Que es un Acuerdo de Asociado Comercial (BAA)? Guia de HIPAA (2026)

Un acuerdo de asociado comercial (BAA) es un contrato escrito que una entidad cubierta debe ejecutar con cualquier proveedor externo antes de compartir informacion de salud protegida (PHI). Las regulaciones federales en 45 C.F.R. 164.504(e) exigen el acuerdo y especifican las disposiciones exactas que debe contener.
Que es un Acuerdo de Asociado Comercial?
Un Acuerdo de Asociado Comercial (BAA) es un contrato escrito legalmente vinculante entre una entidad cubierta por HIPAA y un asociado comercial. El acuerdo establece como el asociado comercial puede usar, divulgar y salvaguardar la informacion de salud protegida (PHI) que recibe o crea en nombre de la entidad cubierta.
Las regulaciones de HIPAA en 45 CFR 164.502(e) prohiben que las entidades cubiertas divulguen PHI a un asociado comercial a menos que la entidad cubierta obtenga garantias satisfactorias de que el asociado comercial salvaguardara apropiadamente la informacion. Esas garantias toman la forma de un BAA que cumple con los requisitos establecidos en 45 CFR 164.504(e).
Sin un BAA valido vigente, cualquier divulgacion de PHI a un proveedor externo constituye una violacion de la Regla de Privacidad de HIPAA, independientemente de si el proveedor realmente maneja mal los datos.
Quien Califica como Asociado Comercial?
Bajo HIPAA, un asociado comercial es cualquier persona o entidad (que no sea un miembro del propio personal de la entidad cubierta) que realiza funciones o actividades en nombre de una entidad cubierta que involucran la creacion, recepcion, mantenimiento o transmision de PHI. La Omnibus Rule de 2013 amplio esta definicion para incluir a los subcontratistas de los asociados comerciales que manejan PHI.
Ejemplos Comunes de Asociados Comerciales
El Departamento de Salud y Servicios Humanos de EE. UU. (HHS) identifica varias categorias de entidades que normalmente califican como asociados comerciales:
- Proveedores de servicios de TI que almacenan, procesan o transmiten PHI electronica (ePHI) en sus servidores
- Proveedores de servicios en la nube (CSP) que alojan aplicaciones o datos que contienen ePHI, incluso si los datos estan cifrados y el CSP no posee la clave de descifrado
- Empresas de facturacion y codificacion medica que procesan reclamaciones que contienen informacion de pacientes
- Servicios de procesamiento de reclamaciones y camaras de compensacion que manejan PHI durante las transacciones de pago
- Proveedores de software de gestion de consultorios que acceden a los datos de pacientes durante la resolucion de problemas o el mantenimiento
- Firmas de contabilidad que reciben registros financieros que contienen PHI para la preparacion de impuestos o auditorias
- Bufetes de abogados que acceden a la PHI mientras prestan servicios legales a una entidad cubierta
- Empresas de trituracion y destruccion de documentos que manejan registros fisicos que contienen PHI
- Firmas de analisis de datos que realizan control de calidad, revision de utilizacion o estudios de salud poblacional usando PHI
Quien No Es un Asociado Comercial?
Ciertas entidades quedan fuera de la definicion de asociado comercial. Los propios empleados de una entidad cubierta forman parte de su personal y no son asociados comerciales. Los proveedores que tratan a los pacientes y reciben PHI con fines de tratamiento tambien quedan excluidos. Las entidades conducto, como el Servicio Postal de EE. UU. o los proveedores de servicios de internet que simplemente transportan datos sin acceder a ellos de forma rutinaria, no califican como asociados comerciales bajo la guia de HHS.
Que Debe Contener un BAA Bajo la Ley Federal
Las regulaciones en 45 CFR 164.504(e)(2) establecen disposiciones especificas que todo BAA debe incluir. Un contrato al que le falte cualquiera de estos elementos puede considerarse invalido, y un BAA invalido significa que la entidad cubierta carece de las garantias satisfactorias requeridas para compartir PHI.
Disposiciones Requeridas
Usos y divulgaciones permitidos y requeridos. El BAA debe establecer exactamente lo que el asociado comercial tiene permitido hacer con la PHI, y que usos o divulgaciones exige la entidad cubierta. El asociado comercial no puede usar ni divulgar la informacion mas alla de lo que el contrato permite o de lo que la ley exige.
Salvaguardas apropiadas. El asociado comercial debe aceptar implementar salvaguardas administrativas, fisicas y tecnicas que protejan de manera razonable y apropiada la confidencialidad, integridad y disponibilidad de la ePHI. Esta obligacion incorpora el cumplimiento de los estandares de la Regla de Seguridad de HIPAA en 45 CFR Part 164, Subpart C.
Reporte de infracciones. El contrato debe exigir que el asociado comercial reporte cualquier uso o divulgacion de PHI no autorizado por el acuerdo, incluyendo cualquier incidente de seguridad o infraccion de PHI no asegurada segun se define en 45 CFR 164.402.
Requisitos de los subcontratistas. Bajo la Omnibus Rule, el BAA debe exigir que el asociado comercial garantice que cualquier subcontratista que cree, reciba, mantenga o transmita PHI acuerde por escrito las mismas restricciones y condiciones que aplican al asociado comercial. Esto crea una cadena de rendicion de cuentas que se extiende hacia abajo desde la entidad cubierta.
Apoyo a los derechos de los individuos. El asociado comercial debe aceptar poner la PHI a disposicion de los individuos que solicitan acceso bajo 45 CFR 164.524, apoyar las enmiendas a la PHI bajo 45 CFR 164.526, y proporcionar un recuento de las divulgaciones bajo 45 CFR 164.528.
Acceso gubernamental. El asociado comercial debe poner sus practicas internas, libros y registros relacionados con la PHI a disposicion del Secretario de HHS con fines de verificacion de cumplimiento.
Devolucion o destruccion de la PHI. Al terminar el contrato, el asociado comercial debe devolver o destruir toda la PHI recibida de, o creada o recibida en nombre de, la entidad cubierta. Si la devolucion o destruccion no es factible, el contrato debe extender las protecciones a la PHI retenida y limitar los usos y divulgaciones adicionales.
Autoridad de terminacion. El contrato debe autorizar a la entidad cubierta a terminar el acuerdo si la entidad cubierta determina que el asociado comercial ha violado un termino material.
Disposiciones Opcionales
Bajo 45 CFR 164.504(e)(4), un BAA tambien puede permitir que el asociado comercial use la PHI para su propia gestion y administracion adecuadas, o para cumplir con sus responsabilidades legales. Si el BAA permite la divulgacion para estos fines, el destinatario debe proporcionar garantias razonables de que la informacion permanecera confidencial y debe reportar cualquier infraccion.
Historia: Como Evolucionaron los Requisitos del BAA
HIPAA (1996)
La Health Insurance Portability and Accountability Act de 1996 introdujo por primera vez el concepto de asociados comerciales. La Regla de Privacidad original, finalizada en 2000 y enmendada en 2002, exigia que las entidades cubiertas obtuvieran garantias satisfactorias de los asociados comerciales a traves de contratos escritos. Sin embargo, solo las entidades cubiertas enfrentaban responsabilidad directa por las violaciones de HIPAA. Los asociados comerciales tenian obligaciones contractuales, pero no estaban sujetos a la aplicacion regulatoria directa por parte de HHS.
HITECH Act (2009)
La Health Information Technology for Economic and Clinical Health (HITECH) Act, promulgada como parte de la American Recovery and Reinvestment Act de 2009, cambio fundamentalmente el panorama de la aplicacion. HITECH hizo a los asociados comerciales directamente responsables del cumplimiento de ciertas disposiciones de la Regla de Seguridad de HIPAA y de ciertos requisitos de la Regla de Privacidad. La ley tambien introdujo la Regla de Notificacion de Infracciones, exigiendo que los asociados comerciales notifiquen a las entidades cubiertas de las infracciones de PHI no asegurada.
HITECH fortalecio las sanciones de manera significativa. La ley creo una estructura de sanciones de cuatro niveles y elevo las sanciones monetarias civiles maximas a $1.5 millones por categoria de violacion por ano calendario. Tambien autorizo a los fiscales generales estatales a presentar acciones civiles en nombre de sus residentes por las violaciones de HIPAA.
Omnibus Rule (2013)
La HIPAA Omnibus Rule, publicada el 25 de enero de 2013 y en vigor el 23 de septiembre de 2013, finalizo las disposiciones de la HITECH Act y amplio aun mas las obligaciones de los asociados comerciales. Los cambios clave incluyeron:
- Responsabilidad directa. Los asociados comerciales quedaron directamente sujetos a los requisitos de la Regla de Seguridad de HIPAA y a ciertas disposiciones de la Regla de Privacidad, y HHS puede investigarlos y sancionarlos de forma independiente de cualquier entidad cubierta.
- Rendicion de cuentas de los subcontratistas. La definicion de asociado comercial se amplio para incluir a los subcontratistas que crean, reciben, mantienen o transmiten PHI en nombre de un asociado comercial. Cada relacion de subcontratista requiere su propio BAA.
- Deberes de notificacion de infracciones. Los asociados comerciales recibieron obligaciones explicitas de investigar las posibles infracciones y notificar a la entidad cubierta dentro de 60 dias del descubrimiento.
- Plazo de cumplimiento. Todos los BAA existentes tenian que actualizarse para cumplir con la Omnibus Rule antes del 22 de septiembre de 2014.
Consecuencias de No Tener un BAA
Sanciones Monetarias Civiles
La Oficina de Derechos Civiles (OCR) de HHS aplica HIPAA a traves de una estructura de sanciones de cuatro niveles, con montos ajustados anualmente por inflacion. A partir de 2026, las sanciones van de $145 por violacion en el nivel mas bajo (donde la entidad desconocia la violacion) a $2,190,294 por violacion en el nivel mas alto (descuido intencional sin accion correctiva). Aplican topes anuales, y las violaciones de Nivel 4 conllevan la mayor exposicion agregada.
| Nivel | Nivel de conocimiento | Minimo por violacion | Maximo por violacion |
|---|---|---|---|
| 1 | No sabia | $145 | $73,011 |
| 2 | Causa razonable | $1,461 | $73,011 |
| 3 | Descuido intencional (corregido dentro de 30 dias) | $14,602 | $73,011 |
| 4 | Descuido intencional (no corregido) | $73,011 | $2,190,294 |
Sanciones Penales
Las violaciones penales de HIPAA conllevan sanciones bajo 42 U.S.C. 1320d-6. Obtener o divulgar conscientemente PHI en violacion de HIPAA puede resultar en multas de hasta $50,000 y prision de hasta un ano. Si el delito involucra falsos pretextos, las sanciones aumentan a $100,000 y hasta cinco anos. Los delitos cometidos con la intencion de vender, transferir o usar la PHI para obtener ventaja comercial, beneficio personal o causar dano malicioso conllevan multas de hasta $250,000 y prision de hasta 10 anos.
Planes de Accion Correctiva
La mayoria de los acuerdos de la OCR incluyen un plan de accion correctiva (CAP) ademas de las sanciones financieras. Un CAP normalmente exige que la organizacion revise sus politicas y procedimientos, realice capacitacion del personal, lleve a cabo un analisis de riesgo integral y se someta a monitoreo por parte de la OCR durante uno a tres anos.
Acciones Reales de Aplicacion que Involucran BAA
La aplicacion federal demuestra que la OCR trata los BAA faltantes o deficientes como violaciones graves. Varios acuerdos notables destacan las consecuencias.
North Memorial Health Care: $1.55 Millones (2016)
North Memorial Health Care de Minneapolis acepto pagar $1.55 millones y adoptar un plan de accion correctiva despues de que la OCR determinara que la organizacion no ejecuto un BAA con un contratista importante y no realizo un analisis de riesgo a nivel de toda la organizacion. El contratista tenia acceso a la ePHI de 289,904 individuos. Este caso subrayo que tanto la ausencia de un BAA como la falta de realizar un analisis de riesgo pueden agravar los resultados de la aplicacion.
Raleigh Orthopaedic Clinic: $750,000 (2016)
Raleigh Orthopaedic Clinic en Carolina del Norte acepto pagar $750,000 por divulgar radiografias y PHI relacionada de 17,300 pacientes a una empresa que prometio transferir las imagenes a medios electronicos a cambio de extraer la plata de las radiografias. El arreglo se hizo por telefono, y nunca se ejecuto un BAA. La OCR cito una violacion de 45 CFR 164.502(e). El plan de accion correctiva exigio que la clinica designara al menos a un individuo responsable de garantizar que se obtuvieran los BAA de todos los asociados comerciales.
CHSPSC LLC: $2.3 Millones (2020)
CHSPSC LLC, un asociado comercial que ofrecia servicios de TI y gestion de informacion de salud a hospitales propiedad de Community Health Systems, acepto pagar $2.3 millones despues de que un ciberataque de un grupo de amenaza persistente avanzada (APT18) resultara en la exfiltracion de ePHI perteneciente a 6,121,158 individuos. A pesar de haber sido notificado por el FBI en abril de 2014 de que sus sistemas estaban comprometidos, los atacantes mantuvieron el acceso durante cuatro meses. La OCR identifico multiples fallas de la Regla de Seguridad de HIPAA. El acuerdo incluyo un plan de accion correctiva de dos anos con estrecho monitoreo de la OCR.
BST & Co. CPAs, LLP (2025)
BST & Co. CPAs, LLP, una firma de contabilidad de Nueva York que fungia como asociado comercial de Community Care Physicians, llego a un acuerdo con la OCR despues de que un ataque de ransomware en diciembre de 2019 comprometiera la PHI de su cliente entidad cubierta. BST recibio registros financieros que contenian PHI con fines de preparacion de impuestos. Este caso ilustro que las firmas de servicios profesionales, no solo los proveedores de tecnologia de salud, enfrentan la aplicacion como asociados comerciales.
Como Estructurar un BAA Conforme
HHS ofrece disposiciones de BAA de muestra y un BAA modelo en su sitio web. Estas plantillas cubren los requisitos especificos de HIPAA, pero no son contratos completos por si solas. Segun HHS, el lenguaje de muestra por si solo puede no ser suficiente para dar lugar a un contrato vinculante bajo la ley estatal y no incluye muchas formalidades y disposiciones sustantivas que normalmente se encuentran en los contratos validos.
Consideraciones Clave de Redaccion
Alcance de los servicios. Defina las funciones exactas que el asociado comercial realizara y las categorias de PHI involucradas. Las descripciones vagas crean ambiguedad sobre los usos permitidos.
Plazos de notificacion de infracciones. HIPAA exige que los asociados comerciales reporten las infracciones dentro de 60 dias del descubrimiento, pero muchas entidades cubiertas negocian ventanas de reporte mas cortas (24 a 72 horas) en sus BAA.
Estandares de seguridad. Aunque la Regla de Seguridad de HIPAA establece el piso, un BAA puede especificar requisitos de seguridad adicionales como estandares de cifrado, controles de acceso o periodos de retencion de registros de auditoria.
Transferencia a subcontratistas. Desde la Omnibus Rule, los BAA deben abordar las obligaciones de los subcontratistas. El acuerdo debe especificar si el asociado comercial necesita aprobacion previa por escrito antes de contratar subcontratistas que accederan a la PHI.
Indemnizacion y responsabilidad. Estas disposiciones van mas alla de los requisitos de HIPAA, pero son estandar en el derecho contractual. Asignan la responsabilidad financiera por las infracciones, investigaciones y costos de notificacion.
Vigencia y terminacion. Mas alla de la autoridad de terminacion requerida por HIPAA, el BAA debe abordar la renovacion automatica, la terminacion por conveniencia y el proceso de transicion para devolver o destruir la PHI.
Ley aplicable. La ley contractual estatal rige la exigibilidad. Algunos estados han promulgado leyes adicionales de privacidad de datos o de proteccion de la informacion de salud que pueden imponer requisitos mas alla de HIPAA.
Consulte a un abogado para obtener asesoria especifica a su situacion al redactar, revisar o actualizar un BAA.
BAA y Proveedores de Servicios en la Nube
La computacion en la nube plantea consideraciones particulares para los BAA. HHS ha emitido guia sobre HIPAA y la computacion en la nube confirmando que un proveedor de servicios en la nube (CSP) que crea, recibe, mantiene o transmite ePHI en nombre de una entidad cubierta es un asociado comercial, incluso si el CSP procesa solo datos cifrados y no posee la clave de descifrado.
Esto significa que las organizaciones que usan sistemas de expediente de salud electronico basados en la nube, almacenamiento en la nube para registros de pacientes, software de gestion de consultorios alojado en la nube o plataformas de comunicacion basadas en la nube para discutir la atencion del paciente, todas necesitan BAA con sus proveedores CSP.
Los principales proveedores de la nube, incluyendo Amazon Web Services, Microsoft Azure y Google Cloud, ofrecen BAA estandar como parte de sus configuraciones de servicios elegibles para HIPAA. Sin embargo, firmar el BAA de un proveedor de la nube normalmente cubre solo servicios especificos elegibles para HIPAA dentro de la plataforma, no todos los servicios que el proveedor ofrece.
Recursos Relacionados de HIPAA
Para mas informacion sobre temas relacionados, consulte:
- Cuando se Requiere un BAA? cubre escenarios especificos donde un BAA es y no es necesario
- Cumplimiento de HIPAA para Empresas analiza el marco de cumplimiento mas amplio para las organizaciones que manejan PHI
- Panorama de HIPAA ofrece el centro completo de todas las areas de cobertura de HIPAA
Este articulo ofrece informacion legal, no asesoria legal. Las regulaciones de HIPAA y las prioridades de aplicacion pueden cambiar. Consulte a un abogado para obtener asesoria especifica a su situacion.
Preguntas frecuentes
Cual es la diferencia entre una entidad cubierta y un asociado comercial bajo HIPAA?
Una entidad cubierta es un plan de salud, una camara de compensacion de salud o un proveedor de salud que realiza ciertas transacciones electronicas. Un asociado comercial es cualquier persona u organizacion externa que realiza funciones o actividades en nombre de una entidad cubierta que involucran PHI. La distincion importa porque ambos tienen obligaciones separadas pero superpuestas bajo HIPAA, y se requiere un BAA siempre que una entidad cubierta comparte PHI con un asociado comercial.
Debe un BAA ser un contrato independiente?
No. HHS permite que las disposiciones requeridas del BAA se incorporen en un acuerdo de servicios mas amplio entre la entidad cubierta y el asociado comercial. Las disposiciones pueden ser parte de un acuerdo maestro de servicios, un contrato de proveedor o un documento independiente. Lo que importa es que todas las disposiciones requeridas por 45 CFR 164.504(e)(2) esten presentes por escrito, independientemente del formato del documento.
Puede una entidad cubierta ser responsable de la violacion de HIPAA de un asociado comercial?
Una entidad cubierta puede ser responsable si conocia un patron de actividad o practica del asociado comercial que constituia una violacion material del BAA y no tomo pasos razonables para subsanar la violacion o poner fin a la infraccion. Bajo 45 CFR 164.504(e)(1), si los pasos correctivos no tienen exito, la entidad cubierta debe terminar el contrato o, si la terminacion no es factible, reportar el problema a HHS.
Necesitan los asociados comerciales BAA con sus propios subcontratistas?
Si. La Omnibus Rule de 2013 amplio la definicion de asociado comercial para incluir a los subcontratistas que crean, reciben, mantienen o transmiten PHI. Bajo 45 CFR 164.504(e)(5), los mismos requisitos contractuales que aplican entre una entidad cubierta y un asociado comercial tambien aplican entre un asociado comercial y sus subcontratistas. Esto crea una cadena de acuerdos escritos que se extiende a cada entidad que maneja PHI.
Cuanto tiempo tiene un asociado comercial para reportar una infraccion a la entidad cubierta?
Bajo la Regla de Notificacion de [Infracciones de HIPAA](/es/us-laws/hipaa/reporting-hipaa-breaches) en 45 CFR 164.410, un asociado comercial debe notificar a la entidad cubierta de una infraccion descubierta de PHI no asegurada sin demora irrazonable y a mas tardar 60 dias calendario despues del descubrimiento. Muchas entidades cubiertas negocian plazos de reporte mas cortos en sus BAA, a veces exigiendo la notificacion dentro de 24 a 72 horas.
Fuentes y referencias
- HHS Guia sobre asociados comerciales(hhs.gov).gov
- HHS Disposiciones de muestra del Acuerdo de Asociado Comercial(hhs.gov).gov
- HHS Hoja informativa sobre la responsabilidad directa de los asociados comerciales(hhs.gov).gov
- 45 CFR 164.504 - Usos y divulgaciones: requisitos organizacionales(law.cornell.edu)
- HHS Aplicacion de HIPAA: Acuerdo con North Memorial Health Care(hhs.gov).gov
- HHS Aplicacion de HIPAA: Acuerdo con Raleigh Orthopaedic Clinic(hhs.gov).gov
- HHS Aplicacion de HIPAA: Acuerdo con CHSPSC LLC(hhs.gov).gov
- Regla final de la HIPAA Omnibus Rule (Federal Register)(govinfo.gov).gov
- HHS Guia sobre HIPAA y la computacion en la nube(hhs.gov).gov
- HHS Aplicacion de HIPAA: Acuerdo con BST & Co. CPAs(hhs.gov).gov
- 42 U.S.C. 1320d-6 - Divulgacion indebida de informacion de salud(law.cornell.edu)
- HHS Acuerdos de resolucion y sanciones monetarias civiles(hhs.gov).gov