Business Associate Agreement (BAA)

Versión 1.0.0 · Vigente desde el 9 de mayo de 2026 · Solo USA / HIPAA

⚠️ Aplica solo si su clínica opera en Estados Unidos. Si su clínica opera en otra jurisdicción (Venezuela, México, etc.), HIPAA no aplica y este BAA no es necesario. Use el Acuerdo Cevanis ↔ Clínica como contrato base.

Este Business Associate Agreement ("BAA") se celebra entre 360 GLOBAL TRADE BUSINESS LLC ("Business Associate" o "Cevanis") y la entidad clínica/dental cubierta por HIPAA ("Covered Entity" o "Clínica"). Cumple con 45 CFR §§ 164.502(e), 164.504(e) y 164.314(a) del HIPAA Privacy y Security Rules.

1. Definiciones

Términos en mayúscula tienen el significado del HIPAA Privacy Rule (45 CFR Part 160 y Part 164, Subparts A and E) y Security Rule (45 CFR Part 160 y Part 164, Subparts A and C):

PHI (Protected Health Information): información individualmente identificable relacionada con salud.
ePHI: PHI en formato electrónico.
Breach: acceso, uso o divulgación no autorizada de PHI según 45 CFR § 164.402.
Required by Law: según 45 CFR § 164.103.

2. Permitted uses and disclosures by Business Associate

Cevanis solo usará y divulgará PHI:

Para realizar las funciones del Servicio según el Acuerdo Cevanis ↔ Clínica (gestión clínica, telemedicina, IA, pagos).
Para gestión y administración apropiada de Cevanis o cumplir con sus responsabilidades legales.
Según permita o requiera la ley (Required by Law).

Cevanis NO:

Vende PHI ni lo usa para marketing ajeno a la Clínica.
Usa PHI para entrenar modelos de IA propios o de terceros.
Comparte PHI con terceros sin autorización de la Clínica (excepto subcontratistas necesarios — ver sección 5).

3. Salvaguardas administrativas, físicas y técnicas

Cevanis implementará salvaguardas razonables y apropiadas según 45 CFR Part 164 Subpart C, incluyendo:

Cifrado: TLS 1.3 en tránsito, AES-256 en reposo.
Control de acceso: autenticación multi-factor opcional, RLS por tenant, roles granulares, sesiones expirables.
Audit logs: registro inmutable de acceso a PHI, acciones administrativas, cambios de permisos.
Backups: diarios, encriptados, retención 30 días, recuperación verificada periódicamente.
Incident response: playbooks documentados, on-call 24/7 para incidentes Sev1.
Capacitación: personal de Cevanis con acceso a PHI recibe entrenamiento HIPAA anual.

4. Notificación de breach

Si Cevanis descubre un Breach de PHI, notificará a la Clínica sin demora injustificada y, en cualquier caso, dentro de los 60 días calendario tras descubrirlo (45 CFR § 164.410). La notificación incluirá:

Identificación de las personas afectadas (si conocidas).
Descripción de qué PHI estuvo involucrada.
Fechas del breach y descubrimiento.
Acciones tomadas para investigar, mitigar y prevenir reincidencia.

Cevanis cooperará con la Clínica en cumplir sus obligaciones de notificación a individuos, HHS y medios cuando aplique (45 CFR §§ 164.404, 164.406).

5. Subcontratistas

Cevanis usa subcontratistas cuyo acceso a PHI sea necesario:

Supabase (database hosting) — BAA suscrito.
Vercel (application hosting) — Enterprise BAA suscrito.
Stripe (procesamiento de pagos) — BAA suscrito en cuentas Connected.
Resend (transactional email) — DPA con limitación a metadata mínima necesaria.
Anthropic / OpenAI (IA) — Enterprise data agreements que prohíben uso de datos para entrenamiento de modelos.

Cevanis se asegura de que cada subcontratista tenga obligaciones equivalentes a las de este BAA respecto a PHI (45 CFR § 164.502(e)).

6. Acceso, enmienda, contabilidad de divulgaciones

Acceso (45 CFR § 164.524): Cevanis hará disponibles PHI a la Clínica para que la Clínica responda a solicitudes de acceso de pacientes en plazos HIPAA.
Enmienda (45 CFR § 164.526): Cevanis hará disponibles PHI para enmienda según solicitudes recibidas por la Clínica.
Contabilidad (45 CFR § 164.528): Cevanis mantendrá registro de divulgaciones de PHI por al menos 6 años para responder solicitudes de accounting.

7. Terminación del BAA

Este BAA termina con:

La terminación del Acuerdo Cevanis ↔ Clínica.
Incumplimiento material no subsanado en 30 días tras notificación.

Tras terminación, Cevanis devolverá o destruirá toda PHI según 45 CFR § 164.504(e)(2)(ii)(J), salvo que:

La Clínica solicite retención por 60 días para exportar.
La devolución/destrucción no sea factible — en ese caso Cevanis extenderá protecciones HIPAA mientras retenga PHI.

8. Misceláneo

Interpretación: ambigüedades se interpretarán a favor del cumplimiento HIPAA.
Modificación: Cevanis podrá modificar este BAA para cumplir cambios HIPAA, notificando con 30 días de anticipación.
No agencia: este BAA no crea relación de agencia, partnership o joint venture.

9. Aceptación

La Clínica acepta este BAA al marcar la opción correspondiente durante el registro o al activar el uso de funciones que procesan PHI (telemedicina, historia clínica, IA en radiografías). Su aceptación queda registrada con fecha, hora e IP en audit trail inmutable.

Para preguntas relacionadas con HIPAA o este BAA: privacy@cevanis.com. Cevanis tiene un Privacy Officer designado.