BAA

Business Associate Agreement

This is the current Synkly Business Associate Agreement for portal clickwrap acceptance. Acceptance records preserve the document version shown here.

Version
Version 1.0 - May 2026

Business Associate Agreement

ACUERDO DE ASOCIADO DE NEGOCIOS (BAA)
(Business Associate Agreement - HIPAA / Puerto Rico)
Versión: 1.0 | Vigente desde: Mayo 2026

1. PARTES
Este Acuerdo de Asociado de Negocios ("Acuerdo") se celebra entre:
la entidad cubierta o clínica registrada electrónicamente en el portal de Synkly,
con la dirección de servicio registrada electrónicamente en el portal de Synkly,
en adelante, la "Entidad Cubierta",
y
Panther Group LLC, operando bajo el nombre comercial Synkly,
Ciudad Jardin
63 Calle Malba
Gurabo, PR 00778
en adelante, el "Asociado de Negocios".
La Entidad Cubierta y el Asociado de Negocios podrán denominarse individualmente como una "Parte" y colectivamente como las "Partes".
2. PROPÓSITO
El propósito de este Acuerdo es establecer los términos bajo los cuales el Asociado de Negocios podrá crear, recibir, mantener, transmitir, usar o divulgar Información de Salud Protegida (PHI) en nombre de la Entidad Cubierta, conforme a HIPAA, HITECH, las regulaciones federales aplicables y las leyes aplicables del Estado Libre Asociado de Puerto Rico.
Este Acuerdo aplica únicamente a la PHI que el Asociado de Negocios maneje para prestar los servicios contratados a la Entidad Cubierta.
3. DEFINICIONES
Los términos no definidos expresamente en este Acuerdo tendrán el significado establecido bajo HIPAA, incluyendo 45 CFR Partes 160 y 164.
HIPAA: Health Insurance Portability and Accountability Act of 1996, según enmendada, incluyendo sus regulaciones de privacidad, seguridad y notificación de violaciones.
HITECH: Health Information Technology for Economic and Clinical Health Act, según enmendada.
PHI (Protected Health Information): Información de salud identificable protegida bajo HIPAA, incluyendo datos demográficos que puedan identificar a un individuo y que se relacionen con su condición de salud, atención médica o pago de servicios de salud.
ePHI: PHI creada, recibida, mantenida o transmitida electrónicamente.
Incidente de Seguridad: Intento o acceso, uso, divulgación, modificación o destrucción no autorizada de PHI, o interferencia no autorizada con sistemas que contienen PHI.
Violación (Breach): Adquisición, acceso, uso o divulgación de PHI no asegurada de manera no permitida bajo HIPAA que compromete la seguridad o privacidad de dicha información.
Subcontratista: Tercero que crea, recibe, mantiene o transmite PHI en nombre del Asociado de Negocios.
Servicios: Los servicios tecnológicos, administrativos y operacionales prestados por el Asociado de Negocios a la Entidad Cubierta, incluyendo gestión de citas, intake digital, manejo seguro de documentos y notificaciones operacionales.
4. USOS Y DIVULGACIONES PERMITIDAS
El Asociado de Negocios podrá utilizar o divulgar PHI únicamente para:
Proveer los servicios contratados, incluyendo gestión de citas, intake digital, flujo de documentos clínicos, procesamiento OCR limitado de documentos o imágenes, acceso seguro a documentos y notificaciones operacionales de citas.
Apoyar operaciones de cuidado de salud autorizadas por la Entidad Cubierta, incluyendo tratamiento, pago y operaciones administrativas permitidas.
Cumplir con obligaciones legales aplicables.
Realizar administración interna, seguridad, mantenimiento, soporte técnico y monitoreo, siempre que se limite al mínimo necesario y se mantengan salvaguardas razonables.
El acceso a PHI se limitará al mínimo necesario para completar la función específica autorizada. El Asociado de Negocios accederá únicamente a la PHI necesaria para completar la función autorizada y limitará el acceso interno a personal con necesidad demostrada basada en su función.
Queda expresamente prohibido:
Utilizar PHI para marketing sin autorización escrita de la Entidad Cubierta y, cuando aplique, del paciente.
Vender, alquilar, monetizar o transferir PHI con fines comerciales no autorizados.
Usar PHI para entrenamiento de modelos de inteligencia artificial o sistemas externos no autorizados.
Incluir PHI clínica detallada en correos electrónicos, eventos de calendario, mensajes de texto, servicios de analytics, crash reporting o herramientas externas no autorizadas.
Acceder a PHI fuera del principio de mínimo necesario.
5. OBLIGACIONES DEL ASOCIADO DE NEGOCIOS
5.1 Salvaguardas
El Asociado de Negocios implementará salvaguardas administrativas, físicas y técnicas razonables y apropiadas para proteger la confidencialidad, integridad y disponibilidad de la PHI, incluyendo:
Cifrado de datos en tránsito y en reposo, usando AES-256, TLS 1.2+ o controles equivalentes.
Control de acceso basado en roles (RBAC).
Autenticación multifactor (MFA) para acceso administrativo y para acceso a sistemas con PHI cuando sea aplicable.
Registros de auditoría de accesos a PHI.
Aislamiento lógico de datos entre clientes.
Plan documentado de respuesta a incidentes.
Controles para evitar exposición de PHI en logs, errores, sistemas de monitoreo, servicios de analytics/crash reporting o herramientas de desarrollo.
5.2 Cumplimiento con la Regla de Seguridad
Con respecto a ePHI, el Asociado de Negocios cumplirá con los requisitos aplicables de la Regla de Seguridad de HIPAA, 45 CFR Partes 160 y 164, Subpartes A y C, en la medida aplicable a las funciones que realiza para la Entidad Cubierta.
5.3 Restricción de Uso y Divulgación
El Asociado de Negocios no usará ni divulgará PHI salvo según lo permitido por este Acuerdo, el contrato de servicios subyacente, autorización escrita de la Entidad Cubierta o según sea requerido por ley.
5.4 Notificación de Incidentes y Violaciones
El Asociado de Negocios notificará a la Entidad Cubierta sin demora indebida y en ningún caso más tarde de setenta y dos (72) horas tras descubrir cualquier Incidente de Seguridad o Violación que involucre PHI.
La notificación incluirá, en la medida conocida:
Naturaleza del incidente y fecha de descubrimiento.
Tipo y cantidad de PHI potencialmente comprometida.
Individuos afectados, si están disponibles y si la divulgación es permitida.
Medidas correctivas implementadas o en proceso.
Recomendaciones razonables para mitigación.
Los intentos fallidos de acceso no autorizado, escaneos automáticos, pings o eventos similares que no resulten en acceso no autorizado a PHI no requerirán notificación individual, salvo que representen un riesgo razonable para la seguridad o privacidad de PHI.
5.5 Subcontratistas
El Asociado de Negocios utilizará únicamente subcontratistas autorizados listados en el Anexo A para cualquier función que implique crear, recibir, mantener o transmitir PHI. Cada subcontratista estará sujeto a un BAA, Business Associate Addendum u obligaciones escritas equivalentes que impongan restricciones y salvaguardas no menos protectoras que las establecidas en este Acuerdo.
5.6 Derechos del Paciente
El Asociado de Negocios cooperará con la Entidad Cubierta para permitir, según aplique:
Acceso del paciente a su PHI.
Enmienda o corrección de PHI.
Registro de divulgaciones de PHI.
El Asociado de Negocios no responderá directamente a solicitudes de pacientes salvo que la Entidad Cubierta lo autorice o la ley lo requiera.
5.7 Auditoría y Acceso Regulatorio
El Asociado de Negocios permitirá inspección razonable de sus prácticas, sistemas y controles de seguridad por parte de la Entidad Cubierta o autoridades regulatorias competentes, previa notificación razonable y sujeto a restricciones de seguridad, confidencialidad y disponibilidad operacional.
El Asociado de Negocios pondrá a disposición del Secretario del Departamento de Salud y Servicios Humanos de los Estados Unidos (HHS), o su delegado, sus prácticas internas, libros y registros relacionados con el uso y divulgación de PHI, según sea requerido por HIPAA.
5.8 Mitigación
El Asociado de Negocios tomará medidas razonables para mitigar, en la medida practicable, cualquier efecto perjudicial conocido resultante de un uso, divulgación o acceso no permitido de PHI causado por el Asociado de Negocios o sus subcontratistas.
5.9 Comunicaciones Electrónicas, SMS, Calendarios y Enlaces Seguros
El Asociado de Negocios no incluirá PHI clínica detallada en correos electrónicos, mensajes SMS, mensajes operacionales o herramientas externas no autorizadas. El correo electrónico y los mensajes SMS se limitarán a notificaciones operacionales, códigos de cita, fecha/hora, nombre del paciente y enlaces seguros, según lo establecido en el Anexo B. Los mensajes SMS serán enviados únicamente a través de subcontratistas autorizados con BAA vigente listados en el Anexo A.
Por defecto, los eventos de calendario creados o gestionados por el Asociado de Negocios estarán limitados a código de cita, fecha, hora, proveedor, sala, ubicación o recurso operacional asignado, sin nombre del paciente ni teléfono.
Cuando la Entidad Cubierta active por escrito la integración de calendario bajo el Anexo C, los eventos de calendario podrán incluir identificadores mínimos del paciente, limitados a nombre del paciente y número de teléfono, exclusivamente para fines de programación, coordinación de citas, tratamiento, operaciones clínicas o administración interna autorizada.
En ningún caso se incluirán en correos electrónicos o eventos de calendario diagnósticos, condiciones médicas, razón de visita, historial clínico, información de seguro, documentos, formularios de intake, imágenes, notas clínicas, fecha de nacimiento completa, número de seguro social u otra PHI clínica detallada.
Todo acceso a documentos clínicos, datos de intake, seguros, condiciones de salud o detalles completos de cita deberá ocurrir dentro de una plataforma segura con autenticación y controles de acceso.
6. OBLIGACIONES DE LA ENTIDAD CUBIERTA
La Entidad Cubierta se obliga a:
Obtener los consentimientos, autorizaciones y permisos de pacientes requeridos por ley antes de compartir PHI con el Asociado de Negocios.
Limitar la divulgación de PHI al Asociado de Negocios al mínimo necesario para los servicios contratados.
Notificar al Asociado de Negocios sobre cualquier restricción, limitación, revocación, cambio en autorización o cambio regulatorio aplicable que afecte el manejo de PHI.
No solicitar al Asociado de Negocios usos o divulgaciones de PHI que violen HIPAA u otra ley aplicable.
Verificar que los correos electrónicos, números de teléfono y otros canales de comunicación de pacientes sean correctos y estén autorizados para recibir notificaciones operacionales, cuando la Entidad Cubierta proporcione o controle dicha información.
Gestionar el acceso de su personal, usuarios autorizados y representantes, incluyendo alta, baja y modificación de permisos.
En relación con cualquier integración de calendario controlada por la Entidad Cubierta, la Entidad Cubierta será responsable de confirmar que el calendario utilizado forma parte de una cuenta empresarial cubierta por un BAA aplicable, y no de una cuenta personal, gratuita, no administrada o no cubierta.
La Entidad Cubierta será responsable de configurar, mantener y auditar los permisos, reglas de compartición, sincronización de dispositivos, acceso de usuarios, baja de personal y controles administrativos del calendario que controla.
La Entidad Cubierta no solicitará al Asociado de Negocios activar una integración de calendario con identificadores de pacientes salvo que haya completado la activación escrita requerida por el Anexo C.
La Entidad Cubierta certifica que la información de registro proporcionada al Asociado de Negocios, incluyendo nombre legal de la entidad, NPI (National Provider Identifier), EIN y licencia profesional aplicable, es verídica, actual y corresponde a una entidad de salud legalmente autorizada para operar en su jurisdicción. La Entidad Cubierta notificará al Asociado de Negocios de inmediato ante cualquier cambio material en dicha información. El suministro de información falsa o fraudulenta constituye incumplimiento material de este Acuerdo y podrá resultar en terminación inmediata y reporte a las autoridades correspondientes.
7. NOTIFICACIÓN DE VIOLACIONES A PACIENTES Y AUTORIDADES
La Entidad Cubierta será responsable de determinar y realizar, cuando corresponda, las notificaciones a pacientes, HHS, el Departamento de Asuntos del Consumidor de Puerto Rico (DACO) y cualquier otra autoridad aplicable, conforme a HIPAA, la Ley Núm. 111-2005 de Puerto Rico (10 L.P.R.A. §§ 4051 et seq.), sus reglamentos y otras leyes aplicables.
El Asociado de Negocios cooperará razonablemente con la Entidad Cubierta para proveer información necesaria relacionada con el incidente, su investigación, mitigación y documentación.
Si la ley exige notificación directa por parte del Asociado de Negocios, el Asociado de Negocios coordinará con la Entidad Cubierta en la medida permitida por ley.
8. TERMINACIÓN
Este Acuerdo podrá terminarse si una Parte incumple materialmente sus obligaciones y no corrige dicho incumplimiento dentro de treinta (30) días calendario tras recibir notificación escrita. Si el incumplimiento no puede corregirse razonablemente, la Parte no incumplidora podrá terminar el Acuerdo de inmediato o ejercer los remedios disponibles bajo ley.
Al terminar este Acuerdo, toda PHI será devuelta a la Entidad Cubierta o destruida de forma segura dentro de treinta (30) días calendario, salvo que la ley requiera una retención diferente. El Asociado de Negocios proveerá certificación escrita de destrucción dentro del mismo plazo.
En caso de que la devolución o destrucción no sea factible, el Asociado de Negocios extenderá las protecciones de este Acuerdo a la PHI retenida y limitará su uso o divulgación a aquellos propósitos que hagan no factible la devolución o destrucción.
Las obligaciones de confidencialidad, seguridad, retención de registros, devolución o destrucción de PHI y cualquier obligación que por su naturaleza deba sobrevivir, sobrevivirán la terminación de este Acuerdo.
9. RESPONSABILIDAD E INDEMNIZACIÓN
Cada Parte acuerda indemnizar, defender y mantener indemne a la otra Parte por daños, pérdidas y costos razonables de defensa legal derivados de:
Incumplimiento material de este Acuerdo por dicha Parte.
Violaciones de HIPAA atribuibles a su propia conducta, omisión, empleados, agentes o subcontratistas.
Negligencia, negligencia grave o conducta dolosa.
Limitación de Responsabilidad
Salvo en casos de negligencia grave, conducta intencional, fraude, violaciones deliberadas de confidencialidad o en la medida prohibida por ley, la responsabilidad total del Asociado de Negocios bajo este Acuerdo no excederá el mayor de: (a) cincuenta mil dólares ($50,000 USD), o (b) el total de honorarios pagados por la Entidad Cubierta al Asociado de Negocios durante los doce (12) meses anteriores al evento que originó la reclamación.
Exclusiones de Responsabilidad
El Asociado de Negocios no será responsable por violaciones, pérdidas o daños resultantes de:
Uso indebido de PHI por parte de la Entidad Cubierta o sus usuarios autorizados.
Configuraciones específicas solicitadas por la Entidad Cubierta que contradigan recomendaciones razonables de seguridad documentadas por el Asociado de Negocios.
Accesos autorizados otorgados por la propia Entidad Cubierta fuera del sistema del Asociado de Negocios.
Errores, datos incorrectos o canales de comunicación incorrectos proporcionados por la Entidad Cubierta.
10. LEYES APLICABLES
Este Acuerdo se regirá por HIPAA, HITECH, 45 CFR Partes 160 y 164, y las leyes aplicables del Estado Libre Asociado de Puerto Rico, incluyendo la Ley Núm. 111-2005, conocida como la Ley de Información al Ciudadano sobre la Seguridad de Bancos de Información, 10 L.P.R.A. §§ 4051 et seq., según enmendada.
Cuando exista conflicto entre disposiciones aplicables, se aplicará la disposición que otorgue mayor protección a la PHI o que imponga el estándar más estricto de seguridad o notificación.
11. RESOLUCIÓN DE DISPUTAS
Cualquier disputa derivada de este Acuerdo será resuelta en los tribunales competentes de San Juan, Puerto Rico.
No obstante, las Partes podrán acordar mutuamente resolver disputas mediante arbitraje vinculante conforme a las reglas de la American Arbitration Association (AAA), como alternativa a los tribunales. El lugar del arbitraje será San Juan, Puerto Rico, salvo acuerdo escrito distinto entre las Partes.
12. ENMIENDAS
Este Acuerdo podrá ser modificado para cumplir con cambios en leyes, regulaciones o guías aplicables, incluyendo HIPAA, HITECH y leyes de Puerto Rico.
El Asociado de Negocios notificará a la Entidad Cubierta por escrito con no menos de treinta (30) días calendario de anticipación ante cualquier enmienda material. Las enmiendas serán efectivas en la fecha indicada en la notificación, salvo objeción razonable por parte de la Entidad Cubierta dentro del periodo de notificación.
Las enmiendas que reduzcan materialmente el nivel de protección de PHI requerirán consentimiento escrito de la Entidad Cubierta.
13. VIGENCIA
Este Acuerdo entra en vigor en la fecha de firma y permanecerá vigente mientras el Asociado de Negocios maneje PHI en nombre de la Entidad Cubierta.
La terminación del acuerdo de servicios subyacente conllevará automáticamente la terminación de este Acuerdo, sujeto a las obligaciones de devolución, destrucción, retención limitada, confidencialidad y seguridad establecidas en este Acuerdo.
14. DISPOSICIONES GENERALES
Contratista independiente: El Asociado de Negocios actúa como contratista independiente y nada en este Acuerdo crea una relación de sociedad, empleo, joint venture o agencia general entre las Partes.
Orden de precedencia: En caso de conflicto entre este Acuerdo y cualquier acuerdo de servicios, prevalecerá este Acuerdo respecto al manejo, uso, divulgación, seguridad y protección de PHI.
No terceros beneficiarios: Este Acuerdo no otorga derechos a terceros, salvo según sea requerido por ley.
Cesión: Ninguna Parte podrá ceder este Acuerdo sin consentimiento escrito de la otra Parte, excepto en conexión con una fusión, adquisición, reorganización o venta sustancial de activos, siempre que el cesionario asuma obligaciones equivalentes.
15. ACEPTACIÓN ELECTRÓNICA
Este Acuerdo se celebra electrónicamente. La Entidad Cubierta acepta los términos de este Acuerdo mediante el proceso de registro del portal de Synkly. La aceptación electrónica, incluyendo fecha, hora, identificación del usuario y versión del documento, queda registrada en los sistemas de Panther Group LLC y constituye una firma electrónica vinculante conforme a las leyes aplicables, incluyendo la Ley federal E-SIGN Act (15 U.S.C. § 7001 et seq.) y las disposiciones equivalentes aplicables del Estado Libre Asociado de Puerto Rico.
Al completar el registro y activar la cuenta de oficina, el representante autorizado de la Entidad Cubierta certifica que: (a) tiene autoridad para vincular a la organización a este Acuerdo; (b) ha leído y comprende sus términos; y (c) acepta todas las obligaciones establecidas en este Acuerdo en nombre de la Entidad Cubierta.
El registro electrónico incluirá los siguientes datos de aceptación conservados por Panther Group LLC:
• Nombre y correo electrónico del representante autorizado.
• Nombre legal y comercial de la Entidad Cubierta.
• Versión del documento aceptado (Versión 1.0).
• Fecha y hora exacta de aceptación (timestamp UTC del servidor).
• Dirección IP y User Agent del dispositivo utilizado para aceptar.
• Método de aceptación: clickwrap mediante casilla de verificación marcada durante el proceso de registro.
Una confirmación de aceptación será enviada automáticamente al correo electrónico del representante autorizado con los datos de registro, la fecha y hora de aceptación, y un enlace al documento vigente. Dicha confirmación constituye el recibo electrónico de este Acuerdo para la Entidad Cubierta.
Panther Group LLC
Nombre comercial: Synkly
Representante autorizado: Ivan Gonzalez Hernandez
Título: Representante autorizado
Correo de contacto legal: legal@panthergroupllc.com

ANEXO A - SUBCONTRATISTAS AUTORIZADOS
El Asociado de Negocios podrá utilizar los siguientes subcontratistas autorizados para funciones que puedan involucrar PHI, siempre limitado a servicios cubiertos por el BAA o acuerdo equivalente aplicable y configurados para cargas de trabajo sujetas a HIPAA.
1. Google Cloud Platform / Firebase / Cloud Vision (servicios cubiertos únicamente)
Servicios / alcance: Firestore; Cloud Storage / Cloud Storage for Firebase; Identity Platform / Cloud IAM; Cloud Functions; Cloud Vision API (OCR); Cloud Logging / Cloud Monitoring, u otros servicios cubiertos, según aplique.
Propósito autorizado: Almacenamiento de datos de pacientes, base de datos de citas, control de acceso, autenticación o autorización, entrega de documentos clínicos mediante enlaces seguros con autenticación, y procesamiento OCR limitado de documentos o imágenes cargadas por usuarios, incluyendo tarjetas de seguro, para apoyar intake, verificación administrativa y preparación de información para la Entidad Cubierta.
Estado BAA: Firmado y vigente bajo el Google Cloud HIPAA BAA, limitado a Covered Products / Covered Services. El Asociado de Negocios no utilizará servicios de Google que no estén cubiertos por el BAA, servicios Pre-GA no autorizados o servicios externos no cubiertos para crear, recibir, mantener, procesar o transmitir PHI.
Restricción OCR: La salida de OCR, incluyendo texto extraído de tarjetas de seguro, documentos o imágenes, no será enviada a Firebase Analytics, Google Analytics, Crashlytics, correo electrónico, calendarios, herramientas de soporte no autorizadas, sistemas de inteligencia artificial no cubiertos, servicios no cubiertos por BAA o logs no sanitizados. Las imágenes fuente y el texto extraído se almacenarán únicamente en servicios cubiertos con controles de acceso, auditoría y retención documentados.
2. Amazon Web Services - Simple Email Service (SES)
Servicios / alcance: Amazon SES, únicamente en cuenta AWS cubierta por BAA y configurada para cargas HIPAA elegibles.
Propósito autorizado: Envío de notificaciones administrativas de citas y disponibilidad de documentos. El correo podrá contener código de cita, fecha/hora de cita y enlace seguro.
Restricción expresa: El correo electrónico no incluirá nombre del paciente, teléfono, DOB, diagnóstico, razón de visita, información de seguro, documentos, adjuntos ni contenido clínico.
Estado BAA: Cubierto por AWS Business Associate Addendum aceptado mediante AWS Artifact, sujeto al uso de servicios HIPAA-eligible.
Cada subcontratista listado: (a) tiene BAA vigente o acuerdo equivalente aplicable; (b) cumple estándares HIPAA equivalentes en el alcance de los servicios cubiertos; y (c) estará sujeto a revisión periódica razonable de cumplimiento.
3. Twilio Inc. — Servicios de SMS y Comunicaciones
Servicios / alcance: Twilio SMS API, utilizado únicamente bajo cuenta cubierta por BAA de Twilio y configurada para cumplimiento con HIPAA.
Propósito autorizado: Envío de recordatorios y confirmaciones de citas por SMS. Los mensajes podrán contener únicamente nombre del paciente, fecha y hora de cita, y enlace seguro a la plataforma.
Restricción expresa: Los mensajes SMS no incluirán diagnóstico, condición médica, razón de visita, información de seguro, documentos, imágenes, formularios de intake, fecha de nacimiento, número de seguro social ni PHI clínica detallada.
Estado BAA: BAA de Twilio firmado y vigente. El Asociado de Negocios utilizará únicamente funciones y configuraciones HIPAA-eligible de Twilio. No se enviará PHI a través de Twilio hasta que el BAA esté firmado y vigente.
Cualquier subcontratista adicional que maneje PHI requerirá aprobación previa por escrito de la Entidad Cubierta y será añadido a este Anexo mediante enmienda. El Asociado de Negocios no utilizará servicios no cubiertos por BAA para crear, recibir, mantener o transmitir PHI.
ANEXO B - POLÍTICA INTERNA DE MANEJO DE PHI Y SEGURIDAD OPERACIONAL
Este Anexo forma parte integral del Acuerdo y establece controles operacionales obligatorios del Asociado de Negocios para el manejo de PHI.
1. Principio de Mínimo Necesario
El acceso a PHI estará limitado por rol y función. Solo personal con necesidad operativa demostrada tendrá acceso a PHI específica. Los permisos serán revisados periódicamente y revocados cuando ya no sean necesarios.
2. Herramientas Externas Prohibidas
Queda prohibido el uso de PHI en herramientas externas no autorizadas, plataformas de mensajería no cifradas, correo personal, sistemas de soporte no aprobados o cualquier servicio no listado en el Anexo A cuando dicho servicio cree, reciba, mantenga o transmita PHI.
3. Inteligencia Artificial
El Asociado de Negocios no utilizará sistemas de inteligencia artificial externos para procesar, resumir, clasificar, almacenar, analizar o transmitir PHI sin un BAA vigente con dicho proveedor y aprobación previa por escrito de la Entidad Cubierta.
El Asociado de Negocios implementará controles técnicos y operacionales para prevenir la transmisión accidental de PHI a sistemas de inteligencia artificial, incluyendo validaciones a nivel de aplicación, restricciones en flujos de datos, reglas internas de desarrollo y capacitación del personal.
El uso de herramientas de inteligencia artificial para desarrollo de código será permitido únicamente si no se comparte PHI, datos reales de pacientes, credenciales, secretos, capturas de pantalla con PHI, logs con PHI o contenido clínico.
4. Desarrollo y Pruebas
No se utilizará PHI real en entornos de desarrollo, pruebas o staging. Solo se permitirán datos sintéticos, anonimizados o desidentificados conforme a estándares aplicables.
Queda prohibido copiar bases de datos reales de pacientes a entornos no productivos salvo que hayan sido previamente desidentificadas y aprobadas conforme a política interna.
5. Logging, Auditoría, Analytics y Crash Reporting
Se mantendrán registros de auditoría de acceso a PHI, incluyendo usuario, fecha/hora, acción realizada y recurso accedido, en la medida técnicamente disponible.
Los logs del sistema no contendrán PHI en texto plano. Se prohíbe almacenar nombres de pacientes, diagnósticos, información de seguros, documentos clínicos, números de identificación, contenido de intake, texto OCR, detalles médicos o URLs con PHI en logs, mensajes de error, herramientas de monitoreo, Analytics o Crashlytics.
Firebase Analytics, Google Analytics for Firebase, Crashlytics y herramientas similares podrán utilizarse únicamente para diagnósticos sanitizados, confiabilidad, investigación de errores, seguridad y monitoreo operacional. Estos servicios no recibirán PHI, contenido clínico, información de seguro, documentos cargados, texto OCR, nombres de pacientes, teléfonos, fecha de nacimiento, emails, códigos de cita, identificadores de documentos, identificadores de seguro, diagnósticos, condiciones, formularios de intake, URLs con PHI o identificadores directos de pacientes.
El Asociado de Negocios no configurará el User ID, Crashlytics user identifier, custom keys, event names, event parameters, breadcrumbs o atributos de telemetry con PHI o identificadores directos de pacientes. Cualquier evento de telemetry en flujos que manejen PHI deberá pasar por una lista permitida y una capa de sanitización antes de producción.
Los registros requeridos por HIPAA serán conservados por un mínimo de seis (6) años, salvo que la ley requiera un plazo mayor o que la naturaleza técnica del registro permita una retención menor sin afectar los requisitos de auditoría.
6. Seguridad Técnica
El Asociado de Negocios implementará, como mínimo:
Cifrado AES-256 o equivalente para datos en reposo.
TLS 1.2+ o equivalente para datos en tránsito.
Autenticación multifactor para acceso administrativo y sistemas con PHI cuando sea aplicable.
Aislamiento lógico de datos entre clientes.
Control de acceso basado en roles.
Rotación y protección de credenciales y secretos.
Revisión periódica de permisos y accesos.
7. Uso de Correo Electrónico y SMS
El correo electrónico se utilizará únicamente para notificaciones operacionales de citas y disponibilidad de documentos, no como canal para transmitir PHI clínica o documentos.
Los mensajes SMS se utilizarán únicamente para recordatorios y confirmaciones operacionales de citas. Los mensajes SMS podrán contener únicamente nombre del paciente, fecha y hora de cita, y enlace seguro a la plataforma. No se enviarán documentos, diagnósticos, información de seguro ni PHI clínica detallada por SMS. Todos los mensajes SMS se enviarán a través de subcontratistas autorizados con BAA vigente listados en el Anexo A. No se transmitirá PHI a través de Twilio hasta que el BAA de Twilio esté firmado y vigente.
Los correos electrónicos podrán contener únicamente:
Código de cita o identificador operacional no descriptivo.
Fecha y hora de cita, si es necesario para el recordatorio.
Enlace seguro que dirija a la plataforma protegida.
Los correos electrónicos no deberán contener:
Nombre completo del paciente.
Número de teléfono, fecha de nacimiento, dirección, número de seguro social o identificadores directos similares.
Diagnóstico, condición, razón de visita, tipo de tratamiento, especialidad clínica, notas clínicas o historial médico.
Información de seguro, documentos, imágenes, tarjetas de seguro, formularios de intake o adjuntos.
Datos que permitan inferir contenido clínico fuera de la plataforma segura.
Todo acceso a PHI completa requerirá autenticación dentro de la plataforma segura. No se enviarán documentos clínicos como adjuntos de correo electrónico.
8. Calendarios e Integraciones Limitadas
Por defecto, los eventos de calendario no incluirán nombre del paciente, teléfono ni PHI clínica detallada. En modo conservador, el evento deberá contener únicamente código de cita o identificador operacional, fecha/hora de cita, proveedor, sala, recurso o ubicación operacional, según sea necesario.
Cuando la Entidad Cubierta active por escrito la integración de calendario conforme al Anexo C, los eventos podrán incluir identificadores mínimos del paciente, limitados a nombre del paciente y número de teléfono, únicamente para fines de programación, coordinación de cuidado, tratamiento, operaciones clínicas o administración interna autorizada.
Queda prohibido incluir en eventos de calendario: diagnóstico, condición, razón de visita, historial clínico, información de seguro, documentos, adjuntos, imágenes, formularios de intake, notas clínicas, fecha de nacimiento completa, número de seguro social, dirección, información financiera o cualquier PHI clínica detallada.
La correspondencia completa entre código de cita, detalles del paciente, documentos, seguros, condiciones y formularios deberá estar disponible únicamente dentro de la plataforma segura con autenticación.
9. Enlaces Seguros para Documentos
Los enlaces enviados por correo deberán ser temporales, no públicos, no indexables y no deberán contener PHI en la URL, parámetros visibles o metadata expuesta.
Los enlaces deberán expirar en un máximo de setenta y dos (72) horas, salvo que la Entidad Cubierta requiera un periodo más corto. El acceso a documentos requerirá autenticación adicional dentro de la plataforma.
El Asociado de Negocios deberá registrar eventos razonables de acceso a enlaces y documentos, incluyendo intentos fallidos, expiración y descarga, en la medida técnicamente disponible.
10. Manejo de Incidentes
Todo incidente de seguridad será documentado, investigado y reportado conforme a la Sección 5.4 de este Acuerdo. Se mantendrá un registro interno de incidentes por un mínimo de seis (6) años, sujeto a requisitos legales aplicables.
La respuesta a incidentes incluirá, según aplique: identificación, contención, investigación, mitigación, remediación, análisis de causa raíz y revisión posterior al incidente.
11. Capacitación
Todo personal con acceso a PHI recibirá capacitación HIPAA obligatoria antes de acceder a datos de producción y capacitación periódica posterior. El incumplimiento de esta política estará sujeto a medidas disciplinarias, incluyendo revocación de acceso y terminación de relación contractual o laboral.
12. Retención y Eliminación
La PHI será conservada solo el tiempo necesario para los fines autorizados o conforme a ley. La eliminación se realizará mediante métodos seguros que impidan la recuperación, incluyendo borrado criptográfico, eliminación verificada o destrucción segura según corresponda.
13. Revisión de Arquitectura y Cambios de Producto
Cualquier cambio de producto que modifique el flujo de PHI, introduzca nuevos proveedores, active o modifique OCR, exponga datos en correo, calendario, logs, analytics, crash reporting, mensajería, inteligencia artificial o herramientas externas deberá ser revisado internamente antes de producción.
La revisión deberá documentar: datos involucrados, proveedor afectado, estado de BAA, estado de Covered Service / Covered Product, controles técnicos, reglas de logging/telemetry, riesgo de exposición y aprobación correspondiente.
14. Actualizaciones de la Política
Esta política podrá actualizarse para reflejar cambios regulatorios, mejores prácticas de seguridad o nuevos riesgos tecnológicos. Ninguna actualización reducirá materialmente el nivel de protección de PHI sin aprobación escrita de la Entidad Cubierta cuando sea requerido por el Acuerdo.


ANEXO C - INTEGRACIÓN DE CALENDARIOS CONTROLADOS POR LA ENTIDAD CUBIERTA
1. Activación Escrita de la Integración
La integración de calendario con identificadores mínimos de pacientes es opcional y estará desactivada por defecto. La activación deberá realizarse mediante correo electrónico firmado o formulario escrito dirigido al Asociado de Negocios, en el que la Entidad Cubierta confirme haber leído y aceptado los términos de este Anexo.
Sin activación escrita, el Asociado de Negocios mantendrá el modo conservador de calendario, limitado a código de cita, fecha, hora, proveedor, sala, ubicación o recurso operacional asignado.
El Asociado de Negocios podrá rechazar, suspender o desactivar la integración si no recibe la confirmación escrita requerida, si identifica una configuración insegura o si razonablemente determina que el calendario no está cubierto por un BAA aplicable.
2. Campos Permitidos en el Calendario
Cuando la integración esté debidamente activada, los eventos de calendario podrán contener únicamente los siguientes campos, en la medida necesaria para operaciones clínicas autorizadas:
a) código de cita o identificador operacional;
b) fecha y hora de la cita;
c) proveedor, sala, ubicación o recurso asignado;
d) nombre del paciente;
e) número de teléfono del paciente, cuando sea necesario para coordinación operacional.
3. Campos Prohibidos
En ningún caso se incluirán en eventos de calendario diagnósticos, condiciones médicas, razón de visita, historial clínico, información de seguro, documentos clínicos, tarjetas de seguro, imágenes, adjuntos, formularios de intake, notas de tratamiento, fecha de nacimiento completa, número de seguro social, dirección, información financiera o cualquier PHI clínica detallada.
Los enlaces a documentos clínicos o detalles completos de paciente deberán permanecer dentro de la plataforma segura con autenticación y controles de acceso. El calendario no deberá funcionar como repositorio clínico.
4. Certificaciones de la Entidad Cubierta
Al activar la integración de calendario, la Entidad Cubierta certifica y garantiza que:
a) el calendario utilizado forma parte de una cuenta Google Workspace Business, Microsoft 365 Business u otro sistema empresarial equivalente, y la Entidad Cubierta ha firmado el BAA correspondiente con dicho proveedor antes de activar esta integración;
b) el calendario no pertenece a una cuenta personal, gratuita, no administrada, compartida públicamente o no cubierta por un BAA aplicable;
c) el acceso al calendario está limitado a personal autorizado con necesidad operacional o clínica;
d) la Entidad Cubierta mantiene controles razonables de permisos, contraseñas, autenticación, compartición, sincronización de dispositivos, baja de usuarios y revisión periódica de acceso;
e) la inclusión de nombre y teléfono del paciente en el calendario es necesaria para fines de tratamiento, coordinación de cuidado, programación de citas, operaciones clínicas o administración interna autorizada;
f) la Entidad Cubierta ha obtenido o mantendrá los avisos, consentimientos, políticas internas y autorizaciones requeridas por ley para el uso de dicho calendario en sus operaciones.
5. Responsabilidad sobre Configuración y Uso del Calendario
La Entidad Cubierta será responsable de la configuración, permisos, administración, compartición, publicación, sincronización, respaldo, acceso de usuarios, acceso desde dispositivos, baja de empleados y uso interno del calendario que controla.
El Asociado de Negocios no será responsable por violaciones, exposiciones, pérdidas o accesos no autorizados que resulten de cuentas personales, ausencia de BAA del proveedor de calendario, configuraciones inseguras, calendarios públicos, compartición externa, sincronización con dispositivos no administrados, acceso de personal no autorizado, errores de usuarios de la Entidad Cubierta o instrucciones de la Entidad Cubierta que contradigan recomendaciones razonables de seguridad documentadas por el Asociado de Negocios.
Nada en este Anexo autoriza a la Entidad Cubierta a usar calendarios no cubiertos por un BAA aplicable para manejar PHI.
6. Desactivación y Corrección
El Asociado de Negocios podrá desactivar la integración de calendario si identifica uso de campos prohibidos, ausencia de confirmación escrita, falta de BAA aplicable, configuración insegura o riesgo razonable para la PHI.
Si la integración se desactiva o se detecta uso de un calendario no cubierto, la Entidad Cubierta será responsable de remover o corregir cualquier PHI almacenada en dicho calendario y de tomar las medidas de mitigación correspondientes.
Business Associate Agreement | Synkly