Acuerdo de socio comercial HIPAA

Última actualización: 10 de deciembre de 2019

El Contrato de Socio Comercial HIPAA (en lo sucesivo, “HIPAA BAA”) es un contrato legal celebrado entre usted (en lo sucesivo, “usted” o “su”) y Block, Inc. y sus empresas afiliadas (en lo sucesivo, “Square”, “nosotros” o “nuestro”) con la finalidad de implementar los requisitos de la ley HIPAA para que las partes puedan cumplir con los requisitos estipulados por dicha ley. El “Contrato” se refiere a las Condiciones Generales de Servicio celebradas entre usted (“usted”, “su”) y Square, y rigen su uso de las aplicaciones móviles, sitios web, software, hardware, y otros productos y servicios de Square (en conjunto, los “Servicios”). Conjuntamente con el Contrato, este HIPAA BAA regirá las obligaciones de cada una de las partes en lo que respecta a la Información de Salud Protegida (que se define más adelante).

Usted declara y garantiza que: (i) tiene completa capacidad legal para celebrar este contrato HIPAA BAA, (ii) ha leído y entiende este HIPAA BAA y (iii) acepta los términos de este HIPAA BAA.

Recomendamos que imprima una copia de este HIPAA BAA y del Contrato que lo incorpora y guarde las copias en sus registros.

1. Definiciones

  • Todos los términos en mayúscula que se emplean pero que no estén definidos específicamente en este HIPAA BAA tendrán el mismo significado que el expresado en la ley HIPAA.

  • “HIPAA” significa la Simplificación Administrativa de Ley de Transferibilidad y Responsabilidad de los Seguros de Salud de 1966 y a las normas y reglamentaciones que surgen de la misma, así como sus subsiguientes enmiendas, incluso lo que respecta a la Ley HITECH.

  • “Ley HITECH” se refiere a la Ley de Tecnología de la Información de Salud para la Economía de la Salud y la Salud clínica, sancionada por el Congreso de los Estados Unidos, que corresponde al Título XII de la Ley de Reinversión y Recuperación de los Estados Unidos, y las reglamentaciones que surgen de la misma, así como sus enmiendas subsiguientes.

  • “Información de Salud Protegida” o “PHI” (en lo sucesivo, “PHI”) tendrá el mismo significado que el término “información de salud protegida” indicado en la ley HIPAA, título 45, artículo 160.103 del Código de Reglamentos Federales (en lo sucesivo, “C.F.R.”), salvo lo que se refiere solamente a la siguiente información: (a) que creamos, recibamos, mantengamos o transmitamos en su nombre y (b) no incluirá la información que esté excluida de la ley HIPAA en virtud del artículo 1179 de la Ley de Seguridad Social, título 42, apartado 1320d-8, del Código de los Estados Unidos (U.S.C.).

  • “Individuo” tendrá el mismo significado que el término “individuo” indicado en la ley HIPAA, título 45, artículo 160.103 del C.F.R., e incluirá a la persona que califique como representante personal conforme a lo establecido en la “Norma de Privacidad” de la HIPAA, según se describe en el título 45, artículo 164.502(g) del C.F.R.

Usos y divulgaciones autorizados por parte de Square

A excepción de lo limitado en este HIPAA BAA, podremos:

  • Usar o divulgar PHI que esté en su poder para prestar los Servicios, siempre que dicho uso o divulgación no viole la HIPAA si es hecho por usted.

  • Usar la PHI para nuestra adecuada gestión y administración y para llevar a cabo cualquiera de nuestras responsabilidades legales.

  • Usar la PHI para crear información de salud desidentificada, de conformidad con la “Norma de Privacidad” de la HIPAA, según lo establecido en el título 45, artículo 164.514(b) del C.F.R.

  • Usar la PHI para servicios de consolidación de datos relacionados con sus operaciones de atención de salud.

  • Divulgar a terceros la PHI que esté en nuestro poder para nuestra adecuada gestión y administración o para cumplir con cualquiera de nuestras responsabilidades legales, siempre que: (i) la Divulgación sea Exigida por Ley o (ii) hayamos recibido garantías razonables por escrito de la persona a quien la PHI será divulgada y que: (a) la información siga manteniéndose en forma confidencial y se Utilice o se Divulgue posteriormente solo en los casos en que lo Estipule la Ley o para la finalidad que fue Divulgada y que (b) nos notifique sobre cualquier situación de la que la persona tenga conocimiento de que se ha violado la confidencialidad de la información.

Obligaciones de Square

No utilizaremos ni divulgaremos la PHI salvo que sea autorizado o exigido por este HIPAA BAA o por la Ley. Nos comprometemos a tomar las medidas de seguridad adecuadas y a cumplir, cuando corresponda, con las Normas de seguridad para la protección de la Información De Salud Protegida electrónica, título 45, sección 164, subsección C del C.F.R. (en lo sucesivo, la “Norma de Seguridad”), en lo que respecta a la Información De Salud Protegida electrónica, para prevenir el uso o divulgación de PHI que no sea conforme a lo dispuesto en este HIPAA BAA. Acordamos cumplir con los otros requisitos aplicables de las Regla de Seguridad.

En la medida en que cumplamos una o más de sus obligaciones conforme a las Reglas de Privacidad de la Información Médica identificable de forma individual, 45 C.F.R. Parte 164 Subparte E, que incluyen, de modo no taxativo, proporcionar una notificación acerca de las prácticas de privacidad en su nombre, cumpliremos con los requisitos de la Subparte E que se aplica a usted en el cumplimiento de dichas obligaciones.

a. Informes

Nos comprometemos a cumplir con todos los requisitos vigentes de la Norma de Seguridad. Nos comprometemos a informar a la entidad amparada a la brevedad: (i) cualquier uso o divulgación de PHI que no esté estipulado en este HIPAA BAA, incluida cualquier violación de PHI no protegida y/o (ii) cualquier incidente de seguridad, siempre que esta cláusula 3(a) sirva como notificación y no sea necesario ningún informe adicional sobre cualquier intento de acceso, uso, divulgación, modificación o destrucción de información infructuoso no autorizado o interferencia infructuosa con las operaciones del sistema en un sistema de información. En caso de producirse una violación de PHI no protegida, nos comprometemos a realizar el mencionado informe con la información estipulada en el título 45, artículo 164.410 del C.F.R., a la mayor brevedad posible, y en ningún caso después de los 60 días calendario de que se haya descubierto la violación.

b. Subcontratistas de Square

Nos comprometemos a asegurar que cualquier subcontratista que crea, reciba, mantenga o transmita PHI por nosotros, acepta por escrito, las mismas restricciones y condiciones que aplican a nosotros en virtud de este HIPAA BAA, con relación a dicha PHI, incluido el cumplimiento de todos los requisitos vigentes de la Norma de Seguridad.

c. Acceso a los registros

Nos comprometemos a poner a disposición del Secretario del Departamento de Salud y Servicios Sociales (en lo sucesivo, “Secretario”) todas nuestras prácticas, libros y registros relacionados con el uso y divulgación de la PHI que hayamos creado o recibido del Socio Comercial en nombre suyo, a efectos de que dicho Secretario pueda confirmar el cumplimiento con la ley HIPAA. Nada de lo establecido en esta cláusula se interpretará como una renuncia a algún privilegio o protección de secretos comerciales o información comercial confidencial.

d. Derechos de privacidad individuales

Si usted así lo solicita, pondremos a su disposición en un juego de registros específicos la PHI que usted necesite para cumplir con sus obligaciones para darle acceso a los Individuos a su información de salud, según lo dispuesto por el título 45, artículo 164.524 del C.F.R. Si usted así lo solicita, pondremos la PHI a su disposición en un juego de registros específicos e incorporaremos cualquier modificación a dicha información que usted necesite para cumplir con sus obligaciones, según lo dispuesto por el título 45, artículo 164.526 del C.F.R. Mantendremos y, si usted así lo solicita, le proporcionaremos la información necesaria para que le proporcione a un Individuo una justificación de las divulgaciones, según lo dispuesto por el título 45, artículo 164.528 del C.F.R.

4. Sus obligaciones

Usted adoptará las medidas de seguridad adecuadas para evitar un uso o divulgación no autorizados de la PHI, de conformidad con este HIPAA BAA y según lo disponga la Norma de Seguridad. En la medida en que usted elija utilizar el Servicio para transmitir la PHI sin cifrado, usted es responsable de documentar, conforme a la Regla de Seguridad, que el cifrado no es razonable ni apropiado para dichas comunicaciones y de implementar cualquier medida alternativa equivalente si lo considera razonable y apropiado.

Usted deberá informarnos de cualquier cambio en la PHI o la revocación de autorización de un Individuo para usar o divulgar la PHI, si dichos cambios afectan nuestros usos o divulgaciones autorizados o necesarios en virtud de este HIPAA BAA Usted no aceptará ninguna solicitud de restricción que restrinja nuestros usos o divulgaciones autorizados o necesarios de PHI en virtud de este HIPAA BAA, salvo que así se lo exija la ley. En caso de que la ley le exija aceptar tal restricción, deberá notificarnos de dicha restricción a la brevedad. Usted no solicitará ni hará que usemos o divulguemos PHI de alguna manera no permitida por el HIPAA si es hecho por usted.

Cuando tenga que informar las prácticas de privacidad que establece el HIPAA, no incluirá en dicho informe ninguna restricción que restrinja nuestros usos o divulgaciones autorizados o necesarios de PHI en virtud de este HIPAA BAA, salvo que dicha restricción sea exigida por ley. En caso de que la ley le exija incluir dicha restricción al informar sus prácticas de privacidad, deberá notificarnos sobre la restricción a la brevedad.

5. Potestad para rescindir el contrato en caso de incumplimiento

Si usted determina que hemos violado alguno de los términos fundamentales de este HIPAA BAA, podrá rescindirlo, de conformidad con lo establecido en la cláusula 11 del Contrato.

6. Efectos de la rescisión

A excepción de lo que se establece en esta cláusula 6, tras la rescisión de este HIPAA BAA por cualquier motivo, devolveremos o destruiremos toda la PHI en la medida de lo posible. No guardaremos copias de la PHI. En el caso de que determinemos que no es posible devolver o destruir la PHI, extenderemos las protecciones de este HIPAA BAA a dicha PHI y restringiremos los usos y divulgaciones futuros de dicha PHI solo para aquello que hace que la devolución o destrucción no sea posible, por el tiempo que mantengamos PHI.

7. Interpretación

Es la intención de las partes que cualquier ambigüedad que surja de este HIPAA BAA siempre se interprete con la intención de cumplir con las leyes vigentes.

8. Inexistencia de terceros beneficiarios

Nada en este HIPAA BAA conferirá a otras personas distintas de las partes y sus respectivos sucesores o cesionarios, ningún derecho, reparación, obligación ni responsabilidad de ningún tipo.

9. Inexistencia de relación de representación

Nada en este HIPAA BAA pretende crear una relación de representación entre las partes.

10. Integridad del Contrato

Este HIPAA BAA sustituye cualquier otro acuerdo celebrado anteriormente entre las partes que se relacione con la cobertura de los Servicios de la HIPAA. En la medida que existan conflictos entre los términos de este HIPAA BAA y el resto del Contrato, prevalecerán los términos de este HIPAA BAA. Salvo que se modifique o enmiende expresamente en virtud de este HIPAA BAA, los términos del Contrato mantienen plena vigencia y efecto.