Acuerdo de Asociación Comercial según la HIPAA

Última actualización: noviembre 24, 2020

ACUERDO DE ASOCIACIÓN COMERCIAL

Este Acuerdo de Asociación Comercial (“BAA”, por sus siglas en inglés) forma parte de nuestras Condiciones del Servicio (“Acuerdo”), así sea un cliente actual que aceptó el Acuerdo o un cliente nuevo que acepta el Acuerdo ahora. Usted reconoce que usted, por su propia cuenta como persona física y en nombre de su empleador u otra persona jurídica (de forma conjunta, “Entidad Cubierta”, “usted”, “su” o el “Cliente”) ha leído y entendido y acepta cumplir este BAA, y que suscribe un acuerdo legalmente vinculante con monday.com Ltd, el propietario de monday.com (“monday.com”, “nosotros”, “nos”, “nuestro” o “proveedor de servicios”) para reflejar el acuerdo de las partes sobre los usos y las divulgaciones por el Asociado Comercial de la Información Médica Protegida de la Entidad Cubierta definida en el artículo 160.103 del título 45 del Código de Reglamentaciones Federales (CFR, por sus siglas en inglés) (“PHI”, por sus siglas en inglés, que, para los fines de este Acuerdo, se refiere colectivamente a la PHI en cualquier soporte, ya sea electrónico, escrito u oral).

Ambas partes se denominarán las “Partes” y cada una, una “Parte”. Los términos en mayúscula que no se definen en este documento tendrán los significados asignados a dichos términos en el Acuerdo o en la Ley de Portabilidad y Responsabilidad de Seguros de Salud de 1996 y sus reglamentos de implementación y modificatorias oportunas (en conjunto, “HIPAA”, por sus siglas en inglés). Usted declara y garantiza que tiene, o se le otorgó, capacidad plena para obligar al Cliente con este BAA. Si no pudiera cumplir el BAA y estar obligado por él o si no está de acuerdo con el BAA o no tiene la capacidad para obligar al Cliente o a cualquier otra entidad, no nos proporcione PHI. Usted celebra este BAA en nombre suyo y, en la medida requerida por la HIPAA y las leyes y reglamentaciones de protección de datos aplicables, en nombre del Cliente y los afiliados del Cliente, en la medida que usted o el Cliente procesen PHI por la que dichos afiliados califiquen como una “Entidad Cubierta”. Solo a los efectos de este BAA, y salvo que se indique lo contrario, el término “Entidad Cubierta” incluirá a usted mismo, al Cliente o a los afiliados del Cliente.

Durante la prestación de los Servicios en virtud del Acuerdo, podemos acceder, usar, divulgar o procesar PHI en su nombre o en nombre del Cliente, en calidad de “Asociado Comercial”. Las Partes acuerdan cumplir las siguientes disposiciones con respecto a cualquier PHI, actuando de manera razonable y de buena fe. Si necesita una copia firmada de este BAA, puede descargarlo en www.monday.com/terms/hipaa-baa, enviar una copia firmada a legal@monday.com y le daremos una copia refrendada. En caso de discrepancia entre ciertas disposiciones de este BAA y las disposiciones del Acuerdo, las disposiciones de este BAA prevalecerán sobre las disposiciones contradictorias del Acuerdo.

El Asociado Comercial actualmente usa o divulga PHI de la Entidad Cubierta para brindar los Servicios, tal como se describe en más detalle en el Acuerdo entre las Partes; y al proporcionar Servicios de conformidad con el Acuerdo, el Asociado Comercial se convertirá en un asociado comercial de la Entidad Cubierta, según la definición de dicho término en la HIPAA, y por lo tanto tendrá obligaciones sobre la confidencialidad y la privacidad de la PHI que el Asociado Comercial cree para el Cliente, reciba de este o en nombre de este.        

1. Usos y divulgaciones permitidos. El Asociado Comercial puede utilizar y divulgar la PHI necesaria para cumplir sus obligaciones con la Entidad Cubierta como se establece en el Acuerdo o según lo permita o exija la ley según la HIPAA, siempre que el Asociado Comercial no utilice ni divulgue la PHI de una manera que no estuviera permitida si lo hiciera la Entidad Cubierta. El Asociado Comercial también puede:

 (a)   utilizar PHI (i) según sea necesario para su adecuada gestión y administración o (ii) para cumplir sus responsabilidades legales;

 (b)   divulgar PHI a terceros para los mismos fines siempre y cuando (i) la ley exija dicha divulgación o (ii) el Asociado Comercial obtenga garantías satisfactorias de dicho tercero de que la PHI se mantendrá confidencial y se utilizará o divulgará únicamente según lo exija la ley o con el propósito para el cual se divulgó y que el tercero notificará al Asociado Comercial sobre cualquier caso del que tome conocimiento en el que se haya vulnerado la confidencialidad de la PHI; y

 (c)   el Asociado Comercial se compromete a utilizar y realizar divulgaciones y solicitudes de PHI de acuerdo con las políticas y los procedimientos mínimos necesarios de la Entidad Cubierta.

2.   Obligaciones del Asociado Comercial.

(a)         Límites de la divulgación. El Asociado Comercial se compromete a no utilizar ni divulgar la PHI más allá de lo que permita o exija el presente documento, cualquier Acuerdo por escrito (incluido el Acuerdo) o según lo exija la ley.

(b)         Garantías. El Asociado Comercial acepta implementar garantías administrativas, físicas y técnicas que protejan de manera razonable y adecuada la confidencialidad, integridad y disponibilidad de la PHI que crea, recibe, almacena, mantiene o transmite en nombre de la Entidad Cubierta de conformidad con este Acuerdo o cualquier acuerdo relevante, y evitará el uso o la divulgación de la PHI de la Entidad contrarios a las disposiciones de este Acuerdo o según lo exija la ley.

(c)         Informe de divulgaciones o usos no previstos en el Acuerdo. El Asociado Comercial se compromete a informar a la Entidad Cubierta toda divulgación o uso de la PHI del que tome conocimiento que no esté previsto aquí ni en ningún acuerdo escrito.

(d)         Mitigación. El Asociado Comercial se compromete a mitigar, en la medida de lo posible, cualquier efecto perjudicial del que tome conocimiento en relación con cualquier divulgación o uso de PHI por el Asociado Comercial que infrinja los requisitos de este Acuerdo.

(e)         Uso de agentes o subcontratistas. El Asociado Comercial se compromete a asegurarse de que todo agente, incluido un subcontratista, a quien el Asociado Comercial proporcione PHI recibida y creada por el Asociado Comercial, o recibida de él en nombre de la Entidad Cubierta, acepte restricciones y condiciones sustancialmente similares que se apliquen al Asociado Comercial con respecto a la PHI. El Asociado Comercial, de conformidad con sus obligaciones en virtud de la HIPAA y este Acuerdo, es totalmente responsable de asegurar que se celebre un acuerdo con sus subcontratistas que contenga obligaciones no menos restrictivas que los términos de este Acuerdo.

(f)           Acceso a la PHI. Dentro de los quince (15) días posteriores a la recepción de una solicitud por escrito de la Entidad Cubierta para obtener una copia de la PHI, el Asociado Comercial se compromete a poner la PHI solicitada a disposición de la Entidad Cubierta para que dicha entidad responda a una persona que quiera inspeccionar o copiar la PHI, a menos que el Asociado Comercial considere que haya motivos razonables para denegar dicha solicitud de acuerdo con el artículo 164.524 del título 45 del Código de Reglamentaciones Federales (CFR, por sus siglas en inglés), en cuyo caso notificará a la Entidad Cubierta en consecuencia. El Asociado Comercial debe cumplir la Regla de Seguridad con respecto a la PHI electrónica, lo que incluye, entre otras medidas, poner a disposición mediante solicitud por escrito copias de la PHI en formato electrónico, cuando la PHI se almacene electrónicamente.

(g)         Modificación de la PHI. Dentro de los quince (15) días posteriores a la recepción de una solicitud por escrito de la Entidad Cubierta para hacer una modificación a la PHI, el Asociado Comercial realizará dicha modificación e informará al titular de la PHI que el Asociado Comercial conozca que se ha realizado una modificación, a menos que el Asociado Comercial considere que haya motivos razonables para denegar dicha solicitud según el artículo 164.526 del título 45 del CFR, en cuyo caso notificará a la Entidad Cubierta en consecuencia.

(h)         Rendición de cuentas sobre ciertas divulgaciones.  Dentro de los treinta (30) días posteriores a la recepción de una solicitud por escrito de la Entidad Cubierta para la rendición de cuentas de divulgaciones de la PHI sobre una persona física, el Asociado Comercial deberá proporcionar a la Entidad Cubierta una lista de las personas o entidades a las que el Asociado Comercial ha revelado la PHI de dicha persona física durante los últimos seis (6) años, junto con las fechas, los motivos y descripciones breves de las divulgaciones para que la Entidad Cubierta pueda responderle a una persona física que solicite información sobre las divulgaciones de su PHI. (Consulte el artículo 164.528 del título 45 del CFR).

(i)           Acceso a libros y registros.  El Asociado Comercial entregará sus prácticas, libros y registros internos relacionados con el uso y la divulgación de la PHI recibida y creada por el Asociado Comercial, o recibida de este, en nombre de la Entidad Cubierta al Departamento de Salud y Servicios Humanos de los EE. UU. a pedido para que pueda evaluar el cumplimiento de la Regla de Privacidad por la Entidad Cubierta.

(j)           Obligaciones del Asociado Comercial tras la rescisión. El Asociado Comercial deberá, tras las rescisión de cualquier acuerdo, o de los usos o divulgaciones de la PHI por el Asociado Comercial, de ser factible, devolver o permitir que la Entidad Cubierta destruya toda la PHI recibida y creada por el Asociado Comercial, o recibida de este en nombre de la Entidad Cubierta que el Asociado Comercial aún conserve en cualquier forma en relación con este Acuerdo a través de una opción de eliminación provista por el Asociado Comercial y no retener copias de dicha información o, en el caso de que dicha devolución o destrucción no sea factible, extender las protecciones a la PHI en virtud de este Acuerdo y limitar usos y divulgaciones adicionales a aquellos fines que hagan que la devolución o destrucción de la PHI no sea factible.

(k)         Informes de incidentes de seguridad. El Asociado Comercial informará a la Entidad Cubierta sobre todo Incidente de Seguridad del que tenga conocimiento.  (Según el artículo 164.304 del título 45 del CFR, un Incidente de Seguridad se define como el acceso, uso, divulgación o destrucción de información o interferencia con el funcionamiento del sistema en un sistema de información, sin importar si estas acciones fueron exitosas o solo en grado de tentativa).  Sin perjuicio de lo anterior, las Partes reconocen y acuerdan que esta sección constituye una notificación por parte del Asociado Comercial a la Entidad Cubierta de la existencia e incidencia continua de Incidentes de Seguridad Fallidos pero intentados.  Los Incidentes de Seguridad Fallidos incluirán, entre otros, pings y otros ataques de difusión en el firewall del Asociado Comercial, exploración de puertos, intentos fallidos de inicio de sesión, rechazos de servicio y cualquier combinación de lo anterior o a través de cualquier otro mecanismo, siempre que dicho incidente no permita el acceso, uso o divulgación no autorizados de la PHI.

3.   Procedimientos para la notificación de vulneraciones.

(a)         Informe de divulgaciones o usos no previstos en el Acuerdo. El Asociado Comercial se compromete a informar a la Entidad Cubierta sobre toda Vulneración, lo que incluye, entre otras, toda presunta adquisición, acceso, uso o divulgación no autorizados e inaceptables de la PHI en cualquier forma, en total conformidad con la HIPAA. Dicha notificación de presunto uso o divulgación no autorizados de PHI en cualquier forma se hará oportunamente a la Entidad Cubierta por escrito sin demoras injustificadas, pero en ningún caso podrá realizarse después de treinta (30) días hábiles desde la fecha en la que el Asociado Comercial tomó conocimiento de los presuntos usos o divulgaciones no autorizados o en la que, mediante el ejercicio de una diligencia razonable, debería haber tomando conocimiento de los presuntos usos o divulgaciones no autorizados.  Además, en el caso de un uso o divulgación no autorizados de la PHI, el Asociado Comercial deberá mitigar, en la medida de lo posible, cualquier efecto perjudicial de dicho uso o divulgación del que tenga o deba tener conocimiento.

(b)        Instrucciones para informar una vulneración. Si ocurre una Vulneración que deba informarse en virtud de la HIPAA, el Asociado Comercial notificará a la Entidad Cubierta. En dicha notificación, el Asociado Comercial deberá incluir, entre otras cosas y en la medida de lo posible, la siguiente información: (1) una descripción breve de los hechos, incluida la fecha del incidente y la fecha de descubrimiento del incidente; (2) la identificación de cada persona cuya PHI esté comprometida o potencialmente comprometida; (3) una descripción de los tipos de PHI involucrados en el incidente; (4) cualquier paso que las personas deban tomar para protegerse de posibles daños que surjan del incidente; y (5) una descripción breve de las acciones del Asociado Comercial para investigar el incidente, mitigar el peligro al que estuvo expuesto la PHI y protegerse contra cualquier otro incidente. Si dicha información no estuviera disponible al momento de la notificación, el Asociado Comercial trabajará con la Entidad Cubierta para dar más información oportunamente a medida que la información esté disponible.

4. Cambios relacionados con el cumplimiento.

Las Partes reconocen que la HIPAA puede cambiar o aclararse ocasionalmente, y que es posible que los términos de este Acuerdo deban revisarse, con el asesoramiento de un abogado, a fin de mantener el cumplimiento con dichos cambios o aclaraciones, y las Partes acuerdan negociar, de buena fe, las revisiones del término o los términos que causen la infracción o el incumplimiento potencial o real. En el caso de que cualquiera de las Partes, actuando razonablemente, no pueda aceptar los términos nuevos o modificados necesarios para que todo el Acuerdo esté conforme a la ley, cualquiera de las partes puede rescindir este Acuerdo con treinta (30) días de notificación por escrito a la otra Parte, o antes si fuera necesario para evitar el incumplimiento de un plazo o una fecha de entrada en vigencia o para proteger cualquier PHI en cuestión, así como para asegurar el cumplimiento de todas las obligaciones en virtud de cualquiera de estos procedimientos, reglas, reglamentaciones o leyes.

5.   Plazo y rescisión.

(a)         Plazo.  Este Acuerdo entrará en vigencia en la Fecha de Entrada en Vigencia establecida arriba y finalizará cuando se rescinda o venza el Acuerdo y cuando toda la PHI proporcionada por cualquiera de las Partes a la otra, o creada o recibida por el Asociado Comercial en nombre del Cliente, de acuerdo con esta sección, se destruya o se devuelva al Cliente o, si las Partes determinan que no es factible devolver o destruir la PHI, las protecciones se extiendan a dicha información, de acuerdo con los términos de este Acuerdo.

(b)        Rescisión.  Sin perjuicio de cualquier otra disposición de cualquier acuerdo, cualquiera de las Partes puede rescindir inmediatamente este Acuerdo si alguna de las Partes, actuando razonablemente, determina que la otra Parte ha incumplido un término sustancial de este BAA y no ha subsanado dicho incumplimiento dentro de los treinta (30) días posteriores a la recepción de la notificación por escrito.  Al rescindir el Acuerdo, o los usos o divulgaciones de la PHI por el Asociado Comercial, el Asociado Comercial deberá, de ser posible, devolver o permitir que la Entidad Cubierta destruya toda la PHI recibida del Asociado Comercial o creada o mantenida por este en nombre de la Entidad Cubierta que el Asociado Comercial aún mantenga de cualquier forma en relación con este BAA a través de una opción de eliminación automática proporcionada por el Asociado Comercial y no conservará copias de dicha información.

6.   Disposiciones varias.

(a)         Integración y uso compartido. El servicio del Asociado Comercial permite la integración, el uso compartido y el intercambio de información con Servicios y Enlaces de Terceros (ambos, según la definición del Acuerdo) que pueden o no ser conformes con la HIPAA. Si la Entidad Cubierta elige utilizar dicho Servicio o Enlace de Terceros, la Entidad Cubierta es la única responsable del intercambio de información, incluida toda PHI entre los servicios del Asociado Comercial y el tercero. Los proveedores de Servicios de Terceros no prestan servicios en nombre de monday.com y no son Asociados Comerciales de monday.com. Por medio del presente, monday.com renuncia expresamente a toda responsabilidad por todo uso, divulgación u otra acción que realicen dichos proveedores de Servicios de Terceros o todo incumplimiento por la Entidad Cubierta de cualquier ley, reglamento o disposición contractual aplicable relacionada con el intercambio de información, incluida la PHI, con cualquier Servicio de Terceros.

(b)        Auditorías. En la medida en que sea necesario para cumplir con la ley aplicable, el Asociado Comercial proporcionará acceso a la Entidad Cubierta (y a los controladores de la Entidad Cubierta), en horarios y con notificación previa razonables y en coordinación con el personal del Asociado Comercial, a las instalaciones en o desde donde se presten los servicios relacionados con la PHI y a los registros del Asociado Comercial y otra información pertinente, todo en la medida que sea relevante para auditar el cumplimiento del Asociado Comercial con sus obligaciones en virtud de este Acuerdo. El Asociado Comercial proporcionará toda asistencia que solicite razonablemente la Entidad Cubierta o su designado para realizar dicha auditoría.

(c)         Ausencia de terceros beneficiarios. Nada de lo expreso o implícito en este Acuerdo tiene la intención de conferir, ni conferirá, a ninguna persona que no sea la Entidad Cubierta, el Asociado Comercial y sus respectivos sucesores y cesionarios ningún derecho, recurso, obligación o responsabilidad de ningún tipo.

El Asociado Comercial se compromete a cumplir todos los requisitos e incorporar los requisitos en sus propios acuerdos en la medida que lo exija la ley. Este Acuerdo reemplaza todo Acuerdo de Asociación Comercial según la HIPAA entre las Partes relacionado con el objeto del presente.

[Sigue la página de firmas]

         EN FE DE LO CUAL, las partes suscriben este Acuerdo de Asociación Comercial por medio de sus representantes debidamente autorizados para que sea efectivo a partir de la Fecha de Entrada en Vigencia.

AVISO LEGAL: Esta es una traducción al español de la versión original en inglés y se proporciona solo para fines de conveniencia. La versión original en inglés es la oficial y legalmente vinculante, misma que prevalecerá en caso de discrepancia.

Empoderamos a los equipos para que logren más, juntos

Prueba gratuita de 14 días | No se necesita tarjeta de crédito