8 min read

¿Por qué es importante establecer acuerdos de socio comercial BAA?

¿Por qué es necesario establecer un Acuerdo de Socio Comercial (BAA)?

Si tu negocio es considerado “entidad cubierta” según la Ley de Responsabilidad y Portabilidad del Seguro Médico (HIPAA) es necesario que firmes Acuerdos de Socio Comercial (BAA) con tus subcontratistas o empresas proveedoras para garantizar la protección de datos de pacientes.

Las empresas proveedoras que crean, reciben, almacenan o transmiten información médica protegida (PHI) mientras ofrecen un servicio, para, o en nombre de una entidad cubierta, se consideran socias comerciales. Por ejemplo, un hosting, una empresa de desarrollo de software, de destrucción de datos, de transcripción, o de facturación.

Los BAA son una condición que plantea HIPAA para especificar cuáles son los usos permitidos e inadmisibles de la PHI entre las partes. Además, detallan las responsabilidades, las consecuencias de no cumplir con los requisitos establecidos y más.

Si querés saber qué es una BAA, qué empresas deben establecer ese tipo de acuerdos, y conocer algunos ejemplos seguí leyendo. También te dejamos cuáles son las pautas para cumplir con HIPAA y un toolkit con todo lo que tenés que saber sobre la normativa estadounidense como por ejemplo, quiénes deben cumplir con HIPAA, quién hace cumplir HIPAA, y cómo elegir una empresa proveedora HIPAA compliant.

En este artículo:

¿Qué es un acuerdo de socio comercial HIPAA?

¿Cuál es el propósito de un Acuerdo de Socio Comercial (BAA)?

¿Quién necesita acuerdos de socios comerciales de HIPAA?

¿Qué información contiene un acuerdo BAA?

¿Cuál es la diferencia entre un BAA y un NDA?

¿Qué pasa si no tienes un BAA?

¿Cuál es un ejemplo de socio comercial de una entidad cubierta por HIPAA?

¿Qué es un acuerdo de socio comercial HIPAA?

Un acuerdo de socio comercial es un requisito obligatorio de la Ley HIPAA que tiene por objetivo salvaguardar la información médica protegida (PHI) al tercerizar tareas. La misma establece una relación legal vinculante entre:

  • La empresa considerada entidad cubierta y una empresa socia comercial.

  • Una empresa socia comercial de una entidad cubierta y su subcontratista.

De esta manera se crea una cadena de responsabilidades que genera que todas las partes se comprometan con la protección de datos.

¿Cuál es la estructura de un acuerdo BAA? Te dejamos los tres apartados que deben contener los contratos celebrados entre las entidades que están en contacto con información médica protegida:

  1. Descripción del modo en que la empresa socia comercial se vinculará con la PHI. Se especifica claramente cómo se emplearán esos datos y si se divulgarán de alguna manera.

  2. Límites. Se deja constancia de lo que no puede hacer la empresa socia comercial con la PHI, incluyendo las divulgaciones no permitidas.

  3. Definición de salvaguardas apropiadas para prevenir el uso inadecuado, o la filtración de datos médicos, a excepción de la divulgación que sí fue autorizada en el punto uno.

¿Cuál es el propósito de un Acuerdo de Socio Comercial (BAA)?

El propósito de firmar un acuerdo de socio comercial (BAA) es establecer criterios de uso, almacenamiento y distribución de PHI entre las entidades cubiertas y sus proveedores con el fin de evitar filtraciones de información.

Los BAA dan cuenta de las características del servicio, los tiempos de respuesta frente a incidentes y las expectativas de recuperación ante dicha contingencia. Además, describe los usos correctos e incorrectos de la PHI y deja asentadas las consecuencias ante violaciones para todas las partes involucradas.

¿Quién necesita acuerdos de socios comerciales de HIPAA?

HIPAA establece que sólo las siguientes entidades cubiertas necesitan establecer acuerdos de socio comercial:

  • Obras sociales y prepagas.

  • Healthcare clearinghouses. Por ejemplo, compañías de revisión de precios, servicios de facturación, sistemas comunitarios de información de salud, etc.

  • Proveedoras de empresas de atención médica que envían o transmiten cualquier información de salud para transacciones.

  • Instituciones de atención médica.

  • Entidades híbridas como universidades con centros médicos académicos, u hospitales que realizan intercambio de PHI con fines de investigación.

Por otra parte, no todos los socios comerciales que trabajan para una entidad cubierta deben firmar BAA, sólo deberán hacerlo:

  • Personas o entidades que realizan -o ayudan a realizar- una actividad o función que involucra el uso o divulgación de PHI. Por ejemplo, procesamiento o administración de reclamos, análisis de datos, revisiones de control de calidad y revisiones de utilización.

  • Personas o entidades que realizan servicios actuariales, de consultoría, legales, de agregación de datos, acreditación, gestión, administración o financieros para una entidad cubierta donde la realización de estos servicios implica la divulgación de PHI.

Es importante señalar que las personas empleadas, proveedoras de servicios de Internet y socias de servicios de mensajería de una entidad cubierta, no se consideran socios comerciales; y que una entidad cubierta puede ser socia comercial de otra entidad cubierta.

¿Qué información contiene un acuerdo BAA?

El documento que las partes firmen en el marco de un BAA deberá contener una serie de datos clave para cumplir con las medidas de protección impuestas por HIPAA. Los mismos son:

  • Fecha.

  • Nombres completos de las personas e instituciones involucradas.

  • Aceptación de los términos y condiciones.

  • Declaración del marco legal: HIPAA.

  • Descripción del tipo de PHI al que se da acceso.

  • Definición de los usos permisibles e inadmisibles de la PHI.

  • Explicación de las responsabilidades y consecuencias.

  • Protocolo para la formación de personas que manipularán la PHI en HIPAA.

  • Protocolo de actuación en caso de violación de datos.

  • Procedimiento para devolver o destruir PHI.

  • Firmas de las partes involucradas.

¿Quién suele firmar un BAA? Por lo general las autoridades de las entidades involucradas son las encargadas de rubricar estos documentos y se encargan de hacer que en sus instituciones se cumplan esos acuerdos. En el caso de tratarse de acuerdos entre personas, son ellas mismas las que se responsabilizan por su compromiso.

¿Cuál es la diferencia entre un BAA y un NDA?

La diferencia entre una BAA y un NDA radica en el ámbito de aplicación. El primero está enmarcado en la Ley de Responsabilidad y Portabilidad del Seguro Médico (HIPAA); mientras que el segundo, puede celebrarse en cualquier campo: empresarial, tecnológico, del entretenimiento, investigación y desarrollo, recursos humanos, etc.

Los acuerdos de no divulgación o NDA son contratos legalmente exigibles que configuran una relación confidencial entre una persona con información sensible que no quiere que se haga pública y un sujeto o institución que tendrá acceso a esos datos.

En esa relación hay un compromiso de no revelar esa información sensible. Un ejemplo de un acuerdo de no divulgación podría ser una empresa que le exige a una persona empleada encargada de las finanzas que firme un NDA para comprometerse a no divulgar datos de facturación e ingresos de la organización.

¿Qué pasa si no podés firmar BAA?

Si no contás con los recursos, ni conocimientos para firmar un acuerdo de socio comercial es probable que pierdas algunas oportunidades de negocio. Es decir, que algunas empresas que trabajan en la industria de salud o healthtech y quieran contratar tus servicios, terminen por elegir a otra que sí pueda establecer un BAA.

Los riesgos de trabajar con empresas que no cumplen con la normativa HIPAA son muy grandes, ya que una auditoría del Departamento de Salud y Servicios Humanos (HHS) de Estados Unidos podría determinar que se trata de una infracción a la norma y las penalizaciones pueden llegar a ser muy importantes.

El Estado norteamericano a través de la Oficina de Derechos Civiles (OCR) determina la gravedad de la situación y la negligencia intencionada y establece multas que pueden llegar a 1.500.000 dólares por año; y en casos muy severos, puede implicar otro tipo de medidas no monetarias.

¿Cuál es un ejemplo de socio comercial de una entidad cubierta por HIPAA?

Un ejemplo de socio comercial de una entidad cubierta según HIPAA, podría ser una empresa de tecnología (de nombre ficticio Sky) que provee servicios de almacenamiento de datos en la nube para una clínica. La institución tiene la responsabilidad de proteger la privacidad y seguridad de toda la información médica de sus pacientes.

Para mejorar las medidas de protección de datos, la eficiencia y accesibilidad a los mismos, la organización contrató a Sky para que se encargue de almacenar toda la información de manera segura. En esta situación, la empresa tecnológica es considerada socia comercial de la clínica porque terceriza su servicio y tendrá acceso a la PHI.

En esta situación, ambas partes están obligadas a firmar un acuerdo de socio comercial que contemple a qué datos tendrá acceso Sky, qué debe hacer para proteger los datos, qué uso puede darles y qué uso no puede darles; las penalidades de incumplir con este acuerdo, etc.

En XOOR cumplimos con la ley HIPAA. Todos nuestros equipos se capacitaron, tomaron un exámen de validación de esos conocimientos y están aprobados para poder trabajar en proyectos que involucran PHI. Somos proveedores acreditados para firmar acuerdos de socio comercial y estamos altamente comprometidos con la seguridad de los datos y con la prevención de violaciones de información. ¡Agendá una reunión y comencemos a trabajar en conjunto!