---

Esta traducción se proporciona solo por conveniencia. La versión en inglés de este documento es el acuerdo legalmente vinculante.

Última actualización: 16 de julio de 2025

1. Introducción

Esta Política de Privacidad HIPAA explica cómo Bloo, Inc. ("nosotros", "nuestro", o "Blue") protege la privacidad y seguridad de la Información de Salud Protegida (PHI) de acuerdo con la Ley de Portabilidad y Responsabilidad del Seguro de Salud de 1996 (HIPAA) y sus regulaciones de implementación. Esta política se aplica a nuestro sitio web www.Blue.cc y nuestra plataforma B2B SaaS cuando se utiliza para manejar PHI.

2. Definiciones

• Información de Salud Protegida (PHI): Cualquier información sobre el estado de salud, la provisión de atención médica, o el pago por atención médica que pueda vincularse a un individuo específico.
• Entidad Cubierta: Proveedores de atención médica, planes de salud, y cámaras de compensación de atención médica que transmiten información de salud electrónicamente.
• Socio Comercial: Una persona o entidad que realiza ciertas funciones o actividades que involucran el uso o divulgación de PHI en nombre de, o proporciona servicios a, una Entidad Cubierta.

3. Nuestro Rol

Blue actúa como Socio Comercial de las Entidades Cubiertas cuando nuestra plataforma B2B SaaS se utiliza para manejar PHI. Estamos comprometidos a cumplir con las regulaciones HIPAA en esta capacidad.

4. PHI que Podemos Manejar

Como Socio Comercial, podemos manejar varios tipos de PHI, incluyendo pero no limitado a:

• Nombres de pacientes
• Direcciones
• Fechas (nacimiento, admisión, alta, etc.)
• Números de teléfono
• Direcciones de correo electrónico
• Números de registros médicos
• Números de cuenta
• Números de beneficiarios de planes de salud

5. Uso y Divulgación de PHI

Solo utilizaremos o divulgaremos PHI según lo permitido por nuestro Acuerdo de Socio Comercial con la Entidad Cubierta y en cumplimiento con las regulaciones HIPAA. Esto puede incluir:

• Proporcionar los servicios de nuestra plataforma B2B SaaS
• Realizar análisis de datos para mejorar nuestros servicios
• Realizar mantenimiento del sistema y resolución de problemas

No utilizaremos ni divulgaremos PHI para propósitos de marketing o venderemos PHI a menos que esté explícitamente autorizado por la Entidad Cubierta y el individuo.

6. Medidas de Seguridad de Datos

Implementamos medidas de seguridad robustas para proteger PHI, incluyendo:

• Cifrado de nivel empresarial (AES-256) para datos en reposo y en tránsito
• Sistemas avanzados de monitoreo y alerta
• Autenticación multifactor (MFA) para sistemas backend
• Auditorías de seguridad regulares de terceros
• Respaldos de datos diarios
• Colaboración con investigadores de seguridad externos

7. Capacitación de Empleados y Acceso

Todos nuestros empleados reciben capacitación regular sobre cumplimiento HIPAA. El acceso a PHI está restringido al personal autorizado sobre una base de necesidad de saber.

8. Retención de Datos

Retenemos PHI solo durante el tiempo necesario para proporcionar nuestros servicios o según lo requerido por la ley. Una vez que se elimina PHI, lo mantenemos durante 30 días antes de la eliminación permanente.

9. Almacenamiento y Transferencia de Datos

PHI se almacena cifrado en reposo en centros de datos de AWS. Si transferimos PHI fuera de los Estados Unidos (por ejemplo, a Singapur), aseguramos que las salvaguardas apropiadas estén en su lugar y cumplimos con todas las leyes y regulaciones aplicables.

10. Notificación de Violación

En caso de una violación de PHI no asegurada, notificaremos a las Entidades Cubiertas afectadas sin demora irrazonable y en ningún caso más tarde de 60 días calendario después del descubrimiento de la violación.

11. Derechos Individuales

Asistiremos a las Entidades Cubiertas en el cumplimiento de sus obligaciones para proporcionar a los individuos sus derechos bajo HIPAA, incluyendo:

• Derecho a acceder a su PHI
• Derecho a solicitar enmiendas a su PHI
• Derecho a una contabilidad de divulgaciones
• Derecho a solicitar restricciones en el uso y divulgación de su PHI
• Derecho a solicitar comunicaciones confidenciales

Los individuos deben contactar a su proveedor de atención médica (la Entidad Cubierta) para ejercer estos derechos.

12. Acuerdos de Socios Comerciales (BAAs)

Como Socio Comercial, Blue está comprometido a celebrar Acuerdos de Socios Comerciales (BAAs) con Entidades Cubiertas según lo requerido por HIPAA. Si usted es una Entidad Cubierta y desea utilizar nuestros servicios para manejar Información de Salud Protegida (PHI), necesitará tener un BAA firmado con nosotros.

Para solicitar un BAA:

1. Contacte a nuestro equipo de ventas en sales@blue.cc o a través del formulario de contacto de nuestro sitio web.
2. Especifique que es una Entidad Cubierta que requiere un BAA para cumplimiento HIPAA.
3. Proporcione el nombre de su organización e información de contacto.
4. Nuestro equipo responderá dentro de 2 días hábiles con nuestro BAA estándar o para discutir cualquier requisito personalizado.

Tenga en cuenta:

• Utilizamos una plantilla de BAA estándar que ha sido revisada por nuestro equipo legal para cumplimiento HIPAA.
• Cualquier modificación a nuestro BAA estándar puede requerir revisión y aprobación adicional.
• Recomendamos que tenga el BAA revisado por su propio asesor legal antes de firmarlo.
• Un BAA firmado debe estar en su lugar antes de que cualquier PHI sea procesada a través de nuestra plataforma.

13. Cambios a Esta Política

Podemos actualizar esta Política de Privacidad HIPAA de vez en cuando. Notificaremos a las Entidades Cubiertas de cualquier cambio significativo publicando la nueva Política de Privacidad en esta página. Puede encontrar todos los cambios controlados por versión en nuestro Repositorio Gitlab

14. Contáctanos

Si tiene alguna pregunta sobre esta Política de Privacidad HIPAA, nuestras prácticas de datos, o nuestro proceso de BAA, por favor contacte a nuestro Oficial de Privacidad:

Emanuele FAJA, CEO
Email: support@blue.cc