Log InRequest a Demo

    Business Associate Agreement (BAA)

    Acuerdo de Asociado Comercial conforme a HIPAA (45 CFR § 164.504(e)).

    Última actualización: 8 de noviembre de 2025

    ADVERTENCIA IMPORTANTE

    HIPAA no está habilitado por defecto en CRMHUB. Una vez activado mediante la firma de este BAA y el pago correspondiente, la configuración de HIPAA es permanente y no puede ser desactivada en su cuenta.

    1. Introducción y Propósito

    Este Business Associate Agreement (BAA) complementa los Términos y Condiciones y la Política de Privacidad de CRMHUB. Establece la relación formal entre CRMHUB (actuando como Business Associate) y el Cliente (actuando como Covered Entity o Business Associate) conforme a las exigencias de la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA).

    La fecha de efectividad de este BAA es el momento en que el Cliente solicita explícitamente la activación del cumplimiento HIPAA en su cuenta y acepta estos términos.

    2. Definiciones

    • Información de Salud Protegida (PHI): Información de salud individualmente identificable transmitida o mantenida en cualquier forma o medio (electrónico, oral o en papel).
    • Covered Entity: Un plan de salud, un centro de compensación de atención médica, o un proveedor de atención médica que transmite cualquier información de salud en forma electrónica.
    • Business Associate: Una persona o entidad que realiza ciertas funciones o actividades que involucran el uso o divulgación de PHI en nombre de, o proporciona servicios a, una Covered Entity.
    • Violación de Seguridad / Brecha: La adquisición, acceso, uso o divulgación no autorizada de PHI no asegurada que compromete la seguridad o privacidad de dicha información.
    • Incidente de Seguridad: El intento o éxito de acceso, uso, divulgación, modificación o destrucción no autorizada de información o interferencia con las operaciones del sistema.
    • Salvaguardas Administrativas / Físicas / Técnicas: Medidas de seguridad requeridas por la Security Rule de HIPAA.
    • Security Rule: Los estándares de seguridad para la protección de PHI electrónica (45 CFR Part 160 y Part 164, Subparts A y C).
    • Breach Notification Rule: Regulaciones que exigen notificar sobre brechas de PHI no asegurada.
    • OCR: Oficina de Derechos Civiles del Departamento de Salud y Servicios Humanos (HHS) de EE.UU.

    3. Alcance y Aplicabilidad

    Aplicabilidad: Este BAA se aplica exclusivamente cuando:

    • El Cliente es una Covered Entity o un Business Associate bajo HIPAA.
    • El Cliente procesa Información de Salud Protegida (PHI) utilizando CRMHUB.
    • El Cliente ha solicitado explícitamente la habilitación de HIPAA en su cuenta de CRMHUB.

    No Aplicabilidad: Este BAA NO se aplica si HIPAA no está habilitado, si el Cliente no clasifica como entidad cubierta/asociado comercial, o si no se procesa PHI.

    Permanencia: Una vez que HIPAA es habilitado en una cuenta de CRMHUB, la configuración es permanente y no puede ser revertida ni desactivada.

    Responsabilidad del Cliente: El Cliente es el único responsable de determinar su elegibilidad para HIPAA, solicitar su habilitación, firmar este BAA antes de comenzar a procesar PHI y abonar la tarifa correspondiente al complemento HIPAA.

    4. Obligaciones de CRMHUB (Business Associate)

    • Uso y Divulgación de PHI: CRMHUB utilizará el PHI solo conforme a las instrucciones documentadas del Cliente. No divulgará PHI a terceros sin autorización, no lo usará para propósitos propios y mantendrá un registro de todas las divulgaciones.
    • Salvaguardas Administrativas: CRMHUB mantendrá una Política de Seguridad documentada, designará un Oficial de Seguridad, capacitará a su personal, y contará con procedimientos de gestión de acceso, incidentes, cambios y planes de continuidad de negocio, además de realizar evaluaciones de riesgo anuales.
    • Salvaguardas Técnicas: CRMHUB implementa controles de acceso (2FA, autenticación, autorización basada en roles), cifrado en tránsito (TLS 1.2+) y en reposo (AES-256), mecanismos de integridad de datos y garantiza la disponibilidad a través de redundancia y backups.
    • Salvaguardas Físicas: Controles estrictos de acceso a instalaciones de centros de datos, vigilancia 24/7, protección de estaciones de trabajo y gestión segura de dispositivos móviles y medios de almacenamiento.
    • Subcontratistas: CRMHUB mantendrá una lista de subcontratistas con acceso a PHI, obtendrá acuerdos de confidencialidad (BAA con subcontratistas), les impondrá obligaciones equivalentes de protección y notificará al Cliente sobre cambios.
    • Notificación de Brechas: CRMHUB notificará al Cliente sin demora indebida (máximo 48 horas) tras descubrir cualquier acceso, modificación o destrucción no autorizada de PHI.
    • Asistencia al Cliente: CRMHUB asistirá en el cumplimiento de la Privacy Rule, Security Rule, Breach Notification Rule, y cooperará en auditorías e investigaciones de la OCR.
    • Auditoría y Certificación: CRMHUB permite auditorías por parte del Cliente y la OCR, proporcionando acceso a registros y certificaciones de seguridad (como SOC 2 Type II, ISO 27001).
    • Devolución o Eliminación: Al finalizar el contrato, CRMHUB devolverá o eliminará de forma segura el PHI, proporcionando un certificado correspondiente, salvo que la ley exija su retención.

    5. Obligaciones del Cliente (Covered Entity / Business Associate)

    • Instrucciones: El Cliente debe proporcionar instrucciones claras sobre el uso y divulgación del PHI y garantizar que dichas instrucciones cumplen con HIPAA.
    • PHI Correcto: El Cliente es responsable de la exactitud del PHI, la legalidad de sus fuentes y de obtener los consentimientos y autorizaciones necesarios de los pacientes.
    • Notificación a Pacientes y OCR: El Cliente es responsable de notificar a los pacientes sobre cómo se trata su PHI y sus derechos. En caso de brecha, el Cliente es el único responsable de notificar a los pacientes y a la OCR en los plazos establecidos por HIPAA.
    • Respuesta a Solicitudes: El Cliente debe recibir, validar y responder a las solicitudes de acceso o enmienda de los pacientes, coordinando con CRMHUB para obtener el PHI necesario.
    • Cumplimiento General: El Cliente debe implementar sus propias políticas de privacidad y seguridad, capacitar a su personal, realizar evaluaciones de riesgo y mantener registros adecuados de PHI.

    6. Uso y Divulgación de PHI

    • Usos Permitidos: Conforme a las instrucciones del Cliente, para propósitos operativos de CRMHUB (soporte, facturación, auditoría) y para cumplimiento legal.
    • Divulgaciones Permitidas: Al Cliente, a subcontratistas (bajo BAA) y a autoridades o la OCR si es requerido por ley.
    • Divulgaciones Prohibidas: A terceros sin autorización, para propósitos de marketing, venta de PHI o propósitos propios de CRMHUB no relacionados con el servicio.
    • Registro: CRMHUB mantiene un registro de quién accedió al PHI, cuándo, por qué y qué información específica fue accedida.

    7. Salvaguardas Técnicas

    • Acceso: Autenticación multifactor (2FA), Single Sign-On (SSO), autorización basada en roles ("necesidad de conocer") y logging exhaustivo de todos los accesos.
    • Cifrado: Todo el PHI se cifra en tránsito utilizando TLS 1.2 o superior, y en reposo mediante el estándar AES-256. Las claves se gestionan con rotación periódica.
    • Integridad: Mecanismos para detectar alteraciones, como checksums y firmas digitales, con alertas ante cambios no autorizados.
    • Disponibilidad: Redundancia de componentes críticos, backups diarios automáticos, y un plan de recuperación ante desastres (DRP) con un RTO máximo de 4 horas y RPO de 1 hora.
    • Monitoreo: Monitoreo 24/7, análisis de logs, alertas de anomalías y pruebas de penetración anuales.

    8. Salvaguardas Administrativas

    • Política de Seguridad: Documentada, actualizada, comunicada a todo el personal y revisada anualmente.
    • Oficial de Seguridad: Designado específicamente para supervisar el cumplimiento de HIPAA, con autoridad para implementar políticas.
    • Capacitación: Formación inicial y anual obligatoria en protección de PHI para todo el personal.
    • Gestión de Accesos y Cambios: Procedimientos estrictos para otorgar, modificar y revocar accesos, así como para el control de cambios en los sistemas (testing, revisión de pares, rollback).
    • Gestión de Incidentes y Riesgos: Evaluaciones anuales de riesgos, identificación de vulnerabilidades y planes formales de respuesta a incidentes y continuidad de negocio (probados trimestralmente).

    9. Salvaguardas Físicas

    • Control de Instalaciones: Acceso estrictamente restringido a los centros de datos mediante biometría y tarjetas de acceso, con registro detallado.
    • Vigilancia: Cámaras de seguridad 24/7, sistemas de alarma y monitoreo perimetral.
    • Protección de Estaciones: Bloqueo automático de pantallas, cifrado de discos duros, protección antimalware y actualizaciones obligatorias.
    • Gestión de Dispositivos: Políticas estrictas para dispositivos móviles, cifrado obligatorio y procedimientos para la destrucción segura de medios de almacenamiento.

    10. Notificación de Brechas

    • Definición: Cualquier acceso, adquisición, uso o divulgación no autorizada de PHI que comprometa su seguridad o privacidad.
    • Procedimiento de CRMHUB: Mediante monitoreo y reportes, CRMHUB investigará (causa raíz, alcance, timeline) y notificará al Cliente sin demora indebida (máximo 48 horas) tras descubrir una brecha.
    • Notificación a Pacientes y OCR: Es responsabilidad exclusiva del Cliente notificar a los pacientes afectados y a la OCR (HHS) dentro de los 60 días posteriores al descubrimiento. Si la brecha afecta a más de 500 residentes de un mismo estado, el Cliente también deberá notificar a los medios de comunicación.

    11. Transferencia de PHI

    • Ubicación: El PHI se procesa exclusivamente en centros de datos ubicados en Estados Unidos (ej. Google Cloud Platform, AWS) que cuentan con las certificaciones de seguridad requeridas.
    • Transferencias Internacionales: El PHI no se transfiere fuera de Estados Unidos sin la autorización explícita del Cliente.
    • Método: Todas las transferencias se realizan mediante conexiones seguras (TLS) y cifrado de extremo a extremo, con auditoría de las mismas.

    12. Auditoría y Certificación

    • Por el Cliente u OCR: El Cliente o la OCR pueden solicitar auditorías. CRMHUB cooperará plenamente, proporcionando la documentación y el acceso necesario (con notificación previa razonable por parte del Cliente).
    • Certificaciones: CRMHUB mantiene y proporciona copias de certificaciones de la industria como SOC 2 Type II e ISO 27001 (anuales).
    • Registros: El Cliente tiene derecho a acceder a los registros de auditoría del PHI, los cuales se retienen conforme a los requisitos de HIPAA.

    13. Devolución y Eliminación de PHI

    • Al Término del Contrato: El Cliente puede optar por la devolución del PHI en un formato acordado o su eliminación segura.
    • Proceso: La devolución o eliminación se completará dentro de los 30 días posteriores a la solicitud, y CRMHUB emitirá un certificado confirmando la acción.
    • Backups: Las copias de seguridad que contengan PHI se eliminarán conforme a la política de retención de 30 días. El PHI no podrá ser recuperado posteriormente.

    14. Duración y Terminación

    • Duración: Este BAA permanece vigente mientras exista una relación contractual y se procese PHI.
    • Terminación: Finaliza cuando termina el contrato principal, el Cliente lo solicita o CRMHUB suspende los servicios.
    • Efectos: Las obligaciones de confidencialidad sobre el PHI sobreviven a la terminación del acuerdo.

    15. Limitaciones y Exclusiones

    • Permanencia: Como se advirtió, la activación de HIPAA en una cuenta es permanente.
    • Responsabilidades Compartidas: El Cliente es el único responsable de determinar su elegibilidad, cumplir con la Privacy Rule, notificar a pacientes/OCR y asegurar sus propios procesos internos.
    • Sin Asesoría Legal ni Garantía Absoluta: CRMHUB proporciona las herramientas y salvaguardas técnicas, pero no brinda asesoría legal sobre HIPAA ni garantiza que el uso de la plataforma por parte del Cliente cumpla automáticamente con todas las regulaciones de HIPAA.
    • Responsabilidad Limitada: La responsabilidad de CRMHUB bajo este BAA se limita al monto total pagado por el Cliente en los últimos 12 meses, conforme a lo establecido en los Términos y Condiciones principales.

    16. Contactos

    Para asuntos relacionados con HIPAA, utilice los siguientes canales de comunicación:


    Para obtener una copia firmada de este Business Associate Agreement aplicable a su cuenta, por favor contacte a compliance@crmhubplatform.com.

    OlivIA
    ¡Hola! ¿Tienes alguna pregunta?