Características Precios Referencia API

Acuerdo de Asociado Comercial (BAA)

v1.0 -- Vigente desde marzo de 2026

Morlivo se compromete a proteger la Información de Salud Protegida (PHI) de conformidad con la Ley de Portabilidad y Responsabilidad del Seguro de Salud de 1996 (HIPAA), modificada por la Ley HITECH. Este Acuerdo de Asociado Comercial regula la relación entre Morlivo ("Asociado Comercial") y nuestros clientes ("Entidad Cubierta") con respecto al manejo de PHI.

1. Alcance y Propósito

Este Acuerdo de Asociado Comercial ("BAA") complementa y forma parte del acuerdo de servicio entre la Entidad Cubierta y el Asociado Comercial. Establece los términos bajo los cuales el Asociado Comercial puede crear, recibir, mantener o transmitir Información de Salud Protegida ("PHI") en nombre de la Entidad Cubierta en relación con los servicios de traducción, transcripción y procesamiento lingüístico proporcionados por Morlivo (los "Servicios").

Las partes reconocen que el Asociado Comercial puede acceder, usar o divulgar PHI en el curso de la prestación de los Servicios, y este BAA establece las obligaciones del Asociado Comercial con respecto a dicha PHI en virtud de las disposiciones aplicables de HIPAA, la Ley HITECH y sus regulaciones de implementación (colectivamente, las "Reglas de HIPAA").

2. Usos y Divulgaciones Permitidos

El Asociado Comercial podrá usar o divulgar PHI únicamente:

  • Según sea necesario para prestar los Servicios descritos en el acuerdo de servicio subyacente
  • Según lo requiera la ley, incluyendo, entre otros, las divulgaciones requeridas por el Secretario del Departamento de Salud y Servicios Humanos de EE. UU.
  • Para la correcta gestión y administración del Asociado Comercial, siempre que cualquier divulgación sea requerida por ley o el Asociado Comercial obtenga garantías razonables de cualquier tercero de que la información se mantendrá confidencial
  • Para proporcionar servicios de agregación de datos relacionados con las operaciones de atención médica de la Entidad Cubierta, si se autoriza expresamente en el acuerdo de servicio

El Asociado Comercial no usará ni divulgará PHI de una manera que violaría las Reglas de HIPAA si fuera realizada por la Entidad Cubierta, excepto según lo expresamente permitido en este BAA. El Asociado Comercial no utilizará PHI con fines de marketing, no venderá PHI ni utilizará PHI con fines de suscripción.

3. Salvaguardas

El Asociado Comercial implementará y mantendrá salvaguardas administrativas, físicas y técnicas que protejan razonablemente y de manera apropiada la confidencialidad, integridad y disponibilidad de la PHI, incluida la PHI electrónica (ePHI), según lo exige la Regla de Seguridad de HIPAA. Estas salvaguardas incluyen, entre otras:

  • Cifrado de ePHI en reposo mediante AES-256 y en tránsito mediante TLS 1.2 o superior
  • Controles de acceso basados en roles que limitan el acceso a PHI solo al personal autorizado
  • Registro de auditoría exhaustivo de todos los accesos y modificaciones de PHI
  • Evaluaciones periódicas de riesgos y análisis de vulnerabilidades
  • Capacitación del personal en requisitos de HIPAA y concienciación en seguridad
  • Procedimientos de eliminación segura para PHI que ya no se necesita para los Servicios

El Asociado Comercial se asegurará de que cualquier agente, incluidos los subcontratistas, a quienes proporcione PHI acepten las mismas restricciones y condiciones que aplican al Asociado Comercial en virtud de este BAA, de conformidad con 45 CFR § 164.502(e)(1)(ii).

4. Notificación de Violación de Datos

El Asociado Comercial informará a la Entidad Cubierta sobre cualquier uso o divulgación de PHI no permitido por este BAA del que tenga conocimiento, incluida cualquier Violación de PHI No Protegida según se define en 45 CFR § 164.402. El Asociado Comercial proporcionará dicha notificación sin demora injustificada y en ningún caso más tarde de treinta (30) días calendario después del descubrimiento de la Violación.

La notificación incluirá, en la medida en que esté disponible:

  • Identificación de cada individuo cuya PHI No Protegida ha sido, o se cree razonablemente que ha sido, accedida, adquirida, utilizada o divulgada
  • Una descripción de la naturaleza de la Violación, incluyendo los tipos de PHI involucrados
  • La fecha de la Violación y la fecha de su descubrimiento
  • Una descripción de las medidas que el Asociado Comercial está tomando para investigar y mitigar la Violación y prevenir futuras ocurrencias
  • Información de contacto de las personas que pueden proporcionar detalles adicionales

5. Vigencia y Terminación

Este BAA entrará en vigor a partir de la fecha de ejecución y permanecerá vigente durante la duración del acuerdo de servicio subyacente, a menos que se rescinda anticipadamente según lo dispuesto en el presente.

Cualquiera de las partes podrá rescindir este BAA si determina que la otra parte ha violado una disposición material de este BAA. La parte no infractora proporcionará a la parte infractora una notificación escrita de la violación y otorgará treinta (30) días para subsanarla. Si la subsanación no es factible, la parte no infractora podrá rescindir inmediatamente tanto este BAA como el acuerdo de servicio subyacente.

Al finalizar, el Asociado Comercial, a elección de la Entidad Cubierta, devolverá o destruirá toda la PHI recibida o creada en nombre de la Entidad Cubierta. Si la devolución o destrucción no es factible, el Asociado Comercial extenderá las protecciones de este BAA a dicha PHI y limitará los usos y divulgaciones adicionales a aquellos fines que hacen que la devolución o destrucción sea inviable.

6. Obligaciones de la Entidad Cubierta

  • La Entidad Cubierta notificará al Asociado Comercial sobre cualquier limitación en su Aviso de Prácticas de Privacidad que pueda afectar el uso o divulgación de PHI por parte del Asociado Comercial
  • La Entidad Cubierta notificará al Asociado Comercial sobre cualquier cambio o revocación de la autorización de un individuo para usar o divulgar PHI, en la medida en que dichos cambios puedan afectar los usos y divulgaciones permitidos del Asociado Comercial
  • La Entidad Cubierta no solicitará al Asociado Comercial que use o divulgue PHI de ninguna manera que viole las Reglas de HIPAA

7. Disposiciones Varias

Este BAA se regirá e interpretará de conformidad con la ley federal aplicable, incluidas las Reglas de HIPAA. Cualquier ambigüedad en este BAA se interpretará de manera que permita el cumplimiento de las Reglas de HIPAA. Este BAA constituye el acuerdo completo entre las partes con respecto al objeto del mismo y reemplaza todos los acuerdos anteriores, ya sean escritos u orales, relacionados con el mismo objeto.

Solicitar un BAA

Para solicitar un Acuerdo de Asociado Comercial, contacte a nuestro equipo de cumplimiento. Trabajaremos con usted para ejecutar un BAA adaptado a las necesidades de su organización.

Contactar al Equipo de Cumplimiento Descargar Plantilla de BAA