Explore nuestros productos
Explore nuestros productos

Menú Utilidades

Anexo para asociados comerciales

Este Anexo para asociados comerciales ("BAA") forma parte del Acuerdo del cliente con GoTo y está sujeto a sus términos. Sustituye a todas las obligaciones contenidas en el Acuerdo (incluido el DPA) en caso de conflicto y se aplica únicamente con respecto al Tratamiento por parte de GoTo de información sanitaria protegida. Este BAA entra en vigor en la fecha de la última de las firmas incluidas a continuación ("Fecha de entrada en vigor").

CONSIDERANDO QUE GoTo ha firmado un contrato para prestar determinados Servicios al Cliente en virtud del Acuerdo; y

CONSIDERANDO QUE el Cliente tiene la intención de utilizar los Servicios de una forma que puede requerir que GoTo trate Información sanitaria protegida mediante los Servicios; y

CONSIDERANDO QUE, en la medida aplicable, las Partes se comprometen a cumplir sus obligaciones en virtud de la Ley de Transferencia y Responsabilidad de Seguro Médico de 1996, modificada por la Ley de Tecnología de la Información Sanitaria para la Salud Económica y Clínica, Pub. L. 111-5 ("HIPAA"), que puede ser modificada.

POR LO TANTO, este BAA establece los términos y condiciones conforme a los que se gestionará la Información de salud protegida, incluida la Información de salud protegida electrónica. Las Partes acuerdan lo siguiente:

  1. Definiciones
    • 1.1 Definiciones generales. Todos los términos en este BAA no definidos de otro modo en el Acuerdo (incluido el DPA) tendrán el mismo significado que los términos de las Normas HIPAA.
    • 1.2 Definiciones específicas. A efectos de este BAA, los siguientes términos tienen los significados indicados siempre que el término aparezca con letra mayúscula inicial:
      • 1.2.1 "Incumplimiento" significa la adquisición, el acceso, el uso o la divulgación de PHI de una manera no permitida por la HIPAA que comprometa la seguridad o la privacidad de la PHI, a menos que dicha adquisición, dicho acceso, dicho uso o dicha divulgación estén excluidos en virtud de 45 C.F.R. § 164.402.
      • 1.2.2 "Asociado comercial" tiene el mismo significado que el término de 45 C.F.R. § 160.103.
      • 1.2.3 "Entidad cubierta" significa lo mismo que el término de 45 C.F.R. § 164.103.
      • 1.2.4 "Conjunto de registros designados" significa un grupo de registros mantenidos por o para el Cliente con el significado de 45 C.F.R. § 164.501 formado por: (i) los sistemas de registro de inscripción, pago, adjudicación de reclamaciones y gestión de casos o médica mantenidos por o para un plan de salud; o (ii) los registros utilizados, total o parcialmente, por o para el Cliente con el objetivo de tomar decisiones sobre Personas. A efectos de esta sección, el término "registro" significa los elementos, las colecciones o los grupos de información que incluyan PHI y estén mantenidos, recopilados, utilizados o difundidos por o para la Entidad Cubierta.
      • 1.2.5 "PHI electrónica o ePHI" significa PHI en formato electrónico.
      • 1.2.6 "Normas HIPAA" significan las Normas de privacidad, seguridad, notificación de incumplimiento y aplicación de la ley de 45 C.F.R. parte 160 y parte 164.
      • 1.2.7 "Persona" tiene el mismo significado que el término como se define en 45 C.F.R. § 160.103 e incluye a personas que cumplan los requisitos necesarios para ser representante personal de conformidad con 45 C.F.R. § 164.502(g).
      • 1.2.8 "Norma de privacidad" significa los Estándares de privacidad de la información sanitaria de identificación individual de 45 C.F.R. parte 160 y parte 164, subpartes A y E.
      • 1.2.9 "Información sanitaria protegida" o "PHI" tiene el mismo significado que el término de 45 C.F.R. § 160.103, limitándose a la información proporcionada por el Cliente a GoTo en virtud del Acuerdo.
      • 1.2.10 "Exigido por ley" tiene el mismo significado que el término de 45 C.F.R. § 164.103.
      • 1.2.11 "Secretario" significa el Secretario de Salud y Servicios Humanos ("HHS") de Estados Unidos o la persona designada por él.
      • 1.2.12 "Norma de seguridad" significa los Estándares de seguridad de 45 C.F.R. parte 160, parte 162 y parte 164.
      • 1.2.13 "Servicios" significa las funciones, las actividades o los servicios que GoTo proporcionará al Cliente en virtud de los términos del Acuerdo.
  2. Funciones de las Partes. En la medida en que GoTo trata PHI, (i) GoTo es Asociado comercial del Cliente; y (ii) el Cliente es una Entidad cubierta o un Asociado comercial de nivel superior. Si el Cliente es un Asociado comercial de nivel superior, como acuerden las partes, el Cliente es responsable de cumplir las obligaciones de la Entidad cubierta establecidas en este BAA o de hacer que se cumplan, según corresponda.
  3. Usos y divulgaciones permitidos de PHI.
    • 3.1 GoTo podrá utilizar o divulgar PHI según sea razonablemente necesario para prestar Servicios al Cliente y según esté Exigido por ley.
    • 3.2 GoTo podrá utilizar PHI para su gestión y su administración correctas y para cumplir sus obligaciones legales. GoTo también podrá divulgar PHI para su gestión y su administración correctas o para cumplir sus obligaciones legales, siempre que (i) las divulgaciones sean algo Exigido por ley; o (ii) GoTo obtenga (a) garantías razonables del destinatario de la PHI de que la PHI seguirá siendo confidencial y solo se utilizará o divulgará según lo Exigido por ley o para el propósito para el que se le divulgó la PHI, y (b) el destinatario acepte notificar a GoTo cualquier caso del que tenga conocimiento en el que se haya infringido la confidencialidad de la PHI.
    • 3.3 GoTo podrá desidentificar la PHI de acuerdo con 45 C.F.R. § 164.514 (a)-(c) y utilizar y divulgar dicha información para los fines empresariales legítimos de GoTo. La información desidentificada ya no es PHI y no está sujeta a este BAA.
  4. Obligaciones de GoTo.
    GoTo debe hacer lo siguiente:
    • 4.1 No utilizar ni divulgar PHI más que en los casos permitidos por el Acuerdo o cuando esté Exigido por ley.
    • 4.2 Solicitar, utilizar y divulgar la PHI mínima necesaria para alcanzar el fin empresarial previsto.
    • 4.3 No utilizar ni divulgar PHI de manera que infringiera la subparte E de 45 C.F.R. parte 164 si lo hiciera el Cliente, excepto para los usos y las divulgaciones establecidos en las secciones 3.2 y 3.3.
    • 4.4 Mantener las medidas de protección administrativas, físicas y técnicas apropiadas de conformidad con la subparte C de la Norma de seguridad (45 C.F.R. parte 164) para impedir el uso o la divulgación de PHI de forma distinta a la prevista en este Acuerdo.
    • 4.5 Informar al Cliente de los usos o las divulgaciones de PHI no previstos en el Acuerdo o de cualquier Incidente de seguridad del que tenga conocimiento. El Cliente reconoce que GoTo experimenta de forma rutinaria "Incidentes de seguridad sin éxito", como pings y otros ataques de transmisión en el cortafuegos de GoTo, escaneos de puertos, intentos de inicio de sesión sin éxito, intentos de phishing, denegaciones de servicio y cualquier combinación de los anteriores, que no tienen como resultado el acceso no autorizado a PHI, el uso no autorizado de PHI ni la divulgación no autorizada de PHI. Mediante este documento, GoTo notifica al Cliente dichos Incidentes de seguridad sin éxito, y el Cliente acepta que no es necesario ningún aviso adicional de GoTo.
    • 4.6 Realizar un esfuerzo razonable para mitigar, en la medida de lo posible, cualquier efecto perjudicial derivado de usos o divulgaciones de PHI por parte de GoTo no permitidos por el Acuerdo.
    • 4.7 Notificar al cliente cualquier Incumplimiento de PHI no protegida sin demora injustificada y, en todos los casos, dentro de los plazos establecidos en 45 C.F.R. § 164.410. La notificación de GoTo al Cliente en virtud de esta sección incluirá, en la medida de lo posible, la información contenida en 45 C.F.R. § 164.404 (c) (1) (A)-(D), la información de contacto que puede usar el Cliente para dirigir consultas y la identificación de cada Persona a cuya PHI no protegida se haya accedido o cuya PHI no protegida se haya adquirido, utilizado o divulgado durante la Infracción (también cuando GoTO crea razonablemente que ha sucedido lo anterior). GoTo actualizará sin demora su notificación al Cliente en caso de que GoTo disponga de alguna de las informaciones anteriores tras su notificación inicial.
    • 4.8 Únicamente en la medida en que GoTo mantenga un Conjunto de registros designados en nombre del Cliente que sea solo una copia de dicha PHI y cuando el Cliente no pueda completar la solicitud sin la asistencia de GoTo, GoTo deberá, previa solicitud por escrito del Cliente, (i) proporcionar acceso a la PHI al Cliente en los plazos establecidos en 45 C.F.R. § 164.524; y (ii) realizar las modificaciones a la PHI de un Conjunto de registros designados que el Cliente indique o acepte en los plazos establecidos en 45 C.F.R. § 164.526, o tomar otras medidas necesarias para cumplir las obligaciones del Cliente en virtud de 45 C.F.R. § 164.526.
    • 4.9 Mantener y proporcionar la información necesaria para notificar las divulgaciones al Cliente según sea necesario para satisfacer al Cliente (o a la Entidad cubierta pertinente si no es el Cliente) según 45 C.F.R. § 164.528.
    • 4.10 Exigir a los subcontratistas que creen, reciban, mantengan o transmitan PHI en nombre de GoTo que acepten las mismas restricciones, las mismas condiciones y los mismos requisitos que se aplican a GoTo con respecto a dicha información, de conformidad con 45 C.F.R. §§ 164.502 (e) (1) (ii) y 164.308 (b) (2), si procede.
    • 4.11 A petición del Secretario, poner a disposición del HHS las prácticas internas, los libros y los registros relacionados con el uso y la divulgación de PHI por parte de GoTo con el fin de determinar el cumplimiento de las Partes con las Normas HIPAA.
    • 4.12 En la medida en que los Servicios de GoTo requieran que GoTo cumpla una o más de las obligaciones del Cliente en virtud de la subparte E de 45 C.F.R. parte 164, cumplir los requisitos de la subparte E que se apliquen al Cliente en el desempeño de dichas obligaciones.
  5. Obligaciones del Cliente
    • 5.1 El Cliente debe hacer lo siguiente:
      • 5.1.1 Divulgar a GoTo solo la cantidad mínima de PHI razonablemente necesaria para lograr el propósito previsto en el Acuerdo.
      • 5.1.2 No solicitar a GoTo que utilice o divulgue PHI de ninguna manera que no estaría permitida por las Normas HIPAA si lo hiciera el Cliente.
      • 5.1.3 Notificar a GoTo las limitaciones en su aviso de prácticas de privacidad de acuerdo con 45 C.F.R. § 164.520, en la medida en que estas limitaciones puedan afectar al uso o la divulgación por parte de GoTo de PHI de conformidad con este Acuerdo. GoTo realizará un esfuerzo comercialmente razonable para cumplir dichas limitaciones.
      • 5.1.4 Notificar a GoTo los cambios o las revocaciones del permiso de una Persona para utilizar o divulgar PHI, en la medida en que dichos cambios puedan afectar al uso o la divulgación de PHI por parte de GoTo de conformidad con este Acuerdo. GoTo se compromete a cumplir los cambios o las revocaciones del permiso comunicados por el Cliente, en la medida de lo posible según el Acuerdo.
      • 5.1.5 Notificar a GoTo cualquier restricción sobre el uso o la divulgación de PHI que el Cliente haya aceptado de conformidad con 45 C.F.R. § 164.522, en la medida en que dicha restricción pueda afectar al uso o la divulgación de PHI por parte de GoTo de conformidad con este Acuerdo. GoTo cumplirá cualquier restricción comunicada por el Cliente, en la medida de lo posible según el Acuerdo y la legislación aplicable.
    • 5.2 El Cliente es el único responsable de (i) su cumplimiento de la HIPAA; (ii) utilizar los Servicios únicamente de forma que se cumpla la HIPAA; y (iii) asegurarse de que dispone de derechos suficientes para revelar PHI a GoTo o para hacer que GoTo trate PHI como se contempla en el Acuerdo, lo que incluye, por ejemplo, obtener y mantener los consentimientos o las autorizaciones requeridos.
  6. Vigencia y rescisión
    • 6.1 Rescisión automática. Este BAA se rescindirá automáticamente sin necesidad de que las Partes adopten ninguna otra medida en el momento en que (i) se rescinda o caduque el Acuerdo; o (ii) finalice la prestación de Servicios por parte de GoTo al Cliente que requieran Tratamiento de PHI (lo que ocurra antes).
    • 6.2 Rescisión procedente. Si cualquiera de las Partes tiene conocimiento de un incumplimiento importante de este BAA cometido por la otra Parte, la Parte no responsable de dicho incumplimiento deberá notificarlo por escrito a la Parte responsable del incumplimiento exponiendo la naturaleza del incumplimiento y concediendo 30 días para subsanarlo. La Parte no responsable del incumplimiento podrá rescindir este BAA o el Acuerdo si la Parte responsable del incumplimiento no ha subsanado el incumplimiento a satisfacción de la Parte no responsable de dicho incumplimiento o si la subsanación no es posible. Si el Cliente es la Parte responsable del incumplimiento, dejará inmediatamente de proporcionar PHI a los Servicios o de hacer que GoTo trate PHI mediante dichos Servicios. Esta disposición se añade a las disposiciones de rescisión del Acuerdo.
    • 6.3 Efecto de la rescisión.
      • 6.3.1 Al rescindirse o caducar este BAA o del Acuerdo por cualquier motivo, GoTo devolverá o destruirá toda la PHI de conformidad con 45 C.F.R. § 164.504 (e) (2) (ii) (J) si es razonablemente factible hacerlo. Si GoTo determina que lo anterior no es factible, GoTo deberá (i) informar al Cliente de los motivos de dicha determinación; y (ii) extender todas las medidas de protección, limitaciones y restricciones contenidas en este BAA a cualquier PHI conservada tras la rescisión de este Acuerdo hasta el momento en que dicha PHI se devuelva al Cliente o se destruya.
      • 6.3.2 Sin perjuicio de lo dispuesto en la sección 6.4.1, tras la rescisión de este BAA o del Acuerdo por cualquier motivo, GoTo podrá conservar toda la PHI que sea necesaria para su gestión y su administración propias o para cumplir sus responsabilidades legales, siempre y cuando GoTo no utilice dicha PHI para ningún otro propósito y extienda todas las medidas de protección, limitaciones y restricciones contenidas en este BAA a cualquier PHI conservada tras la rescisión de este Acuerdo hasta el momento en que dicha PHI ya no sea necesaria para este propósito. GoTo deberá cumplir las disposiciones de la sección 6.4.1.
  7. Otras disposiciones.
    • 7.1 Mantenimiento de la vigencia. Los derechos y las obligaciones de GoTo y del Cliente en virtud de las disposiciones de las secciones 4.3, 4.5 y 4.9, las secciones 6.3.1 y 6.3.2 y la sección 7 mantendrán la vigencia tras la rescisión de este Acuerdo hasta el momento en el que la PHI se devuelva al Cliente o se destruya.
    • 7.2 Modificaciones. Además de la disposición sobre modificaciones del Acuerdo, las Partes acuerdan tomar las medidas necesarias para modificar este BAA según sea necesario para cumplir los requisitos de las Normas HIPAA.
    • 7.3 Ausencia de terceros beneficiarios. Nada explícito o implícito en este Acuerdo pretende conferir ni confiere a persona alguna distinta de las Partes y de los respectivos sucesores o cesionarios de las Partes derechos, recursos, obligaciones o responsabilidades de ningún tipo.
    • 7.4 Referencias normativas. Una referencia en este BAA a una sección de las Normas HIPAA significa la sección en vigor o modificada.
    • 7.5 Interpretación. Cualquier ambigüedad de este BAA se resolverá de manera que permita a las Partes cumplir las Normas HIPAA.

Última actualización: noviembre de 2024 (2024.v1.0)