Acuerdo de Asociado Comercial
NovoPsych, S.L.
A partir del 19 de septiembre de 2024
Descargue aquí el PDF del acuerdo de colaboración comercial.
EL PRESENTE ACUERDO DE COLABORACIÓN EMPRESARIAL (en adelante, el «Acuerdo» o «BAA») es un acuerdo entre NovoPsych, Pty Ltd. («NovoPsych»), un colaborador empresarial en el marco de la HIPAA, y la entidad que utiliza la Plataforma y los Servicios de NovoPsych («Cliente»), una entidad sujeta a la HIPAA; cada una de ellas, una «Parte», y en conjunto, las «Partes».
CONSIDERANDO que las Partes acuerdan que NovoPsych podrá tener acceso a la PHI (tal y como se define a continuación) con el fin de cumplir con las obligaciones de NovoPsych y prestar sus servicios al Cliente o en nombre de este;
CONSIDERANDO que las Partes desean cumplir con la Ley de Portabilidad y Responsabilidad del Seguro Médico de 1996, modificada por la Ley de Tecnología de la Información Sanitaria para la Salud Económica y Clínica, Título XIII de la División A de la Ley de Recuperación y Reinversión Estadounidense de 2009, y las normas promulgadas en virtud de la misma (en conjunto, «HIPAA»), en la medida en que sean aplicables a la relación de NovoPsych con el Cliente;
Los términos utilizados en el presente BAA tienen el significado que se les atribuye en el mismo. Los términos en mayúsculas que no se definan en el presente documento y que tampoco se definan en la HIPAA tendrán el significado que se les atribuya en el Acuerdo, si procede, y tal y como se definen a continuación;
El presente Acuerdo entrará en vigor en la fecha (la «Fecha de entrada en vigor del Acuerdo») en la que haga clic en el botón «Aceptar las condiciones de servicio de NovoPsych» (o utilice cualquier otro medio electrónico que NovoPsych ponga a su disposición para tal fin) que se muestra junto con el presente Acuerdo (un «Botón de aceptación»). Usted declara a NovoPsych que está legalmente capacitado para celebrar contratos y, si celebra este Acuerdo en nombre de una entidad, como la empresa para la que trabaja, declara a NovoPsych que tiene la autoridad legal para vincular a dicha entidad.
POR LO TANTO, las partes acuerdan lo siguiente:
Definiciones
Definición genérica:
Los siguientes términos utilizados en el presente Acuerdo tendrán el mismo significado que los términos correspondientes en las Normas de la HIPAA: «violación», «agregación de datos», «conjunto de registros designado», «divulgación», «operaciones de atención médica», «persona», «mínimo necesario», «notificación de prácticas de privacidad», «información médica protegida», «exigido por ley», «incidente de seguridad», «subcontratista», «información médica protegida no protegida» y «uso».
Definiciones específicas:
(a) Socio comercial. El término «socio comercial» tendrá, en general, el mismo significado que el término «socio comercial» recogido en el artículo 45 CFR 160.103 y, en lo que respecta a la parte del presente acuerdo, se referirá a NovoPsych.
(b) Entidad sujeta a la normativa. El término «Entidad sujeta a la normativa» tendrá, en general, el mismo significado que el término «entidad sujeta a la normativa» recogido en el artículo 45 CFR 160.103 y, en lo que respecta a la parte del presente acuerdo, se referirá a usted o a la entidad a la que representa.
(c) Normas de la HIPAA. Por «Normas de la HIPAA» se entenderán las normas sobre privacidad, seguridad, notificación de violaciones y cumplimiento recogidas en el título 45 del Código de Regulaciones Federales (CFR), partes 160 y 164.
(d) Secretario. Por «Secretario» se entiende el Secretario de Salud y Servicios Humanos (HHS) o cualquier otro funcionario o empleado del HHS en quien se haya delegado la autoridad correspondiente.
Obligaciones y actividades de NovoPsych en su calidad de socio comercial
(a) No utilizar ni divulgar información sensible, salvo (i) en la medida en que lo permitan o lo exijan los acuerdos de asociación empresarial (BAA) y otros acuerdos entre las Partes o el presente BAA, o (ii) cuando lo exija la ley;
b) Adoptar las medidas de seguridad adecuadas y cumplir lo dispuesto en la subparte C de la parte 164 del título 45 del Código de Regulaciones Federales (CFR) en lo que respecta a la información sensible, con el fin de impedir el uso o la divulgación de dicha información salvo en los casos previstos en el presente Acuerdo;
(c) Notificar a la entidad afectada cualquier uso o divulgación de información sensible no previsto en el Acuerdo del que NovoPsych tenga conocimiento, incluidas las filtraciones de información sensible no protegida, tal y como exige el artículo 45 CFR 164.410, así como cualquier incidente de seguridad del que NovoPsych tenga conocimiento;
(d) De conformidad con lo dispuesto en el 45 CFR 164.502(e)(1)(ii) y 164.308(b)(2), si procede, garantizar que cualquier subcontratista que cree, reciba, conserve o transmita información sensible en nombre de NovoPsych acepte las mismas restricciones, condiciones y requisitos que se aplican a NovoPsych con respecto a dicha información;
(e) Poner a disposición de la entidad afectada la información sensible contenida en un conjunto de registros designado, en la medida en que sea necesario para que dicha entidad pueda cumplir con las obligaciones que le incumben en virtud del artículo 45 CFR 164.524;
(f) Realizar cualquier modificación de la información sensible contenida en un conjunto de registros designado, según lo indicado o acordado por la entidad sujeta a la normativa de conformidad con el artículo 45 CFR 164.526, o adoptar otras medidas que sean necesarias para cumplir con las obligaciones de la entidad sujeta a la normativa en virtud del artículo 45 CFR 164.526;
(g) Conservar y poner a disposición de la entidad afectada la información necesaria para rendir cuentas de las divulgaciones, según sea necesario para cumplir con las obligaciones de dicha entidad en virtud del artículo 45 CFR 164.528;
(h) En la medida en que NovoPsych deba cumplir una o varias de las obligaciones de la Entidad Afectada previstas en la Subparte E de la Parte 164 del Título 45 del Código de Regulaciones Federales (CFR), cumplir con los requisitos de la Subparte E que se apliquen a la Entidad Afectada en el cumplimiento de dichas obligaciones;
(i) Sin perjuicio de cualquier otra disposición expresa del presente BAA, NovoPsych reconoce y acepta que, en lo que respecta a la PHI electrónica, deberá cumplir las disposiciones aplicables de la Norma de Seguridad de la HIPAA, en su versión modificada periódicamente por el Secretario. NovoPsych se compromete a aplicar las medidas de seguridad administrativas, físicas y técnicas adecuadas para impedir el uso o la divulgación de la PHI electrónica, salvo en los casos previstos en el presente BAA.
(j) Poner a disposición del Secretario sus prácticas internas, libros y registros con el fin de determinar el cumplimiento de las normas de la HIPAA, sin demora tras la recepción de una solicitud por escrito en este sentido.
- k) Si el uso que el Cliente hace de la Plataforma y los Servicios de NovoPsych supera los 6 años, NovoPsych eliminará, por defecto, todos los archivos de registro pertinentes a efectos de la HIPAA que tengan más de 6 años. Si el Cliente, con el fin de cumplir con sus obligaciones, debe conservar dichos archivos de registro durante un período más largo, será responsabilidad del Cliente notificar esta necesidad a NovoPsych.
Usos y divulgaciones permitidos por NovoPsych
(a) NovoPsych solo podrá utilizar o divulgar información sensible en la medida en que sea necesario para prestar los servicios establecidos en el Contrato de Prestación de Servicios y de conformidad con los términos y condiciones de uso de los servicios de NovoPsych.
(b) NovoPsych solo podrá utilizar o divulgar información sensible cuando así lo exija la ley.
(c) NovoPsych se compromete a realizar el uso, la divulgación y las solicitudes de información sensible de conformidad con las políticas y procedimientos de «lo estrictamente necesario» de la Entidad Afectada.
(d) NovoPsych no podrá utilizar ni divulgar información sensible de una manera que, de ser realizada por la entidad afectada, infringiría la subparte E de la parte 164 del título 45 del Código de Regulaciones Federales (CFR).
(e) Salvo que se establezca lo contrario en el presente Acuerdo, NovoPsych podrá utilizar información sensible para prestar servicios de agregación de datos a la entidad cubierta, según lo permitido por el artículo 45 C.F.R. §164.504(e)(2)(i)(B).
(f) NovoPsych no recibirá remuneración alguna, ya sea directa o indirecta, a cambio de información confidencial bajo ninguna circunstancia.
(g) NovoPsych utilizará únicamente información anonimizada, agregada y sin datos identificativos para mejorar la aplicación.
Obligaciones del cliente
(a) El cliente se compromete a cumplir con las obligaciones que le incumben en virtud de la HIPAA.
(b) El cliente deberá notificar a NovoPsych cualquier limitación incluida en el aviso de prácticas de privacidad de la entidad cubierta, de conformidad con el artículo 45 CFR 164.520, en la medida en que dicha limitación pueda afectar al uso o la divulgación de información sensible por parte de NovoPsych.
(c) El cliente deberá notificar a NovoPsych cualquier cambio o revocación del permiso otorgado por una persona para utilizar o divulgar su información sensible, en la medida en que dichos cambios puedan afectar al uso o la divulgación de dicha información por parte de NovoPsych.
(d) El cliente deberá notificar a NovoPsych cualquier restricción relativa al uso o la divulgación de información sensible que la entidad cubierta haya aceptado o esté obligada a cumplir en virtud del artículo 45 CFR 164.522, en la medida en que dicha restricción pueda afectar al uso o la divulgación de información sensible por parte de NovoPsych.
(e) El cliente determinará el plazo de conservación de la información médica protegida y será responsable de cumplir con el plazo de conservación de datos establecido por la legislación aplicable.
Medidas de protección, notificación, mitigación y cumplimiento
(a) Medidas de seguridad. NovoPsych adoptará todas las medidas de seguridad administrativas, físicas y técnicas adecuadas para (i) impedir el uso o la divulgación de la información sensible de la Entidad cubierta de forma distinta a la prevista en el presente Acuerdo y (ii) proteger la confidencialidad, la integridad y la disponibilidad de cualquier información sensible. NovoPsych aplica las medidas descritas aquí para garantizar la seguridad de la información sensible.
(b) Agentes de NovoPsych. NovoPsych se asegurará de que todos los agentes, incluidos los subcontratistas, a los que facilite información confidencial se comprometan por escrito a cumplir las mismas restricciones y condiciones que se aplican a NovoPsych en relación con dicha información confidencial.
(c) Notificación. NovoPsych deberá notificar a la Entidad Afectada, tan pronto como sea posible, cualquier uso o divulgación de la información sensible de la Entidad Afectada que contravenga el presente Acuerdo o la legislación aplicable y del que NovoPsych tenga conocimiento. NovoPsych deberá asimismo notificar a la Entidad Afectada, en el mismo plazo, cualquier incidente de seguridad del que tenga conocimiento.
(d) Medidas de mitigación. NovoPsych deberá contar con procedimientos para mitigar, en la medida de lo posible, cualquier efecto perjudicial derivado del uso o la divulgación de la información sensible de la Entidad Afectada que contravenga el presente Acuerdo o la legislación aplicable.
(e) Sanciones. NovoPsych impondrá y aplicará las sanciones pertinentes a cualquier empleado, subcontratista o agente que utilice o divulgue información sensible de la Entidad Afectada infringiendo el presente Acuerdo o la legislación aplicable.
Vigencia y rescisión
(a) La vigencia del presente Acuerdo de Asociación Empresarial (BAA) comenzará en la fecha de entrada en vigor del Acuerdo y finalizará al término del Contrato de Prestación de Servicios.
(b) Salvo lo dispuesto en el apartado (c) de la presente sección, en caso de rescisión del Contrato de Prestación de Servicios por cualquier motivo, NovoPsych deberá devolver o destruir toda la información médica protegida (PHI) recibida del Cliente, o creada o recibida por NovoPsych en nombre del Cliente, según elija este último. Esta disposición se aplicará a la información médica protegida (PHI) que se encuentre en poder de los subcontratistas de NovoPsych.
(c) En caso de que NovoPsych deba conservar la PHI por imperativo legal o por orden de un tribunal, organismo gubernamental o agencia administrativa de la jurisdicción competente, NovoPsych notificará al Cliente las circunstancias que impiden su devolución o destrucción. Hasta que se elimine la PHI, NovoPsych seguirá garantizando el cumplimiento del presente BAA y limitará los usos y divulgaciones posteriores de dicha PHI a aquellos fines que impidan su devolución o destrucción.
Limitación de responsabilidad
La responsabilidad de NovoPsych frente al Cliente en virtud del presente Acuerdo de Asociación Empresarial (BAA) o en relación con él (incluida, entre otras cosas, cualquier incumplimiento del presente BAA o de la HIPAA) estará sujeta a las limitaciones de responsabilidad establecidas en el presente Acuerdo.
Varios
(a) Referencias normativas. Toda referencia en el presente Acuerdo a un artículo de las Normas de la HIPAA se entenderá hecha al artículo vigente o en su versión modificada.
(b) Modificación. Las partes acuerdan adoptar las medidas necesarias para modificar el presente Acuerdo cuando sea preciso, a fin de cumplir con los requisitos de las normas de la HIPAA y cualquier otra legislación aplicable.
(c) Interpretación. Cualquier ambigüedad en el presente Acuerdo se interpretará de manera que permita el cumplimiento de las normas de la HIPAA.
(d) Acuerdo íntegro. El presente BAA constituye el acuerdo y entendimiento íntegro entre las Partes con respecto a los asuntos tratados en el mismo y sustituye cualquier acuerdo anterior entre las Partes relativo a dichos asuntos. Cada una de las Partes reconoce y acepta que, al celebrar el presente BAA, no se basa en, ni tendrá ningún recurso con respecto a, ninguna declaración, manifestación, garantía o entendimiento (ya sea realizado de forma negligente o inocente) que no sea el expresamente establecido en el presente BAA. El único recurso disponible para cualquiera de las Partes en relación con cualquier declaración, manifestación, garantía o acuerdo de este tipo será el por incumplimiento de contrato según los términos del presente BAA. Nada de lo dispuesto en esta cláusula tendrá por efecto excluir o limitar cualquier responsabilidad por fraude o tergiversación fraudulenta.