ADVERTENCIA IMPORTANTE
HIPAA no está habilitado por defecto en CRMHUB. Una vez activado mediante la firma de este BAA y el pago correspondiente, la configuración de HIPAA es permanente y no puede ser desactivada en su cuenta.
1. Introducción y Propósito
Este Business Associate Agreement (BAA) complementa los Términos y Condiciones y la Política de Privacidad de CRMHUB. Establece la relación formal entre CRMHUB (actuando como Business Associate) y el Cliente (actuando como Covered Entity o Business Associate) conforme a las exigencias de la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA).
La fecha de efectividad de este BAA es el momento en que el Cliente solicita explícitamente la activación del cumplimiento HIPAA en su cuenta y acepta estos términos.
2. Definiciones
- Información de Salud Protegida (PHI): Información de salud individualmente identificable transmitida o mantenida en cualquier forma o medio (electrónico, oral o en papel).
- Covered Entity: Un plan de salud, un centro de compensación de atención médica, o un proveedor de atención médica que transmite cualquier información de salud en forma electrónica.
- Business Associate: Una persona o entidad que realiza ciertas funciones o actividades que involucran el uso o divulgación de PHI en nombre de, o proporciona servicios a, una Covered Entity.
- Violación de Seguridad / Brecha: La adquisición, acceso, uso o divulgación no autorizada de PHI no asegurada que compromete la seguridad o privacidad de dicha información.
- Incidente de Seguridad: El intento o éxito de acceso, uso, divulgación, modificación o destrucción no autorizada de información o interferencia con las operaciones del sistema.
- Salvaguardas Administrativas / Físicas / Técnicas: Medidas de seguridad requeridas por la Security Rule de HIPAA.
- Security Rule: Los estándares de seguridad para la protección de PHI electrónica (45 CFR Part 160 y Part 164, Subparts A y C).
- Breach Notification Rule: Regulaciones que exigen notificar sobre brechas de PHI no asegurada.
- OCR: Oficina de Derechos Civiles del Departamento de Salud y Servicios Humanos (HHS) de EE.UU.
3. Alcance y Aplicabilidad
Aplicabilidad: Este BAA se aplica exclusivamente cuando:
- El Cliente es una Covered Entity o un Business Associate bajo HIPAA.
- El Cliente procesa Información de Salud Protegida (PHI) utilizando CRMHUB.
- El Cliente ha solicitado explícitamente la habilitación de HIPAA en su cuenta de CRMHUB.
No Aplicabilidad: Este BAA NO se aplica si HIPAA no está habilitado, si el Cliente no clasifica como entidad cubierta/asociado comercial, o si no se procesa PHI.
Permanencia: Una vez que HIPAA es habilitado en una cuenta de CRMHUB, la configuración es permanente y no puede ser revertida ni desactivada.
Responsabilidad del Cliente: El Cliente es el único responsable de determinar su elegibilidad para HIPAA, solicitar su habilitación, firmar este BAA antes de comenzar a procesar PHI y abonar la tarifa correspondiente al complemento HIPAA.
4. Obligaciones de CRMHUB (Business Associate)
- Uso y Divulgación de PHI: CRMHUB utilizará el PHI solo conforme a las instrucciones documentadas del Cliente. No divulgará PHI a terceros sin autorización, no lo usará para propósitos propios y mantendrá un registro de todas las divulgaciones.
- Salvaguardas Administrativas: CRMHUB mantendrá una Política de Seguridad documentada, designará un Oficial de Seguridad, capacitará a su personal, y contará con procedimientos de gestión de acceso, incidentes, cambios y planes de continuidad de negocio, además de realizar evaluaciones de riesgo anuales.
- Salvaguardas Técnicas: CRMHUB implementa controles de acceso (2FA, autenticación, autorización basada en roles), cifrado en tránsito (TLS 1.2+) y en reposo (AES-256), mecanismos de integridad de datos y garantiza la disponibilidad a través de redundancia y backups.
- Salvaguardas Físicas: Controles estrictos de acceso a instalaciones de centros de datos, vigilancia 24/7, protección de estaciones de trabajo y gestión segura de dispositivos móviles y medios de almacenamiento.
- Subcontratistas: CRMHUB mantendrá una lista de subcontratistas con acceso a PHI, obtendrá acuerdos de confidencialidad (BAA con subcontratistas), les impondrá obligaciones equivalentes de protección y notificará al Cliente sobre cambios.
- Notificación de Brechas: CRMHUB notificará al Cliente sin demora indebida (máximo 48 horas) tras descubrir cualquier acceso, modificación o destrucción no autorizada de PHI.
- Asistencia al Cliente: CRMHUB asistirá en el cumplimiento de la Privacy Rule, Security Rule, Breach Notification Rule, y cooperará en auditorías e investigaciones de la OCR.
- Auditoría y Certificación: CRMHUB permite auditorías por parte del Cliente y la OCR, proporcionando acceso a registros y certificaciones de seguridad (como SOC 2 Type II, ISO 27001).
- Devolución o Eliminación: Al finalizar el contrato, CRMHUB devolverá o eliminará de forma segura el PHI, proporcionando un certificado correspondiente, salvo que la ley exija su retención.
5. Obligaciones del Cliente (Covered Entity / Business Associate)
- Instrucciones: El Cliente debe proporcionar instrucciones claras sobre el uso y divulgación del PHI y garantizar que dichas instrucciones cumplen con HIPAA.
- PHI Correcto: El Cliente es responsable de la exactitud del PHI, la legalidad de sus fuentes y de obtener los consentimientos y autorizaciones necesarios de los pacientes.
- Notificación a Pacientes y OCR: El Cliente es responsable de notificar a los pacientes sobre cómo se trata su PHI y sus derechos. En caso de brecha, el Cliente es el único responsable de notificar a los pacientes y a la OCR en los plazos establecidos por HIPAA.
- Respuesta a Solicitudes: El Cliente debe recibir, validar y responder a las solicitudes de acceso o enmienda de los pacientes, coordinando con CRMHUB para obtener el PHI necesario.
- Cumplimiento General: El Cliente debe implementar sus propias políticas de privacidad y seguridad, capacitar a su personal, realizar evaluaciones de riesgo y mantener registros adecuados de PHI.
6. Uso y Divulgación de PHI
- Usos Permitidos: Conforme a las instrucciones del Cliente, para propósitos operativos de CRMHUB (soporte, facturación, auditoría) y para cumplimiento legal.
- Divulgaciones Permitidas: Al Cliente, a subcontratistas (bajo BAA) y a autoridades o la OCR si es requerido por ley.
- Divulgaciones Prohibidas: A terceros sin autorización, para propósitos de marketing, venta de PHI o propósitos propios de CRMHUB no relacionados con el servicio.
- Registro: CRMHUB mantiene un registro de quién accedió al PHI, cuándo, por qué y qué información específica fue accedida.
7. Salvaguardas Técnicas
- Acceso: Autenticación multifactor (2FA), Single Sign-On (SSO), autorización basada en roles ("necesidad de conocer") y logging exhaustivo de todos los accesos.
- Cifrado: Todo el PHI se cifra en tránsito utilizando TLS 1.2 o superior, y en reposo mediante el estándar AES-256. Las claves se gestionan con rotación periódica.
- Integridad: Mecanismos para detectar alteraciones, como checksums y firmas digitales, con alertas ante cambios no autorizados.
- Disponibilidad: Redundancia de componentes críticos, backups diarios automáticos, y un plan de recuperación ante desastres (DRP) con un RTO máximo de 4 horas y RPO de 1 hora.
- Monitoreo: Monitoreo 24/7, análisis de logs, alertas de anomalías y pruebas de penetración anuales.
8. Salvaguardas Administrativas
- Política de Seguridad: Documentada, actualizada, comunicada a todo el personal y revisada anualmente.
- Oficial de Seguridad: Designado específicamente para supervisar el cumplimiento de HIPAA, con autoridad para implementar políticas.
- Capacitación: Formación inicial y anual obligatoria en protección de PHI para todo el personal.
- Gestión de Accesos y Cambios: Procedimientos estrictos para otorgar, modificar y revocar accesos, así como para el control de cambios en los sistemas (testing, revisión de pares, rollback).
- Gestión de Incidentes y Riesgos: Evaluaciones anuales de riesgos, identificación de vulnerabilidades y planes formales de respuesta a incidentes y continuidad de negocio (probados trimestralmente).
9. Salvaguardas Físicas
- Control de Instalaciones: Acceso estrictamente restringido a los centros de datos mediante biometría y tarjetas de acceso, con registro detallado.
- Vigilancia: Cámaras de seguridad 24/7, sistemas de alarma y monitoreo perimetral.
- Protección de Estaciones: Bloqueo automático de pantallas, cifrado de discos duros, protección antimalware y actualizaciones obligatorias.
- Gestión de Dispositivos: Políticas estrictas para dispositivos móviles, cifrado obligatorio y procedimientos para la destrucción segura de medios de almacenamiento.
10. Notificación de Brechas
- Definición: Cualquier acceso, adquisición, uso o divulgación no autorizada de PHI que comprometa su seguridad o privacidad.
- Procedimiento de CRMHUB: Mediante monitoreo y reportes, CRMHUB investigará (causa raíz, alcance, timeline) y notificará al Cliente sin demora indebida (máximo 48 horas) tras descubrir una brecha.
- Notificación a Pacientes y OCR: Es responsabilidad exclusiva del Cliente notificar a los pacientes afectados y a la OCR (HHS) dentro de los 60 días posteriores al descubrimiento. Si la brecha afecta a más de 500 residentes de un mismo estado, el Cliente también deberá notificar a los medios de comunicación.
11. Transferencia de PHI
- Ubicación: El PHI se procesa exclusivamente en centros de datos ubicados en Estados Unidos (ej. Google Cloud Platform, AWS) que cuentan con las certificaciones de seguridad requeridas.
- Transferencias Internacionales: El PHI no se transfiere fuera de Estados Unidos sin la autorización explícita del Cliente.
- Método: Todas las transferencias se realizan mediante conexiones seguras (TLS) y cifrado de extremo a extremo, con auditoría de las mismas.
12. Auditoría y Certificación
- Por el Cliente u OCR: El Cliente o la OCR pueden solicitar auditorías. CRMHUB cooperará plenamente, proporcionando la documentación y el acceso necesario (con notificación previa razonable por parte del Cliente).
- Certificaciones: CRMHUB mantiene y proporciona copias de certificaciones de la industria como SOC 2 Type II e ISO 27001 (anuales).
- Registros: El Cliente tiene derecho a acceder a los registros de auditoría del PHI, los cuales se retienen conforme a los requisitos de HIPAA.
13. Devolución y Eliminación de PHI
- Al Término del Contrato: El Cliente puede optar por la devolución del PHI en un formato acordado o su eliminación segura.
- Proceso: La devolución o eliminación se completará dentro de los 30 días posteriores a la solicitud, y CRMHUB emitirá un certificado confirmando la acción.
- Backups: Las copias de seguridad que contengan PHI se eliminarán conforme a la política de retención de 30 días. El PHI no podrá ser recuperado posteriormente.
14. Duración y Terminación
- Duración: Este BAA permanece vigente mientras exista una relación contractual y se procese PHI.
- Terminación: Finaliza cuando termina el contrato principal, el Cliente lo solicita o CRMHUB suspende los servicios.
- Efectos: Las obligaciones de confidencialidad sobre el PHI sobreviven a la terminación del acuerdo.
15. Limitaciones y Exclusiones
- Permanencia: Como se advirtió, la activación de HIPAA en una cuenta es permanente.
- Responsabilidades Compartidas: El Cliente es el único responsable de determinar su elegibilidad, cumplir con la Privacy Rule, notificar a pacientes/OCR y asegurar sus propios procesos internos.
- Sin Asesoría Legal ni Garantía Absoluta: CRMHUB proporciona las herramientas y salvaguardas técnicas, pero no brinda asesoría legal sobre HIPAA ni garantiza que el uso de la plataforma por parte del Cliente cumpla automáticamente con todas las regulaciones de HIPAA.
- Responsabilidad Limitada: La responsabilidad de CRMHUB bajo este BAA se limita al monto total pagado por el Cliente en los últimos 12 meses, conforme a lo establecido en los Términos y Condiciones principales.
16. Contactos
Para asuntos relacionados con HIPAA, utilice los siguientes canales de comunicación:
- HIPAA General: hipaa@crmhubplatform.com
- Seguridad e Incidentes: security@crmhubplatform.com
- Privacidad: privacy@crmhubplatform.com
- Cumplimiento Normativo: compliance@crmhubplatform.com
- Soporte Técnico: support@crmhubplatform.com
Para obtener una copia firmada de este Business Associate Agreement aplicable a su cuenta, por favor contacte a compliance@crmhubplatform.com.