte 160 y Parte 164, Subpartes A y E (colectivamente, la "Regla de Privacidad"); y

  6. Ambas Partes tienen la intención de proteger la privacidad y proporcionar seguridad para la Información de Salud Protegida divulgada al Socio de Negocios de conformidad con los términos de este Acuerdo, HIPAA y otras leyes aplicables.

Acuerdo

POR LO TANTO, en consideración de los convenios y condiciones mutuos contenidos en este documento y la provisión continua de PHI por parte de la Entidad Cubierta al Socio de Negocios bajo el Acuerdo basándose en este BAA, las Partes acuerdan lo siguiente:

1. Definiciones

Para los propósitos de este BAA, las Partes dan el siguiente significado a cada uno de los términos siguientes. Cualquier término en mayúsculas usado en este BAA, pero no definido de otra manera, tiene el significado dado a ese término en la Regla de Privacidad o ley pertinente.

1.1 Términos de HIPAA según se definen en 45 CFR § 160.103:

  • "Información de Salud Protegida" o "PHI" significa información de salud individualmente identificable creada, recibida, mantenida o transmitida por el Socio de Negocios en nombre de la Entidad Cubierta.
  • "Entidad Cubierta" tiene el significado dado a ese término en 45 CFR §160.103.
  • "Socio de Negocios" tiene el significado dado a ese término en 45 CFR §160.103.
  • "Violación" significa la adquisición, acceso, uso o divulgación de PHI de una manera no permitida bajo la Regla de Privacidad que compromete la seguridad o privacidad de la PHI, según se define en 45 CFR §164.402.
  • "Conjunto de Registros Designado" tiene el significado dado a dicho término bajo la Regla de Privacidad, incluyendo 45 CFR §164.501.

1.2 Definiciones Adicionales:

  • "Servicios Blue" significa los servicios de gestión de proyectos y almacenamiento de datos proporcionados a través de https://www.blue.cc
  • "PHI Electrónica" o "ePHI" significa cualquier PHI mantenida en o transmitida por medios electrónicos según se define en 45 CFR §160.103.
  • "HHS" significa el Departamento de Salud y Servicios Humanos de EE.UU.
  • "Ley HITECH" significa la Ley de Tecnología de Información de Salud para la Salud Económica y Clínica, promulgada como parte de la Ley Americana de Recuperación y Reinversión de 2009, Ley Pública 111-005.
  • "Individuo" tiene el mismo significado dado a ese término en 45 CFR §§164.501 y 160.130 e incluye a una persona que califica como representante personal de acuerdo con 45 CFR §164.502(g).
  • "Incidente de Seguridad" significa el intento o acceso exitoso no autorizado, uso, divulgación, modificación o destrucción de información o interferencia con operaciones del sistema en un sistema de información.
  • "Regla de Seguridad" significa los Estándares de Seguridad para la Protección de Información Electrónica de Salud proporcionados en 45 CFR Parte 160 y Parte 164, Subpartes A y C.
  • "Información de Salud Protegida No Asegurada" o "PHI No Asegurada" significa cualquier PHI que no se vuelve inutilizable, ilegible o indescifrable para individuos no autorizados mediante el uso de una tecnología o metodología especificada por el Secretario de HHS.

2. Obligaciones del Socio de Negocios

2.1 Usos Permitidos:
El Socio de Negocios puede usar o divulgar PHI solo de las siguientes maneras:

  • Procesar PHI únicamente para: (a) Almacenamiento de datos de pacientes (b) Análisis para tratamiento/operaciones (c) Otros servicios especificados en los Términos de Servicio
  • Según sea necesario para proporcionar los servicios descritos en el Acuerdo a la Entidad Cubierta
  • Para la gestión y administración adecuada del negocio del Socio de Negocios
  • Para llevar a cabo las responsabilidades legales del Socio de Negocios
  • Según lo requiera la ley

2.2 Usos y Divulgaciones Prohibidos:
El Socio de Negocios no usará o divulgará PHI de manera distinta a la proporcionada en este BAA, según se permite bajo la Regla de Privacidad, o según lo requiera la ley. El Socio de Negocios usará o divulgará PHI, en la medida de lo posible, como un conjunto de datos limitado o limitado a la cantidad mínima necesaria de PHI para llevar a cabo el propósito previsto del uso o divulgación, de acuerdo con la Sección 13405(b) de la Ley HITECH.

2.3 Salvaguardas:
El Socio de Negocios implementará salvaguardas administrativas, físicas y técnicas que protejan razonable y apropiadamente la confidencialidad, integridad y disponibilidad de PHI, incluyendo:

  • Cifrado AES-256 en reposo y en tránsito
  • Controles de acceso basados en roles (RBAC) con permisos por proyecto
  • Controles de auditoría que rastrean el acceso/modificación de PHI
  • Autenticación segura usando enlaces mágicos por correo electrónico (sin contraseña)
  • Documentación de procedimiento de acceso de emergencia
  • Otras salvaguardas que sean necesarias para prevenir el uso o divulgación de PHI que no sea según lo permitido por este BAA

3. Subcontratistas

3.1 Subcontratistas Autorizados:
El Socio de Negocios puede usar los siguientes subcontratistas en conexión con los servicios proporcionados a la Entidad Cubierta:

  • Cloudflare (Cifrado de tránsito)
  • Amazon AWS (Cifrado de almacenamiento)

3.2 Requisitos:

  • El Socio de Negocios se asegurará de que cualquiera de sus agentes o subcontratistas que tengan acceso a, o a los cuales el Socio de Negocios proporcione, PHI acuerden por escrito las restricciones y condiciones sobre usos y divulgaciones de PHI contenidas en este BAA
  • El Socio de Negocios mantiene BAAs con todos los subcontratistas que manejan PHI
  • El Socio de Negocios proporcionará aviso de 30 días para nuevos subcontratistas mediante notificación por correo electrónico
  • El Socio de Negocios se asegurará de que todos los subcontratos y acuerdos proporcionen el mismo nivel de privacidad y seguridad que este BAA

4. Requisitos de Reporte

4.1 Notificación de Violación:

  • El Socio de Negocios reportará a la Entidad Cubierta por escrito cualquier uso o divulgación de PHI no proporcionado por este BAA del cual se entere dentro de cinco días hábiles
  • El Socio de Negocios reportará violaciones de PHI no asegurada dentro de 60 días calendario del descubrimiento
  • El Socio de Negocios proporcionará aviso preliminar inmediato si más de 500 individuos están afectados
  • Los reportes identificarán a los individuos afectados, describirán la naturaleza de la violación, delinearán los pasos de mitigación tomados y proporcionarán procedimientos de contacto para las partes afectadas

4.2 Incidentes de Seguridad:
El Socio de Negocios acuerda reportar a la Entidad Cubierta cualquier Incidente de Seguridad que afecte PHI Electrónica de la Entidad Cubierta del cual se entere dentro de cinco días hábiles.

5. Gestión de Datos

5.1 Mínimo Necesario:

  • El Socio de Negocios implementará políticas para limitar el acceso a PHI a lo menos necesario para la tarea
  • El Socio de Negocios realizará revisiones de acceso trimestrales por su equipo de seguridad

5.2 Derechos Individuales:

  • Bajo solicitud, el Socio de Negocios proporcionará a la Entidad Cubierta copias de la PHI mantenida por el Socio de Negocios en un Conjunto de Registros Designado para permitir a la Entidad Cubierta responder a una solicitud de un Individuo para acceso bajo 45 CFR §164.524
  • Bajo solicitud e instrucción de la Entidad Cubierta, el Socio de Negocios enmendará PHI en un Conjunto de Registros Designado según lo dirigido por la Entidad Cubierta de acuerdo con 45 CFR §164.526
  • El Socio de Negocios documentará divulgaciones de PHI según se requiera para que la Entidad Cubierta responda a una solicitud de contabilidad de divulgaciones bajo 45 CFR §164.528

5.3 Disposición:

  • El Socio de Negocios implementará eliminación segura usando estándares NIST 800-88
  • Los certificados de destrucción de PHI estarán disponibles bajo solicitud

6. Término y Terminación

6.1 Término:
Este BAA entrará en vigencia en la Fecha Efectiva, y continuará en efecto hasta que todas las obligaciones de las Partes hayan sido cumplidas bajo el Acuerdo y bajo este BAA.

6.2 Terminación por Causa:

  • La Entidad Cubierta puede terminar inmediatamente este BAA y el Acuerdo si la Entidad Cubierta determina que el Socio de Negocios ha violado un término material de este BAA y el Socio de Negocios ha fallado en curar esa violación material dentro de 30 días después del aviso por escrito
  • El Socio de Negocios puede terminar este BAA y el Acuerdo si determina que la Entidad Cubierta ha violado un término material de este BAA y ha fallado en curar dentro de 30 días después del aviso

6.3 Obligaciones al Terminar:

  • Al terminar el Acuerdo o este BAA por cualquier razón, toda PHI mantenida por el Socio de Negocios será devuelta a la Entidad Cubierta o destruida
  • El Socio de Negocios no retendrá ninguna copia de PHI a menos que la devolución o destrucción sea inviable
  • Las obligaciones relacionadas con PHI retenida debido a inviabilidad sobrevivirán la terminación
  • Se proporcionará certificación completa de destrucción dentro de 180 días de terminación cuando sea factible

6.4 Supervivencia:
Las obligaciones del Socio de Negocios bajo esta Sección sobrevivirán la terminación de este BAA.

7. Disposiciones Generales

7.1 Derechos de Auditoría:

  • La Entidad Cubierta tiene el derecho de solicitar auditorías anuales de HIPAA de terceros
  • El Socio de Negocios pondrá a disposición sus prácticas internas, libros, acuerdos, registros y políticas y procedimientos relacionados con el uso y divulgación de PHI bajo solicitud a HHS para propósitos de determinar cumplimiento
  • El Socio de Negocios cooperará con los requisitos de auditoría de HHS

7.2 Conflicto:

  • Los requisitos de HIPAA prevalecen sobre términos conflictivos en este BAA o el Acuerdo
  • En caso de cualquier conflicto entre los términos de este BAA y los términos del Acuerdo, los términos de este BAA gobernarán

7.3 Enmiendas:

  • Este BAA no puede ser modificado, ni ninguna disposición será renunciada o enmendada, excepto por escrito debidamente firmado por representantes autorizados de las Partes
  • Las enmiendas pueden ser requeridas para cambios en las reglas o regulaciones de HIPAA

7.4 Cumplimiento de la Ley HITECH:
Las Partes reconocen que la Ley HITECH incluye cambios significativos a los requisitos de HIPAA. Cada Parte acuerda cumplir con las disposiciones aplicables de la Ley HITECH y cualquier regulación de HHS emitida con respecto a la Ley HITECH.

7.5 Propiedad de Datos:
La administración de datos del Socio de Negocios no confiere derechos de propiedad de datos al Socio de Negocios con respecto a cualquier dato compartido con él bajo el Acuerdo, incluyendo todas y cada una de las formas de PHI.

7.6 Sin Beneficiarios de Terceros:
Excepto según se establece expresamente en este BAA o según lo proporcionado por la ley, este BAA no creará ningún derecho a favor de ningún tercero.

7.7 Avisos:
Todos los avisos, solicitudes y demandas u otras comunicaciones que se den bajo este BAA a una Parte serán realizados mediante correo de primera clase, registrado o certificado o mensajería expresa, o correo electrónico a la dirección de la Parte proporcionada durante el registro de cuenta o posteriormente actualizada por escrito.

EN TESTIMONIO DE LO CUAL, las Partes reconocen su acuerdo a los términos anteriores a través de la aceptación de la Entidad Cubierta de estos términos durante la creación de cuenta o a través del uso continuo de los Servicios Blue después de la notificación de estos términos.

© Blue | Diseñado con a través del

Asistente IA

Las respuestas son generadas por IA y pueden contener errores.

¿Cómo puedo ayudarte?

Pregúntame cualquier cosa sobre Blue o esta documentación.

Enter para enviar • Shift+Enter para nueva línea • ⌘I para abrir