Cuando se requiere un Acuerdo de Socio Comercial? (2026)

Conforme a 45 CFR 164.502(e), una entidad cubierta debe tener vigente un Acuerdo de Socio Comercial firmado antes de compartir informacion de salud protegida con cualquier proveedor externo que cree, reciba, mantenga o transmita PHI en su nombre. Sin ese contrato escrito, la divulgacion en si misma es una violacion de HIPAA.
Un Acuerdo de Socio Comercial es uno de los documentos centrales de cumplimiento conforme a HIPAA. Crea un marco juridicamente vinculante entre una entidad cubierta y cualquier tercero que vaya a acceder a informacion de salud protegida. Sin uno, incluso las relaciones rutinarias con proveedores pueden activar una accion de aplicacion federal.
Pero no toda relacion con un proveedor requiere un BAA. La linea entre "socio comercial" y "no socio comercial" depende de lo que el proveedor haga con la PHI, cuanto acceso tenga el proveedor y si se aplica una excepcion reglamentaria especifica. Esta guia desglosa las situaciones que activan el requisito, las excepciones que lo eliminan y las consecuencias reales de aplicacion de equivocarse.
Que convierte a alguien en socio comercial conforme a HIPAA
La Regla de Privacidad de HIPAA en 45 CFR 160.103 define a un socio comercial como cualquier persona o entidad, que no sea miembro del personal de la entidad cubierta, que desempena funciones o actividades en nombre de la entidad cubierta que implican el uso o la divulgacion de PHI.
El HHS agrupa las actividades de los socios comerciales en dos categorias. La primera cubre funciones y actividades: procesamiento de reclamaciones, analisis de datos, revision de la utilizacion, garantia de calidad, facturacion, gestion de beneficios, gestion de consultorios y refijacion de precios. La segunda cubre servicios: legales, actuariales, contables, de consultoria, de agregacion de datos, de gestion, administrativos, de acreditacion y financieros.
El factor clave es el acceso a la PHI. Un proveedor que nunca toca, ve, almacena o transmite PHI no es un socio comercial, independientemente de los servicios prestados. Un proveedor que si maneja PHI en cualquiera de estas capacidades activa el requisito del BAA.
La prueba de dos partes
Determinar si se necesita un BAA se reduce a dos preguntas. Primera: esta el proveedor desempenando una funcion o servicio en nombre de la entidad cubierta (o de un socio comercial)? Segunda: implica esa funcion o servicio crear, recibir, mantener o transmitir PHI?
Si ambas respuestas son si, se requiere un BAA antes de que cualquier PHI cambie de manos. Conforme a 45 CFR 164.502(e), una entidad cubierta no puede divulgar PHI a un socio comercial sin obtener primero garantias satisfactorias, en forma de contrato escrito, de que el socio comercial salvaguardara adecuadamente la informacion.
Categorias comunes de proveedores que requieren un BAA
Varios tipos de proveedores casi siempre califican como socios comerciales. Entender estas categorias ayuda a las organizaciones a identificar las lagunas en los BAA antes de que se conviertan en problemas de cumplimiento.
Proveedores de servicios en la nube
Segun la guia del HHS sobre computacion en la nube, cualquier proveedor de servicios en la nube (CSP) que cree, reciba, mantenga o transmita ePHI en nombre de una entidad cubierta es un socio comercial. Esto se aplica incluso si el CSP no llega a ver los datos. El mero hecho de que un CSP almacene ePHI, aunque sea en forma cifrada, establece la relacion de socio comercial.
Esto significa que servicios como el alojamiento de EHR basado en la nube, las plataformas de respaldo de datos, las plataformas de correo electronico que procesan PHI y las soluciones de almacenamiento en la nube requieren todos un BAA.
Companias de facturacion medica
Los servicios de facturacion de terceros procesan reclamaciones que contienen nombres de pacientes, diagnosticos, codigos de tratamiento e informacion de seguros. Estos proveedores rutinariamente crean, reciben y transmiten PHI como funcion central de su trabajo. Siempre se requiere un BAA.
Proveedores de servicios de TI y proveedores de software
Las companias de TI que administran redes, mantienen servidores o brindan soporte tecnico para sistemas que contienen ePHI son socios comerciales cuando su trabajo les da acceso a la PHI. Segun la Pregunta Frecuente 256 del HHS, un proveedor de software es un socio comercial si necesita acceso a la PHI para prestar sus servicios, como actualizaciones de software o mantenimiento en sistemas que contienen PHI.
Sin embargo, un proveedor que simplemente vende software a una entidad cubierta sin obtener acceso a la PHI no es un socio comercial. La distincion depende de si el proveedor puede acceder a los datos.
Servicios de almacenamiento y destruccion de documentos
Las companias que almacenan registros medicos o destruyen documentos que contienen PHI son socios comerciales. El HHS ha confirmado que una entidad cubierta puede contratar a un socio comercial para eliminar PHI, pero la entidad cubierta necesita un BAA que exija que el socio comercial salvaguarde adecuadamente la PHI durante el proceso de eliminacion.
Servicios de contestador y centros de llamadas
Los servicios de contestador medico que reciben llamadas de pacientes y registran mensajes que contienen informacion de salud son socios comerciales. Reciben PHI (nombres de pacientes, sintomas, numeros de devolucion de llamada) como parte central de su servicio.
Firmas legales, contables y de consultoria
Los abogados, los contadores publicos certificados (CPA) y los consultores se convierten en socios comerciales cuando su trabajo para una entidad cubierta implica el acceso a la PHI. Un abogado que revisa registros medicos para la defensa de un caso de negligencia o un CPA que audita registros de facturacion que incluyen informacion del paciente, ambos califican. La guia del HHS confirma que un abogado que es socio comercial tambien debe asegurarse de que cualquier agente o subcontratista que reciba PHI acepte las mismas restricciones de privacidad.
Cuando NO se requiere un BAA
No toda relacion que involucra a una organizacion de atencion medica activa un BAA. HIPAA establece varias excepciones importantes.
La excepcion del conducto
La excepcion del conducto exime a las entidades cuyo unico papel es transportar PHI sin acceder a ella de ninguna manera significativa. El HHS explica que el Servicio Postal de EE. UU., United Parcel Service y servicios de entrega similares no son socios comerciales porque simplemente transportan paquetes sellados.
La misma logica se extiende a los equivalentes electronicos, pero la excepcion es estrecha. Segun la Pregunta Frecuente 2077 del HHS, la excepcion del conducto se aplica solo a los servicios de solo transmision, incluido cualquier almacenamiento temporal incidental a la transmision. En el momento en que un servicio almacena ePHI para cualquier proposito mas alla de lo necesario para la transmision en si, la excepcion del conducto deja de aplicarse y se requiere un BAA.
Los proveedores de servicios de internet (ISP) que simplemente transmiten paquetes de datos por lo general califican como conductos. Un servicio en la nube que almacena ePHI en sus servidores no lo hace.
Divulgaciones de tratamiento entre proveedores
Cuando un proveedor de atencion medica envia PHI a otro proveedor de atencion medica con fines de tratamiento, no se necesita ningun BAA. El HHS ha declarado que los requisitos del socio comercial no se aplican a las divulgaciones que hace una entidad cubierta a un proveedor de atencion medica para tratamiento. Un hospital que remite a un paciente a un especialista y comparte los registros del paciente lo hace conforme a la excepcion de tratamiento, no a una relacion de socio comercial.
Empleados y miembros del personal
Los miembros del personal de una entidad cubierta no son socios comerciales. El termino "personal" conforme a HIPAA incluye a empleados, voluntarios, personas en formacion y otras personas cuya conducta la entidad cubierta controla directamente, reciban o no una remuneracion. Estas personas se rigen por las propias politicas y la capacitacion de HIPAA de la entidad cubierta, no por un BAA.
Sin embargo, las agencias temporales de contratacion de personal y los contratistas independientes que no estan bajo el control directo de la entidad cubierta por lo general si son socios comerciales. El HHS ha senalado una excepcion: cuando un empleado de un contratista (como un proveedor de TI) tiene su estacion de trabajo principal en las instalaciones de la entidad cubierta, la entidad cubierta puede optar por tratar a esa persona como un miembro del personal en lugar de un socio comercial.
Contacto incidental con la PHI
No se requiere un contrato de socio comercial con personas u organizaciones cuyas funciones no impliquen el uso o la divulgacion de PHI, y donde cualquier contacto con la PHI sea incidental. La Pregunta Frecuente 243 del HHS usa el ejemplo de los servicios de limpieza. Un equipo de limpieza que vacia los botes de basura en un consultorio medico puede ocasionalmente ver documentos desechados, pero su trabajo no implica manejar PHI. Esa exposicion incidental no los convierte en socios comerciales.
Planes de salud y proveedores de la red
Un proveedor que participa en la red de un plan de salud no es automaticamente un socio comercial de ese plan. Si la unica relacion entre el plan de salud y el proveedor es la presentacion de reclamaciones para pago, el proveedor no es un socio comercial del plan.
Requisitos del BAA para subcontratistas conforme a HITECH
Antes de la Ley HITECH y la Regla Omnibus de 2013, solo las entidades cubiertas tenian obligaciones directas conforme a HIPAA. Los socios comerciales estaban obligados unicamente por sus contratos, no por el reglamento en si.
La Regla Omnibus cambio esto de dos maneras importantes. Primero, hizo a los socios comerciales directamente responsables de las violaciones de HIPAA. Segundo, extendio el requisito del BAA hacia abajo en la cadena hasta los subcontratistas.
Conforme a las reglas actuales, un socio comercial que contrata a un subcontratista para crear, recibir, mantener o transmitir PHI en su nombre debe celebrar un BAA con ese subcontratista. El BAA del subcontratista debe contener los mismos elementos exigidos en el BAA de la entidad cubierta con el socio comercial, segun se especifica en 45 CFR 164.504(e).
Esto crea una cadena de responsabilidad. Un hospital firma un BAA con su proveedor de EHR. Ese proveedor de EHR firma un BAA con su proveedor de alojamiento en la nube. El proveedor de alojamiento en la nube firma un BAA con su subcontratista de respaldo de datos. En cada nivel donde se maneja PHI, debe existir un BAA.
Un socio comercial que no obtiene un BAA de un subcontratista, o que no aborda una violacion sustancial conocida del BAA de ese subcontratista, se enfrenta a una accion de aplicacion directa por parte de la OCR.
Que debe incluir un BAA
Un BAA no es un acuerdo de confidencialidad generico. Conforme a 45 CFR 164.504(e), debe contener disposiciones especificas que el HHS ha detallado en su modelo de BAA.
Los elementos requeridos incluyen disposiciones que establezcan los usos y divulgaciones permitidos de la PHI, que exijan al socio comercial usar salvaguardas apropiadas para prevenir el uso o la divulgacion no autorizados, que exijan al socio comercial reportar cualquier incidente de seguridad o violacion, que exijan que los subcontratistas que manejan PHI acepten las mismas restricciones, que exijan al socio comercial poner la PHI a disposicion de las personas que ejercen sus derechos de acceso, y que exijan la devolucion o destruccion de la PHI al final de la relacion.
El acuerdo tambien debe autorizar la terminacion si la entidad cubierta determina que el socio comercial ha violado un termino sustancial del contrato.
Aplicacion por la OCR: sanciones reales por la falta de BAA
La Oficina de Derechos Civiles del HHS (OCR) ha dejado claro a traves de acciones de aplicacion que operar sin un BAA es una violacion independiente de HIPAA, independientemente de si realmente ocurre una violacion de datos.
Raleigh Orthopaedic Clinic: $750,000
En 2016, Raleigh Orthopaedic Clinic en Carolina del Norte acepto pagar $750,000 despues de entregar las placas de rayos X y la PHI relacionada de 17,300 pacientes a una compania que prometio transferir las imagenes a medios electronicos a cambio de recuperar el contenido de plata de las placas. El acuerdo se hizo por telefono sin ningun BAA vigente. El plan de accion correctiva de la OCR exigio a la clinica designar a una persona responsable de garantizar que se obtengan los BAA antes de cualquier divulgacion de PHI.
Advanced Care Hospitalists: $500,000
Advanced Care Hospitalists (ACH), un grupo de medicos contratistas de Florida, pago $500,000 en 2018 despues de que la OCR descubriera que ACH habia compartido PHI con un proveedor de facturacion medica sin haber celebrado nunca un BAA. La informacion de los pacientes termino siendo visible en el sitio web del servicio de facturacion. La investigacion de la OCR revelo que ACH no tenia ninguna politica que exigiera BAA con los socios comerciales hasta 2014.
Center for Children's Digestive Health: $31,000
El Center for Children's Digestive Health (CCDH), un pequeno consultorio pediatrico en Illinois, llego a un acuerdo por $31,000 en 2017 despues de que la OCR determinara que CCDH habia estado divulgando PHI a una compania de almacenamiento de registros desde 2003 sin un BAA firmado. Ninguna de las partes pudo presentar uno. Incluso para un consultorio pequeno, la ausencia de un BAA activo una accion de aplicacion.
El patron
Estos casos comparten un hilo comun. La OCR trata la falta de un BAA como una falla de cumplimiento grave, separada de cualquier violacion de datos subyacente. Los acuerdos incluyen de manera constante tanto un pago monetario como un plan de accion correctiva que exige a la organizacion auditar todas las relaciones con proveedores, celebrar BAA donde sea necesario y designar a una persona responsable del cumplimiento continuo del BAA.
Como determinar si un proveedor especifico necesita un BAA
Las organizaciones que trabajan con muchos proveedores pueden usar un analisis sencillo para determinar que relaciones requieren un BAA.
Comience por enumerar a cada tercero que presta servicios a la organizacion. Para cada proveedor, pregunte si el proveedor accedera, creara, recibira, almacenara o transmitira PHI en cualquier forma (papel, electronica u oral) como parte del servicio. Si la respuesta es si, pregunte si se aplica alguna excepcion: la excepcion del conducto, la excepcion de divulgacion de tratamiento o la clasificacion como miembro del personal.
Si no se aplica ninguna excepcion y el proveedor manejara PHI, se requiere un BAA. Las organizaciones deben realizar este analisis antes de que comience la relacion con el proveedor, no despues de que la PHI ya se haya compartido. Como demuestran los acuerdos de Raleigh Orthopaedic y ACH, el cumplimiento retroactivo no evita las sanciones.
Para las organizaciones que evaluan plataformas de cumplimiento de HIPAA para gestionar sus programas de proveedores, muchas ofrecen funciones integradas de seguimiento de BAA que senalan las lagunas en la cobertura.
Cumplimiento de HIPAA y mejores practicas de BAA
Si bien este articulo ofrece informacion legal sobre los requisitos del BAA, el panorama de proveedores de cada organizacion es diferente. Los proveedores de atencion medica, los planes de salud y las camaras de compensacion deben consultar a un abogado para obtener asesoramiento especifico para su situacion, en particular cuando las relaciones con proveedores implican flujos de datos complejos o cruzan multiples jurisdicciones.
Para obtener mas informacion sobre el marco mas amplio de HIPAA, consulte nuestra pagina general de HIPAA. Para entender que contiene un BAA y como funciona en la practica, consulte Que es un Acuerdo de Socio Comercial.
Preguntas frecuentes
Necesita una entidad cubierta un BAA con otro proveedor de atencion medica?
Por lo general, no. Cuando una entidad cubierta divulga PHI a otro proveedor de atencion medica con fines de tratamiento, la Regla de Privacidad de HIPAA no exige un BAA. Sin embargo, si el proveedor esta desempenando una funcion que no es de tratamiento en nombre de la entidad cubierta (como la facturacion o el analisis de datos), se requeriria un BAA para esa funcion.
Se requiere un BAA para los servicios de almacenamiento en la nube que cifran todos los datos?
Si. El HHS ha confirmado que un proveedor de servicios en la nube es un socio comercial siempre que almacene ePHI, incluso si los datos estan cifrados y el proveedor no puede ver realmente la informacion. El cifrado no elimina el requisito del BAA. La entidad cubierta y el CSP deben celebrar un BAA antes de que se almacene cualquier ePHI en la plataforma en la nube.
Los servicios de conserjeria o de limpieza necesitan un BAA?
No. El HHS ha declarado que los servicios de limpieza por lo general no son socios comerciales porque su trabajo no implica el uso o la divulgacion de PHI. Cualquier exposicion a la PHI que ocurra de manera incidental, como al vaciar los botes de basura, se considera incidental y no activa el requisito del BAA conforme a 45 CFR 164.502(e).
Que sucede si una entidad cubierta opera sin un BAA para un proveedor existente?
Operar sin un BAA requerido es en si mismo una violacion de HIPAA, independientemente de si ha ocurrido una violacion de datos. La OCR ha impuesto acuerdos que van de $31,000 a $750,000 especificamente por la ausencia de un BAA. Las sanciones por lo general incluyen tanto un pago monetario como un plan de accion correctiva que exige a la organizacion auditar todas las relaciones con proveedores y celebrar BAA donde sea necesario.
Necesita un socio comercial un BAA con sus propios subcontratistas?
Si. La Regla Omnibus HITECH de 2013 extendio los requisitos del BAA a los subcontratistas. Cualquier subcontratista que cree, reciba, mantenga o transmita PHI en nombre de un socio comercial debe tener un BAA vigente. El BAA del subcontratista debe incluir las mismas disposiciones requeridas que se especifican en 45 CFR 164.504(e). Un socio comercial que no obtiene un BAA de un subcontratista esta sujeto a una accion de aplicacion directa.
Fuentes y referencias
- Socios comerciales - Guia de HIPAA de HHS.gov(hhs.gov).gov
- Entidades cubiertas y socios comerciales - HHS.gov(hhs.gov).gov
- Contratos de socio comercial: disposiciones de muestra - HHS.gov(hhs.gov).gov
- Hoja informativa sobre la responsabilidad directa de los socios comerciales - HHS.gov(hhs.gov).gov
- Guia sobre HIPAA y la computacion en la nube - HHS.gov(hhs.gov).gov
- Pregunta Frecuente 2077 del HHS: Excepcion del conducto para proveedores de servicios en la nube(hhs.gov).gov
- Pregunta Frecuente 243 del HHS: Contrato de socio comercial para el contacto inadvertido con PHI(hhs.gov).gov
- Pregunta Frecuente 245 del HHS: El Servicio Postal y los servicios de mensajeria como socios comerciales(hhs.gov).gov
- Sin Acuerdo de Socio Comercial? Un error de $31K - Acuerdo CCDH(hhs.gov).gov
- Acuerdo de $750,000: Falla del BAA de Raleigh Orthopaedic Clinic(hhs.gov).gov
- Acuerdo de Advanced Care Hospitalists - HHS.gov(hhs.gov).gov
- Pregunta Frecuente 577 del HHS: Socio comercial para la eliminacion de PHI(hhs.gov).gov
- 45 CFR 160.103 - Definiciones (Socio comercial)(ecfr.gov).gov