Checklist Legal: Cláusulas Esenciales en un Contrato de Asociado de Negocio (BAA)

El contenido de este checklist se proporciona únicamente con fines educativos e informativos generales. No constituye asesoramiento legal, ni crea una relación abogado-cliente. Aunque se ha elaborado con base en la normativa aplicable, incluyendo HIPAA y sus reglamentos, no sustituye el análisis jurídico específico que requiera cada caso particular. Se recomienda encarecidamente que toda organización o profesional consulte con su asesor legal antes de tomar decisiones o implementar políticas basadas en esta información.

1. Identificación de las Partes

   • Nombres legales completos de la Entidad Cubierta y del Asociado de Negocio.

   • Declaración clara del propósito del acuerdo y la relación de servicios.

     
     

2. Definiciones Clave

   • Definición de "Información de Salud Protegida" (PHI, por sus siglas en inglés).

   • Definición de "Asociado de Negocios" conforme a 45 CFR § 160.103.

   • Inclusión de otros términos relevantes como: "Incidente de Seguridad", "Violación de Seguridad o Brecha", "Subcontratista", entre otros.

     
     

3. Usos y Divulgaciones Permitidas

   • Declaración de que el Asociado de Negocios solo puede usar o divulgar PHI según lo permita el BAA o lo exija la ley.

   • Restricciones a usos con fines de mercadeo, venta de PHI o divulgación no autorizada.

   • Obligación y restricciones de privacidad impuestas por la entidad cubierta.

     
     

4. Obligaciones del Asociado de Negocios

   • Implementar salvaguardas administrativas, físicas y técnicas adecuadas (conforme a 45 CFR § 164.308, § 164.310, § 164.312).

   • Reportar a la Entidad Cubierta cualquier uso o divulgación no permitida de PHI.

   • Notificar violaciones de seguridad (breach) en un plazo razonable y sin demoras innecesarias (ideal: 60 días).

   • Asegurar que los subcontratistas que accedan a PHI también cumplan con HIPAA (deben firmar un BAA).

   • Proveer acceso a la PHI a la Entidad Cubierta o directamente al individuo, cuando sea solicitado y autorizado por la entidad cubierta.

   • Realizar enmiendas a la PHI conforme a las solicitudes recibidas.

   • Proveer contabilidad de divulgaciones si es requerido.

   • Hacer disponible su documentación y prácticas al HHS (Departamento de Salud federal) para fines de auditoría.

     
     

5. Obligaciones de la Entidad Cubierta (opcional pero recomendable)

   • Garantizar que el uso de PHI por parte del Asociado esté dentro del mínimo necesario.

   • Establecer líneas de comunicación para la gestión de incidentes y auditorías.

     
     

6. Plazo y Terminación

   • Fecha de entrada en vigor y duración del acuerdo.

   • Derecho de terminación si el Asociado de Negocios incumple el acuerdo.

   • Obligación de devolver o destruir toda PHI al finalizar el contrato, salvo que no sea posible (caso en el que se deben extender las protecciones).

   • Disposición para retención de PHI si así lo requiere la ley aplicable.

     
     

7. Responsabilidad y Sanciones

   • Establecimiento de responsabilidad por incumplimiento de HIPAA.

   • Indemnización por costos relacionados con violaciones de PHI o brechas de seguridad.

   • Cláusula de seguro (recomendado): evidencia de seguro cibernético o de errores y omisiones.

     
     

8. Misceláneas

   • Disposiciones sobre ley aplicable (por ejemplo, ley federal o estatal si hay conflicto).

   • Cláusulas de resolución de disputas o arbitraje.

   • Enmiendas al acuerdo conforme a cambios en la ley HIPAA.

   • Firma de ambas partes, con nombres, cargos y fecha.