¿Qué es un acuerdo de socio comercial (BAA)?

Para qué sirve un BAA

Las entidades cubiertas por HIPAA (hospitales, clínicas, planes de salud, empresas de facturación) a menudo entregan datos de pacientes a proveedores externos. Un proveedor de almacenamiento en la nube, un procesador de pagos, un centro de contacto, un servicio de transcripción, una plataforma de analítica: cualquiera de estos puede acabar manejando información de salud protegida (PHI). HIPAA no prohíbe esto. Pero exige que el proveedor acepte las mismas obligaciones legales que tiene la entidad cubierta.

El BAA es la forma en que se transfiere esa obligación. Es un contrato que obliga al proveedor (el "socio comercial") a requisitos específicos de la Regla de Seguridad y de la Regla de Privacidad de HIPAA. También crea una vía directa de aplicación para que la Oficina de Derechos Civiles del HHS (OCR) actúe contra el proveedor si la PHI se maneja mal.

Quién lo necesita

Necesitas un BAA entre cualquier entidad cubierta y cualquier socio comercial. También necesitas un BAA entre un socio comercial y cualquiera de sus subcontratistas que toquen PHI. La cadena llega hasta el final.

Los socios comerciales típicos incluyen:

• Empresas de facturación médica y proveedores de gestión del ciclo de ingresos
• Procesadores de pagos que manejan PHI junto con datos de tarjeta
• Proveedores de alojamiento y almacenamiento en la nube
• Proveedores de software de EHR y gestión de consultorios
• Centros de contacto y servicios de respuesta
• Empresas de destrucción de documentos
• Abogados y contadores que revisan PHI
• Consultores de TI con acceso a sistemas
• Servicios de transcripción y traducción

Lo que no activa un BAA: proveedores que no acceden realmente a la PHI. Un servicio de limpieza que vacía la basura sin ver expedientes de pacientes no es un socio comercial. Un operador de telecomunicaciones que solo transmite tráfico cifrado sin poder acceder a su contenido se trata como conductor (conduit) y no necesita BAA.

Cláusulas requeridas

La normativa de HIPAA especifica qué tiene que contener un BAA. Los términos requeridos incluyen:

• Usos y divulgaciones permitidos El BAA debe describir exactamente qué se le permite hacer al socio comercial con la PHI. Cualquier cosa fuera de ese alcance es una violación.
• Salvaguardas El socio comercial debe aceptar implementar salvaguardas administrativas, físicas y técnicas como exige la Regla de Seguridad de HIPAA.
• Obligaciones de reporte El socio comercial debe reportar cualquier uso o divulgación de PHI no permitido por el BAA, más cualquier incidente de seguridad o filtración.
• Cascada a subcontratistas El socio comercial debe asegurarse de que cualquier subcontratista que use para manejar PHI firme un BAA con las mismas protecciones.
• Derechos de acceso El socio comercial debe poner la PHI a disposición de la entidad cubierta (o directamente de los pacientes) según sea necesario para cumplir con los derechos individuales de HIPAA.
• Modificación y rendición de cuentas El socio comercial debe apoyar las obligaciones de la entidad cubierta de modificar la PHI a petición del paciente y rendir cuentas de las divulgaciones.
• Devolución o destrucción Al terminar el BAA, el socio comercial debe devolver o destruir toda la PHI, o ampliar las protecciones si la devolución o destrucción no es factible.
• Acceso de OCR El socio comercial debe poner sus libros y registros a disposición del HHS para auditorías de cumplimiento.
• Terminación La entidad cubierta debe poder terminar el BAA por incumplimiento material, con un periodo de subsanación definido.

Qué sale mal sin uno

Si una entidad cubierta entrega PHI a un proveedor sin un BAA, está en violación inmediata de la Regla de Privacidad de HIPAA. El rango de sanciones empieza en 100 USD por violación y puede llegar a 50.000 USD por violación, con tope de 1,5 millones de USD por violaciones idénticas al año.

OCR ha impuesto acuerdos de siete cifras a organizaciones que entregaron PHI a proveedores sin BAAs adecuados. Los escenarios más comunes: almacenar PHI en servicios en la nube sin comprobar si el proveedor firmaría un BAA, usar correo o servicios gratuitos de compartir archivos para datos de pacientes y contratar proveedores de marketing o analítica sin acotar el flujo de datos.

Cascada a subcontratistas

Esto pilla desprevenidas a muchas organizaciones. Si una empresa de facturación (socio comercial) contrata a un procesador de pagos (subcontratista) que toca PHI, la empresa de facturación tiene que firmar un BAA con el procesador. La entidad cubierta no firma directamente ese BAA, pero tiene derecho a esperar que la cadena esté intacta.

Si la empresa de facturación se salta el BAA con su subcontratista, queda en violación, y la entidad cubierta también puede estarlo si sabía o debería haber sabido del vacío.

BAAs y proveedores en la nube

Los grandes proveedores en la nube (AWS, Microsoft Azure, Google Cloud) ofrecen BAAs para sus servicios elegibles bajo HIPAA. Pero firmar el BAA solo cubre los datos almacenados en los servicios elegibles. Si pones PHI en un servicio no elegible del mismo proveedor, no estás cubierto.

Es un error frecuente: las organizaciones firman un BAA con su nube y asumen que todo lo que hacen con ese proveedor cumple con HIPAA. No es así. Mapea tus flujos de datos y revisa cada servicio contra el alcance del BAA del proveedor.

BAA frente a contrato de servicio

Un BAA es un documento separado del contrato de servicio subyacente, aunque puede incorporarse como anexo. El BAA aborda obligaciones específicas de HIPAA. El contrato de servicio aborda términos comerciales (precio, SLA, soporte). Ambos deben existir y deben ser coherentes entre sí.