Seminario web para responsables de RR. HH.: Creemos en un futuro mejor: la asequibilidad de la asistencia sanitaria: cuando el acceso se hace posible. Inscríbase hoy mismo.

Página de índice

Utilizamos cookies para garantizar la accesibilidad y el funcionamiento de nuestros servicios, analizar el comportamiento de nuestros visitantes y personalizar su experiencia.
Actualiza tus preferencias.
AceptarDenegar

Acuerdo de socio comercial de la HIPAA

Última actualización: 16 de enero de 2025

El presente Acuerdo de Asociación Empresarial HIPAA ("BAA") se celebra entre el Empresario o Cliente ("Entidad Cubierta") y Paytient Technologies, Inc. ("Asociado Empresarial") (cada uno de ellos una "Parte" y colectivamente, las "Partes").  

Recitales

CONSIDERANDO QUE la Entidad Cubierta ha contratado al Socio Empresarial para que preste Servicios para o en nombre de la Entidad Cubierta en virtud de un contrato de servicios (el "Contrato Marco");

CONSIDERANDO que la Entidad Cubierta es una "entidad cubierta", tal y como se define este término en la Ley de Portabilidad y Responsabilidad de los Seguros Sanitarios de 1996 (Health Insurance Portability and Accountability Act), en su versión modificada, y en la normativa promulgada en virtud de la misma, que incluye las Normas de confidencialidad de la información sanitaria de identificación individual (Standards for the Privacy of Individually Identifiable HealthInformation) (la "Norma de confidencialidad"), las Normas de transacciones electrónicas (Standards for Electronic Transactions) y la Norma de seguridad (Security Rule) (45 C.F.R. Parts 160-64), y las disposiciones sobre privacidad (Subtítulo D) de la Ley de Tecnología de la Información Sanitaria para la Salud Económica y Clínica (Health Information Technology for Economic and ClinicalHealth Act) y sus reglamentos de aplicación (la "Ley HITECH") (colectivamente "HIPAA");

CONSIDERANDO QUE, en relación con el Contrato marco, la Entidad cubierta puede divulgar al Asociado comercial o éste puede tener acceso a cierta información de pacientes de la Entidad cubierta, o crearla, que constituye PHI, según se define a continuación;

CONSIDERANDO que, como entidad cubierta, la HIPAA exige a la Entidad Cubierta que celebre un acuerdo relativo al uso y divulgación de la PHI a personas o entidades que presten servicios en su nombre, cuando los usos y divulgaciones sean para fines distintos del tratamiento;

AHORA, POR CONSIGUIENTE, por mutua consideración, cuya suficiencia y entrega reconocen las Partes, y en virtud de las premisas y pactos aquí establecidos, las Partes acuerdan lo siguiente:

1. 1. Definiciones.

A menos que se definan de otro modo en el presente documento, los términos utilizados en este acuerdo tendrán el significado que se les atribuye en la ley HIPAA o en el acuerdo marco entre la entidad cubierta y el socio comercial, según corresponda.  

2. Obligaciones y actividades del asociado comercial.  

En la medida en que al Socio Empresarial se le proporcione o cree cualquier PHI en nombre de la Entidad Cubierta, el Socio Empresarial se compromete a cumplir con las disposiciones de la HIPAA aplicables a la Entidad Cubierta, y al hacerlo, declara y garantiza lo siguiente: 

(a) Uso o divulgación. El Asociado comercial se compromete a no utilizar ni divulgar la PHI de forma distinta a la establecida en el presente BAA, el Contrato marco o según lo exija la ley.

(b) Uso específico de la divulgación. Salvo que se disponga lo contrario en el presente Acuerdo, el Asociado comercial podrá utilizar o divulgar la PHI:

(i) para llevar a cabo la agregación de datos y otros servicios requeridos en virtud del Contrato marco para ayudar a la Entidad cubierta en sus operaciones, siempre y cuando dicho uso o divulgación no infrinja la HIPAA si lo hace la Entidad cubierta, o la HIPAA permita dicho uso o divulgación por parte del Asociado comercial; y

(ii) para la adecuada gestión y administración del Asociado de Negocio o para llevar a cabo las responsabilidades legales del Asociado de Negocio, siempre que, con respecto a la divulgación de la PHI, dicha divulgación sea requerida por la ley, o el Asociado de Negocio obtenga garantías razonables de la persona a la que se divulga la información de que se mantendrá confidencialmente y se utilizará o divulgará sólo según lo requerido por la ley o para el propósito para el que fue divulgada a la persona, y la persona notifique al Asociado de Negocio de cualquier caso del que tenga conocimiento en el que se haya violado la confidencialidad de la información.

(c) Mínimo necesario. El Socio comercial se compromete a realizar esfuerzos razonables para limitar las solicitudes o los usos y divulgaciones de la PHI en la medida de lo posible, a un conjunto limitado de datos o, de otro modo, al mínimo necesario para llevar a cabo la solicitud, el uso o la divulgación previstos.

(d) Salvaguardas. BusinessAssociate establecerá salvaguardas apropiadas, consistentes con HIPAA, que sean razonables y necesarias para prevenir cualquier uso o divulgación de PHI no autorizada expresamente por este BAA.

(i) En la medida en que el Asociado comercial cree, reciba, conserve o transmita PHI electrónica, el Asociado comercial se compromete a establecer salvaguardas administrativas, físicas y técnicas que protejan de forma razonable y adecuada la confidencialidad, integridad y disponibilidad de la PHI electrónica que cree, reciba, conserve o transmita en nombre de la Entidad cubierta, tal y como exigen la Norma de privacidad y la Norma de seguridad.

(ii) Las garantías establecidas por el Socio comercial incluirán la protección de la PHI que cree, reciba, conserve o transmita en nombre de la Entidad cubierta de acuerdo con las normas establecidas en la Sección 13402(h) de la Ley HITECH y cualquier directriz emitida en virtud de la misma.

(iii) El Asociado Comercial acepta proporcionar a la Entidad Cubierta la documentación escrita relativa a las salvaguardas que la Entidad Cubierta pueda solicitar de forma razonable de vez en cuando.

(e) Agentes y subcontratistas. El Socio comercial acepta obtener garantías por escrito de que todos los agentes, incluidos los subcontratistas, a los que proporcione la PHI recibida de la Entidad cubierta, o creada o recibida por el Socio comercial en nombre de la Entidad cubierta, aceptan restricciones y condiciones que no son menos estrictas que las que se aplican al Socio comercial con respecto a dicha PHI.

(f) Notificación. En el plazo de diez (10) días laborables desde que el Socio comercial lo descubra, éste se compromete a notificar por escrito a la Entidad cubierta cualquier uso o divulgación de la PHI, o cualquier Incidente de seguridad que afecte a la PHI, incluida cualquier Vulneración de la PHI no protegida, no prevista en el presente Acuerdo de entidad comercial o en el Contrato marco, de la que el Socio comercial pueda tener conocimiento. No obstante lo anterior, las partes reconocen y acuerdan que esta Sección constituye una notificación por parte del Socio comercial a la Entidad cubierta de lo siguiente: (i) el Socio comercial no estará obligado a informar de las excepciones legales a las Infracciones de la PHI no segura ("Exclusiones", tal y como se definen en 42 C.F.R. 164.402(l)), pero conservará la documentación adecuada y la pondrá a disposición de la Entidad cubierta, previa solicitud y con una antelación razonable; y (ii) de la existencia y ocurrencia continuas de Incidentes de seguridad intentados pero fallidos (tal y como se definen a continuación) para los que no se requerirá notificación adicional a la Entidad cubierta. "Incidentes de seguridad infructuosos" se definirán como pings y otros ataques de difusión en la infraestructura perimetral o cortafuegos del asociado comercial; escaneos de puertos infructuosos; intentos infructuosos de inicio de sesión; denegaciones infructuosas de servicio; intentos infructuosos de malware, virus, ransomware y/o phishing; y/o cualquier combinación de los anteriores, siempre que ninguno de dichos incidentes dé lugar a un acceso, uso y/o divulgación no autorizados de la PHI.  

(i) En la notificación proporcionada a la Entidad Cubierta por el Socio Comercial en relación con los usos y/o divulgaciones no autorizados de la PHI, el Socio Comercial describirá los esfuerzos de remediación o mitigación propuestos requeridos conforme a la Sección 2(g) de este BAA.

(ii) Con respecto a una Violación de la PHI no segura, el Socio comercial acepta incluir la identidad de la(s) persona(s) cuya PHI no segura fue violada en la notificación escrita proporcionada a la Entidad cubierta, en la medida en que se conozca, y cualquier información adicional requerida por HIPAA.

(iii) El Asociado Comercial acepta cooperar con la Entidad Cubierta al informar de cualquier Incumplimiento de modo que la Entidad Cubierta pueda remitir dicho informe a la Entidad Cubierta correspondiente para proporcionar a la(s) persona(s) afectada(s) por dicho Incumplimiento la notificación adecuada según lo exigido por la HIPAA.

(g) Mitigación. El Asociado de Negocio acuerda mitigar, en la medida de lo posible, cualquier efecto perjudicial que sea conocido por el Asociado de Negocio como resultado de un uso o divulgación de la PHI por parte del Asociado de Negocio en violación de los requisitos de este BAA o del Contrato Principal.

(h) Auditorías e inspecciones. El Socio comercial acuerda poner a disposición del Secretario sus prácticas internas, libros y registros, incluidas las políticas y procedimientos, relacionados con el uso y la divulgación de la PHI, en el momento y de la manera que acuerden mutuamente las Partes o que designe el Secretario, a los fines de que el Secretario determine el cumplimiento de la HIPAA por parte de la Entidad cubierta y las Entidades cubiertas.  

(i) Contabilidad. El Socio comercial acepta documentar e informar a la Entidad cubierta, en un plazo de diez (10) días a partir de la solicitud por parte de la Entidad cubierta, las divulgaciones de la PHI por parte del Socio comercial para que la Entidad cubierta pueda remitir el informe a la Entidad cubierta correspondiente a fin de que dicha Entidad cubierta cumpla con sus obligaciones de contabilidad de divulgaciones de conformidad con 45 C.F.R. §164.528.

(j) Conjunto de registros designados. Si bien las Partes no tienen la intención de que el Socio comercial mantenga ninguna PHI en un conjunto de registros designados, en la medida en que el Socio comercial mantenga alguna PHI en un conjunto de registros designados, el Socio comercial acepta poner a disposición de la Entidad cubierta la PHI para:

(i) Entidad cubierta para ayudar a las Entidades cubiertas a cumplir sus obligaciones de acceso de conformidad con 45 C.F.R. § 164.524; y

(ii) Modificación de la PHI según sea necesario para que las Entidades Cubiertas cumplan con sus obligaciones de modificación de conformidad con 45 C.F.R. § 164.526.

(k) Asociado comercial como agente. En la medida en que la Entidad cubierta lleve a cabo una o más obligaciones de la Entidad cubierta conforme a la Regla de privacidad, la Entidad cubierta cumplirá con los requisitos de la Regla de privacidad que se aplican a la Entidad cubierta en el cumplimiento de dichas obligaciones.  

3. Obligaciones de la entidad cubierta.

(a) La Entidad cubierta acuerda notificar al Socio comercial cualquier limitación en el aviso de prácticas de privacidad de la Entidad cubierta de acuerdo con 45 C.F.R. § 164.520, en la medida en que dicha limitación pueda afectar al uso o divulgación de la PHI por parte del Socio comercial.

(b) La Entidad Cubierta se compromete a notificar al Asociado de Negocio cualquier cambio o revocación del permiso de un Individuo para usar o divulgar la PHI, en la medida en que dichos cambios puedan afectar al uso o divulgación de la PHI por parte del Asociado de Negocio.

(c) La Entidad cubierta acuerda notificar al Socio comercial cualquier restricción al uso o divulgación de la PHI que la Entidad cubierta haya acordado de conformidad con 45 C.F.R. § 164.522, en la medida en que dicha restricción pueda afectar al uso o divulgación de la PHI por parte del Socio comercial.

4. Plazo y terminación.                      

(a) Vigencia. El presente ACA entrará en vigor en la Fecha de Entrada en Vigor y, a menos que se rescinda de otro modo según lo dispuesto en el presente documento, permanecerá en vigor hasta la expiración o rescisión anticipada del Contrato Principal. 

(b) Rescisión por incumplimiento. Sin limitar los derechos de rescisión de las Partes de conformidad con el Contrato marco, cuando una de las Partes tenga conocimiento de un incumplimiento sustancial del presente CEA por la otra Parte, la Parte que no haya incumplido lo notificará a la Parte que haya incumplido y ésta dispondrá de treinta (30) días a partir de la fecha de notificación por la Parte que no haya incumplido para subsanar dicho incumplimiento. En caso de que el incumplimiento no se subsane en dicho plazo de treinta (30) días, o de que la subsanación sea inviable, la Parte que no haya incumplido tendrá derecho a rescindir inmediatamente el presente CMA y las partes del Contrato marco que impliquen la divulgación de información sanitaria protegida al asociado comercial, o, si no se puede rescindir, el Contrato marco.  

(c) Rescisión por cualquiera de las Partes. Cualquiera de las Partes podrá rescindir el presente CAA previa notificación por escrito con treinta (30) días de antelación.

(d) Efecto de la rescisión.                      

(i) En la medida de lo posible, a la terminación de este Acuerdo de entidad comercial o del Contrato marco por cualquier motivo, el Socio comercial acepta, y hará que los subcontratistas o agentes acepten, devolver o destruir y no conservar ninguna copia de toda la información PHI recibida de la Entidad cubierta, o creada o recibida por el Socio comercial en nombre de ésta, a través de su Acuerdo de entidad comercial con una Entidad cubierta. El Socio comercial acepta completar dicha devolución o destrucción tan pronto como sea posible y verificar por escrito a la Entidad cubierta que se ha completado dicha devolución o destrucción en un plazo de treinta (30) días a partir de la finalización de este BAA.

(ii) Si no es factible devolver o destruir dicha PHI, el Socio comercial se compromete a notificar a la Entidad cubierta las condiciones que hacen que la devolución o destrucción de la PHI no sea factible. El Socio comercial se compromete a extender las protecciones de este BAA a dicha PHI durante todo el tiempo que el Socio comercial conserve dicha PHI.

5. 5. Varios.

(a) Referencias normativas. Toda referencia en este BAA a una sección de la Regla de Privacidad o la Regla de Seguridad se refiere a la sección en vigor o modificada.

(b) Modificación. Las Partes reconocen que las disposiciones de este BAA están diseñadas para cumplir conHIPAA y acuerdan tomar las medidas necesarias para modificar este BAA de vez en cuando según sea necesario para que la Entidad cubierta cumpla con los requisitos deHIPAA. Independientemente de la ejecución de una enmienda formal de este BAA, ante un cambio en la ley que afecte los derechos u obligaciones de las Partes conforme a este BAA, este BAA se considerará automáticamente enmendado para permitir que la Entidad Cubierta y el Socio Comercial cumplan con la HIPAA.

(c)Método de notificación. Cualquier notificación que deba realizarse en virtud de los términos y disposiciones del presente Acuerdo deberá realizarse por escrito y podrá entregarse personalmente o enviarse por correo certificado o certificado en el Servicio Postal de los Estados Unidos, con acuse de recibo y franqueo pagado, dirigido a cada una de las Partes a las direcciones que figuran en el Contrato marco actualmente en vigor entre la Entidad cubierta y BusinessAssociate. Cualquier notificación de este tipo se considerará entregada si se envía por correo según lo dispuesto en el presente documento, a partir de la fecha de envío.

(d) Partes obligadas. El presente Acuerdo de entidad comercial redundará en beneficio de las partes y será vinculante para éstas y sus respectivos representantes legales, sucesores y cesionarios. El Socio comercial no podrá ceder ni subcontratar los derechos u obligaciones derivados del presente Acuerdo sin el consentimiento expreso por escrito de la Entidad cubierta. La Entidad cubierta podrá ceder sus derechos y obligaciones en virtud del presente Acuerdo a cualquier entidad sucesora o afiliada.

(e) Ausencia de renuncia. No se considerará que se ha renunciado a ninguna disposición del presente BAA ni a ningún incumplimiento del mismo a menos que dicha renuncia conste por escrito y esté firmada por la Parte que alega haber renunciado a dicha disposición o incumplimiento. Ninguna renuncia a un incumplimiento constituirá una renuncia o excusa de cualquier incumplimiento diferente o posterior.

(f) Efecto sobre el Contrato marco. El presente CEA, junto con el Contrato marco, constituye el acuerdo completo entre las Partes y sustituye a todas las declaraciones o acuerdos anteriores, ya sean verbales o escritos, con respecto a dichos asuntos. En caso de conflicto entre los términos de este Acuerdo y los términos del Contrato marco, prevalecerán los términos de este Acuerdo, a menos que los términos de dicho Contrato marco sean más restrictivos, según lo determine la Entidad cubierta, con respecto a la PHI y el cumplimiento de la HIPAA, o que las Partes acuerden específicamente lo contrario por escrito. Ninguna modificación oral o renuncia de cualquiera de las disposiciones de este BAA será vinculante para cualquiera de las Partes. La ejecución o entrega del presente Acuerdo no implicará obligación alguna para ninguna de las Partes de realizar transacción alguna.

(g) Interpretación. Cualquier ambigüedad en este BAA se resolverá para permitir a las Partes cumplir con HIPAA y cualquier orientación posterior.

(h) Ausencia de derechos de terceros. Los términos del presente Acuerdo no pretenden ni deben interpretarse como la concesión de derechos, recursos, obligaciones o responsabilidades de ningún tipo a terceros distintos del Asociado comercial y la Entidad cubierta y sus respectivos sucesores o cesionarios.

(i)Legislación aplicable. Este BAA se regirá por las leyes del estado de Missouri.