Acuerdo de socio comercial

Acuerdo de cumplimiento de la HIPAA para la información médica protegida

Fecha de entrada en vigor: Tras la aceptación
Versión: baa_v2025-10-17

Partes del presente Acuerdo

Entidad cubierta: La clínica dental o entidad sanitaria que contrata los servicios («Entidad cubierta»).

Socio comercial: Dental Education, Inc., que opera bajo el nombre comercial Intake.Dental («Socio comercial»).

Producto/servicio: Dental Forms Pro: servicios basados en la nube para la admisión de pacientes, la gestión del historial médico y el almacenamiento de documentos con información médica protegida (PHI).

Considerandos

CONSIDERANDO QUE la Entidad Cubierta es un proveedor de atención médica sujeto a la Ley de Portabilidad y Responsabilidad del Seguro Médico de 1996 («HIPAA»), la Ley de Tecnología de la Información Sanitaria para la Salud Económica y Clínica («Ley HITECH») y las normativas relacionadas (en conjunto, las «Normas HIPAA»);

CONSIDERANDO QUE el socio comercial proporciona servicios de software basados en la nube que implican la creación, recepción, mantenimiento, transmisión o acceso a información médica protegida en nombre de la entidad cubierta;

CONSIDERANDO QUE las normas de la HIPAA exigen que la entidad cubierta celebre un acuerdo de socio comercial con el socio comercial para garantizar las medidas de seguridad adecuadas para la información médica protegida;

POR LO TANTO, en consideración a las promesas mutuas que se indican a continuación y por otras consideraciones válidas y valiosas, las partes acuerdan lo siguiente:

1. Definiciones

Los términos utilizados en el presente Acuerdo que no se definan de otro modo tendrán el mismo significado que los términos de las Normas HIPAA (45 CFR Partes 160 y 164).

1.1 Información médica protegida (PHI): Según se define en 45 CFR § 160.103, se refiere a la información médica identificable individualmente que se transmite por medios electrónicos, se mantiene en medios electrónicos o se transmite o mantiene en cualquier otra forma o medio. La PHI incluye, entre otros, los nombres de los pacientes, las direcciones, las fechas de nacimiento, números de la Seguridad Social, números de historiales médicos, números de beneficiarios de planes de salud, números de cuenta, fotografías, identificadores biométricos y cualquier otro número, característica o código de identificación único, junto con información médica relacionada con la salud o el estado físico o mental pasado, presente o futuro de una persona, la prestación de asistencia sanitaria a una persona o el pago pasado, presente o futuro por la prestación de asistencia sanitaria a una persona.

1.2 Incidente de seguridad: intento o éxito en el acceso, uso, divulgación, modificación o destrucción no autorizados de información, o interferencia en las operaciones de un sistema de información.

1.3 Infracción: la adquisición, el acceso, el uso o la divulgación de la PHI de una manera no permitida por la Norma de Privacidad que comprometa la seguridad o la privacidad de la PHI, tal y como se define en 45 CFR § 164.402, y excluyendo las divulgaciones en las que exista una baja probabilidad de que la PHI se haya visto comprometida.

1.4 Información médica protegida electrónica (ePHI): PHI que se transmite o se conserva en medios electrónicos.

1.5 Exigido por ley: mandato contenido en la ley que obliga a una entidad a utilizar o divulgar la PHI y que es ejecutable ante un tribunal de justicia.

1.6 Subcontratista: Persona o entidad a la que el socio comercial delega una función, actividad o servicio, sin que sea miembro del personal del socio comercial.

2. Obligaciones y actividades del socio comercial

2.1 Normas de almacenamiento y seguridad de datos

El socio comercial almacenará toda la PHI exclusivamente en entornos seguros y cifrados con las siguientes medidas de seguridad:

2.1.1 Requisitos de cifrado:

  • Cifrado en reposo mediante AES-256 o un cifrado equivalente estándar del sector.
  • Cifrado en tránsito mediante TLS 1.2 o superior para todas las transmisiones de datos.
  • Copias de seguridad cifradas con el mismo nivel de protección que los datos de producción.

2.1.2 Controles de acceso:

  • Control de acceso basado en roles (RBAC) que limita el acceso a la PHI únicamente al personal autorizado.
  • Se requiere autenticación multifactorial (MFA) para todo acceso administrativo.
  • Identificaciones únicas de usuario para todas las personas con acceso a la ePHI.
  • Cierre de sesión automático tras un periodo de inactividad
  • Procedimientos de acceso de emergencia con registro de auditoría

2.1.3 Supervisión de la seguridad:

  • Auditorías de seguridad y evaluaciones de vulnerabilidad periódicas (al menos una vez al año).
  • Supervisión continua de intentos de acceso no autorizados.
  • Sistemas de detección y prevención de intrusiones
  • Parches de seguridad y actualizaciones periódicas para todos los sistemas.

2.2 Usos y divulgaciones permitidos de la PHI

2.2.1 El socio comercial podrá utilizar y divulgar la PHI únicamente según lo permita o exija el presente Acuerdo o según lo exija la ley.

2.2.2 El socio comercial podrá utilizar la PHI para la gestión y administración adecuadas de los servicios del socio comercial, incluyendo:

  • Alojamiento, almacenamiento y copia de seguridad de los formularios de admisión de pacientes y los historiales médicos.
  • Envío de información médica protegida a entidades cubiertas a través de enlaces seguros con caducidad limitada en el tiempo.
  • Soporte técnico y resolución de problemas cuando lo solicite explícitamente la entidad cubierta.
  • Mantenimiento del sistema y optimización del rendimiento

2.2.3 El socio comercial podrá divulgar la PHI para la gestión y administración adecuadas del socio comercial solo si:

  • La divulgación es exigida por ley; o
  • El socio comercial obtiene garantías razonables de la persona a la que se le divulga la información de que se mantendrá de forma confidencial y se utilizará o divulgará únicamente según lo exija la ley o para el fin para el que se le divulgó a dicha persona, y esta notifica al socio comercial cualquier caso del que tenga conocimiento en el que se haya violado la confidencialidad de la información.

2.2.4 El socio comercial podrá desidentificar la PHI de conformidad con 45 CFR § 164.514(a)-(c) y utilizar dichos datos desidentificados con fines de mejora del sistema, análisis y garantía de calidad. El socio comercial no intentará volver a identificar la información desidentificada.

2.2.5 Usos prohibidos: El socio comercial NO podrá:

  • Utilizar la PHI con fines de marketing sin la autorización expresa por escrito de la entidad cubierta.
  • Vender información médica protegida (PHI) o utilizarla con fines comerciales que no estén directamente relacionados con la prestación de servicios.
  • Compartir información médica protegida (PHI) con servicios de análisis de terceros, modelos de entrenamiento de IA o sistemas de aprendizaje automático sin autorización explícita por escrito.
  • Divulgar la PHI a cualquier parte no cubierta por un acuerdo de socio comercial posterior.

2.3 Norma mínima necesaria

El socio comercial limitará el uso, la divulgación o la solicitud de PHI al mínimo necesario para cumplir con el propósito previsto, de conformidad con 45 CFR § 164.502(b) y § 164.514(d).

2.4 Salvaguardias adecuadas

El socio comercial deberá utilizar las medidas de seguridad administrativas, físicas y técnicas adecuadas que protejan de forma razonable y adecuada la confidencialidad, integridad y disponibilidad de la ePHI que cree, reciba, mantenga o transmita en nombre de la entidad cubierta, de conformidad con el título 45 del CFR, parte 164, subparte C (la norma de seguridad).

2.5 Requisitos de presentación de informes

2.5.1 Notificación de violaciones: El socio comercial deberá informar a la entidad cubierta cualquier violación de la PHI no protegida de la que tenga conocimiento en un plazo de cinco (5) días hábiles desde su descubrimiento, o antes si así lo exige la legislación aplicable. La notificación deberá incluir, en la medida de lo posible:

  • Una descripción de la infracción, incluyendo la fecha de la infracción y la fecha en que se descubrió.
  • Identificación de las personas cuya información médica protegida (PHI) ha sido, o se cree razonablemente que ha sido, accedida, adquirida, utilizada o divulgada durante la violación.
  • Una descripción de los tipos de PHI involucrados (por ejemplo, nombre completo, número de la Seguridad Social, fecha de nacimiento, número de historial médico).
  • Una breve descripción de lo que está haciendo el socio comercial para investigar la infracción, mitigar el daño a las personas y proteger contra nuevas infracciones.
  • Información de contacto para que las personas puedan realizar preguntas u obtener información adicional.

2.5.2 Notificación de incidentes de seguridad: El socio comercial deberá notificar los incidentes de seguridad a la entidad cubierta cuando esta lo solicite o según se acuerde de otro modo. El socio comercial y la entidad cubierta reconocen que esta sección constituye una notificación por parte del socio comercial a la entidad cubierta de la existencia y ocurrencia continuadas de incidentes de seguridad intentados pero fallidos (como intentos de inicio de sesión fallidos, pings, escaneos de puertos, ataques de denegación de servicio y malware que no da lugar al acceso a ePHI). El socio comercial deberá informar de los incidentes de seguridad exitosos en el mismo plazo que las infracciones.

2.5.3 Uso o divulgación indebidos: El socio comercial deberá informar a la entidad cubierta de cualquier uso o divulgación de la PHI no contemplado en el presente acuerdo en un plazo de cinco (5) días hábiles desde que tenga conocimiento de dicho uso o divulgación.

2.6 Acuerdos con subcontratistas

2.6.1 El socio comercial se asegurará de que cualquier subcontratista que cree, reciba, mantenga o transmita información médica protegida (PHI) en nombre del socio comercial acepte por escrito las mismas restricciones, condiciones y requisitos que se aplican al socio comercial con respecto a dicha PHI.

2.6.2 Los subcontratistas actuales incluyen:

  • Amazon Web Services (AWS): infraestructura de alojamiento y almacenamiento en la nube.
  • Supabase - Servicios de bases de datos
  • Proveedores de servicios de correo electrónico para la entrega segura de información médica protegida (PHI).

2.6.3 El socio comercial deberá obtener y mantener acuerdos válidos de socio comercial con todos los subcontratistas que manejen información médica protegida (PHI) y deberá poner copias de dichos acuerdos a disposición de la entidad cubierta cuando esta lo solicite de manera razonable.

2.6.4 El socio comercial deberá notificar a la entidad cubierta cualquier cambio en los subcontratistas en un plazo de treinta (30) días a partir de dicho cambio.

2.7 Acceso a la PHI

2.7.1 En un plazo de diez (10) días hábiles a partir de la solicitud de la entidad cubierta, el socio comercial pondrá a disposición de la entidad cubierta o, según las instrucciones de esta, a una persona, la PHI contenida en un conjunto de registros designado que mantenga el socio comercial o que se mantenga para este, en el momento y de la forma que designe la entidad cubierta, a fin de que esta pueda cumplir con sus obligaciones en virtud del artículo 45 CFR § 164.524.

2.7.2 Si el socio comercial mantiene un conjunto de registros designados electrónicos, deberá proporcionar la PHI en formato electrónico para que la entidad cubierta pueda cumplir con sus obligaciones en virtud del artículo 45 CFR § 164.524(c)(2)(ii).

2.8 Modificación de la PHI

En un plazo de diez (10) días hábiles a partir de la recepción de una solicitud de la entidad cubierta, el socio comercial pondrá a disposición la PHI conservada en un conjunto de registros designado para su modificación e incorporará cualquier modificación de la PHI en un conjunto de registros designado de conformidad con 45 CFR § 164.526, según las instrucciones de la entidad cubierta.

2.9 Contabilización de las divulgaciones

2.9.1 El socio comercial deberá documentar todas las divulgaciones de PHI y la información relacionada con dichas divulgaciones, tal y como se exigiría a la entidad cubierta para responder a una solicitud de una persona para obtener un informe de las divulgaciones, de conformidad con 45 CFR § 164.528.

2.9.2 En un plazo de diez (10) días hábiles a partir de la notificación por parte de la Entidad Cubierta de que ha recibido una solicitud de informe sobre las divulgaciones de la PHI, el Socio Comercial pondrá a disposición de la Entidad Cubierta la información que obre en su poder y que sea necesaria para que la Entidad Cubierta pueda elaborar el informe exigido por el artículo 45 CFR § 164.528.

2.9.3 El socio comercial deberá conservar los registros contables durante al menos seis (6) años a partir de la fecha de divulgación.

2.10 Acceso a libros y registros

El socio comercial pondrá a disposición del Secretario de Salud y Servicios Humanos sus prácticas internas, libros y registros relacionados con el uso y la divulgación de la PHI recibida o creada o recibida por el socio comercial en nombre de la entidad cubierta, con el fin de determinar el cumplimiento de la entidad cubierta con las normas de la HIPAA, en el momento y de la manera designados por el Secretario.

2.11 Cumplimiento de la Ley HITECH

El socio comercial deberá cumplir con los requisitos aplicables de la Ley HITECH y las regulaciones promulgadas en virtud de la misma, incluyendo, entre otros:

  • Restricciones a la venta de información médica protegida (42 U.S.C. § 17935(d))
  • Restricciones de comercialización (42 U.S.C. § 17936(a))
  • Contabilidad de las divulgaciones (42 U.S.C. § 17935(c))
  • Requisitos de notificación en caso de infracción (42 U.S.C. § 17932)

3. Obligaciones de la entidad cubierta

3.1 Aviso sobre prácticas de privacidad

La Entidad Cubierta proporcionará al Socio Comercial una copia de su Aviso de Prácticas de Privacidad y cualquier cambio al mismo, en la medida en que dicho Aviso o cambios afecten a los usos y divulgaciones permitidos o requeridos por el Socio Comercial.

3.2 Permiso para usar o divulgar

La Entidad Cubierta no solicitará al Socio Comercial que utilice o divulgue la PHI de ninguna manera que no sea permisible según la Norma de Privacidad si lo hiciera la Entidad Cubierta, salvo en los casos permitidos por 45 CFR §§ 164.504(e)(2) y 164.504(e)(3).

3.3 Restricciones sobre el uso y la divulgación

La Entidad Cubierta notificará al Socio Comercial cualquier restricción sobre el uso o la divulgación de la PHI que la Entidad Cubierta haya acordado de conformidad con 45 CFR § 164.522, en la medida en que dicha restricción afecte al uso o la divulgación de la PHI por parte del Socio Comercial.

3.4 Solicitudes admisibles

La Entidad Cubierta declara y garantiza que cualquier PHI proporcionada al Socio Comercial, o cualquier PHI que el Socio Comercial cree o reciba en nombre de la Entidad Cubierta, se realiza de conformidad con las Normas HIPAA.

4. Duración y rescisión

4.1 Plazo

El presente Acuerdo entrará en vigor en la fecha en que la Entidad Cubierta acepte estos términos (por vía electrónica o por escrito) y permanecerá en vigor hasta que toda la PHI proporcionada por la Entidad Cubierta al Socio Comercial, o creada, recibida o conservada por el Socio Comercial en nombre de la Entidad Cubierta, sea destruida o devuelta a la Entidad Cubierta o, si no es posible devolver o destruir la PHI, se ampliarán las protecciones a dicha PHI de conformidad con las disposiciones de rescisión de esta sección.

4.2 Rescisión por causa justificada

4.2.1 La Entidad cubierta podrá rescindir el presente Acuerdo de forma inmediata mediante notificación por escrito al Socio comercial si la Entidad cubierta determina que el Socio comercial ha incumplido alguna de las condiciones sustanciales del presente Acuerdo y no ha subsanado dicho incumplimiento en un plazo de treinta (30) días a partir de la recepción de la notificación por escrito del incumplimiento por parte de la Entidad cubierta.

4.2.2 El socio comercial podrá rescindir el presente Acuerdo de forma inmediata mediante notificación por escrito si la entidad cubierta ha incumplido alguna condición sustancial y no ha subsanado dicho incumplimiento en un plazo de treinta (30) días a partir de la recepción de la notificación por escrito.

4.2.3 Cualquiera de las partes podrá rescindir el presente Acuerdo de forma inmediata mediante notificación por escrito si la otra parte es objeto de una solicitud de quiebra, se declara insolvente o realiza una cesión en beneficio de los acreedores.

4.3 Efecto de la rescisión

4.3.1 Devolución o destrucción de la PHI:

Tras la rescisión del presente Acuerdo por cualquier motivo, el socio comercial deberá:

a) Período de recuperación: proporcionar a la entidad cubierta treinta (30) días para recuperar o exportar toda la PHI de los sistemas del socio comercial. Durante este período, el socio comercial deberá:

  • Mantener el acceso completo de la entidad cubierta a toda la PHI.
  • Proporcionar asistencia técnica para la exportación de datos.
  • Ofrecer datos en formatos de uso común y legibles por máquina.
  • No cobrar tarifas adicionales por la exportación estándar de datos.

b) Destrucción: Una vez transcurrido el plazo de recuperación de treinta (30) días, el socio comercial deberá:

  • Eliminar o destruir de forma permanente toda la información médica protegida (PHI) en todas sus formas (electrónica y física).
  • Sobrescriba de forma segura todos los soportes de almacenamiento que contengan información médica protegida (PHI) de acuerdo con la Publicación especial 800-88 del NIST, Directrices para la desinfección de soportes.
  • Elimine toda la información médica protegida (PHI) de los sistemas de copia de seguridad en un plazo de noventa (90) días o en el siguiente ciclo de copia de seguridad.
  • Proporcionar una certificación por escrito de la destrucción a la entidad cubierta en un plazo de diez (10) días a partir de la finalización.

4.3.2 Imposibilidad de devolución o destrucción:

Si el socio comercial determina que devolver o destruir la PHI no es viable, el socio comercial deberá:

  • Proporcionar una notificación por escrito a la entidad cubierta explicando las razones específicas por las que la devolución o destrucción no es viable.
  • Ampliar las protecciones de este Acuerdo a dicha PHI.
  • Limitar los usos y divulgaciones adicionales de dicha PHI a aquellos fines que hagan inviable su devolución o destrucción.
  • No utilizar ni divulgar dicha PHI para ningún otro fin.

Entre los ejemplos de inviabilidad se incluyen, entre otros: requisitos legales o normativos para conservar registros, limitaciones técnicas de los sistemas de copia de seguridad o litigios en curso o investigaciones gubernamentales.

4.4 Supervivencia

Las obligaciones del socio comercial en virtud de la sección 4.3 (Efecto de la rescisión) y la sección 7 (Responsabilidad e indemnización) seguirán vigentes tras la rescisión del presente Acuerdo.

5. Derechos de auditoría

5.1 Solicitudes de documentación

Previo aviso razonable por escrito (con una antelación mínima de quince (15) días hábiles), la Entidad Cubierta podrá solicitar al Socio Comercial que facilite documentación sobre sus políticas de seguridad, controles de cifrado, registros de auditoría, registros de formación del personal y acuerdos con subcontratistas socios comerciales, con el fin de determinar el cumplimiento por parte del Socio Comercial del presente Acuerdo.

5.2 Métodos de auditoría

El socio comercial puede cumplir los requisitos de auditoría mediante cualquiera de los siguientes métodos:

  • Resúmenes escritos de los controles, políticas y procedimientos de seguridad.
  • Informes de cumplimiento de terceros (por ejemplo, SOC 2 Tipo II, certificación HITRUST, ISO 27001)
  • Extractos del registro de auditoría para períodos de tiempo específicos (anonimizados cuando sea posible).
  • Inspección virtual o presencial de instalaciones y sistemas, previo acuerdo mutuo sobre la fecha y el alcance.

5.3 Frecuencia de las auditorías

La entidad cubierta podrá solicitar auditorías como máximo una vez por año natural, salvo que:

  • Se ha producido una violación o un incidente de seguridad.
  • Exigido por ley o normativa
  • La entidad cubierta tiene motivos razonables para creer que el socio comercial no cumple con las normas.

5.4 Costos de auditoría

Cada parte correrá con sus propios gastos relacionados con las auditorías, a menos que la auditoría revele un incumplimiento sustancial por parte del socio comercial, en cuyo caso el socio comercial reembolsará a la entidad cubierta los gastos razonables de la auditoría.

5.5 Confidencialidad

Cualquier información revelada durante una auditoría se tratará como información comercial confidencial y se utilizará únicamente con el fin de verificar el cumplimiento del presente Acuerdo.

6. Responsabilidad e indemnización

6.1 Responsabilidad mutua

Cada parte será responsable de sus propios actos u omisiones negligentes, así como de los de sus empleados, agentes o subcontratistas, en relación con el presente Acuerdo, en la medida en que lo permita la ley.

6.2 Limitación de responsabilidad

6.2.1 Salvo lo dispuesto en la sección 6.2.2, la responsabilidad total del socio comercial frente a la entidad cubierta en virtud del presente acuerdo por cualquier reclamación que surja o esté relacionada con el mismo no excederá un importe equivalente a doce (12) meses de las tarifas pagadas o pagaderas por la entidad cubierta al socio comercial.

6.2.2 La limitación del apartado 6.2.1 no se aplicará a:

  • Conducta indebida deliberada o infracción intencionada
  • Negligencia grave
  • Incumplimiento intencionado de las obligaciones de confidencialidad
  • Conducta delictiva
  • Infracciones de la HIPAA derivadas del incumplimiento por parte del socio comercial de la implementación de las medidas de seguridad requeridas.
  • Obligaciones en virtud de la sección 6.3 (Indemnización)

6.2.3 NINGUNA DE LAS PARTES SERÁ RESPONSABLE DE NINGÚN DAÑO INDIRECTO, INCIDENTAL, CONSECUENCIAL, ESPECIAL O PUNITIVO, INCLUIDOS, ENTRE OTROS, LA PÉRDIDA DE BENEFICIOS, PÉRDIDA DE DATOS O PÉRDIDA DE OPORTUNIDADES COMERCIALES, INCLUSO SI SE HA ADVERTIDO DE LA POSIBILIDAD DE TALES DAÑOS, SALVO EN LA MEDIDA EN QUE DICHOS DAÑOS SEAN RESULTADO DE NEGLIGENCIA GRAVE O CONDUCTA DOLOSA.

6.3 Indemnización por parte del socio comercial

El socio comercial indemnizará, defenderá y eximirá de responsabilidad a la entidad cubierta, sus directores, funcionarios, empleados y agentes frente a cualquier reclamación, responsabilidad, daño, pérdida, coste y gasto (incluidos los honorarios razonables de abogados) que se deriven o estén relacionados con:

  • Incumplimiento del presente Acuerdo por parte del socio comercial
  • Infracción de las normas HIPAA por parte del socio comercial
  • Uso o divulgación no autorizados de la PHI por parte de un socio comercial
  • Reclamaciones de terceros derivadas de actos u omisiones del socio comercial.
  • Infracción o incidente de seguridad causado por un socio comercial o sus subcontratistas

Esta obligación de indemnización no se aplicará en la medida en que dichas reclamaciones, responsabilidades, daños, pérdidas, costes o gastos sean causados por el incumplimiento del presente Acuerdo o la violación de las Normas HIPAA por parte de la Entidad Cubierta.

6.4 Indemnización por parte de la entidad cubierta

La Entidad Cubierta indemnizará, defenderá y eximirá de responsabilidad al Socio Comercial, sus directores, funcionarios, empleados y agentes frente a cualquier reclamación, responsabilidad, daño, pérdida, coste y gasto (incluidos los honorarios razonables de abogados) que surjan o estén relacionados con:

  • Incumplimiento del presente Acuerdo por parte de la Entidad Cubierta
  • Infracción de las normas HIPAA por parte de la entidad cubierta
  • Provisión de información médica protegida (PHI) inexacta o incompleta por parte de la entidad cubierta al socio comercial.
  • Instrucciones de la entidad cubierta al socio comercial que infringen las normas HIPAA

6.5 Seguros

Cada parte mantendrá una cobertura de seguro adecuada, incluido un seguro de responsabilidad cibernética, por un importe razonablemente suficiente para cubrir las posibles responsabilidades derivadas del presente Acuerdo. Previa solicitud, cada parte proporcionará a la otra los certificados de seguro.

7. Cambios y modificaciones normativas

7.1 Cambios normativos

Las partes reconocen que las Normas HIPAA pueden ser modificadas periódicamente por el Secretario de Salud y Servicios Humanos. El socio comercial se compromete a implementar los cambios necesarios en sus prácticas, políticas y procedimientos para mantener el cumplimiento de las Normas HIPAA modificadas.

7.2 Modificaciones del acuerdo

7.2.1 El socio comercial deberá notificar a la entidad cubierta cualquier cambio sustancial en las normas HIPAA que afecte al presente acuerdo en un plazo de treinta (30) días a partir de la fecha de entrada en vigor de dichos cambios.

7.2.2 Si alguna de las partes determina que es necesario modificar el presente Acuerdo para cumplir con los cambios en las Normas de la HIPAA, las partes negociarán de buena fe para modificar el presente Acuerdo en consecuencia.

7.2.3 El presente Acuerdo no podrá modificarse salvo mediante un acuerdo escrito firmado por representantes autorizados de ambas partes.

7.2.4 El socio comercial se reserva el derecho de actualizar la versión de este acuerdo de vez en cuando. Las versiones actualizadas se publicarán en el sitio web del socio comercial, y se notificará a la entidad cubierta por correo electrónico al menos treinta (30) días antes de la fecha de entrada en vigor de los cambios sustanciales.

8. Disposiciones varias

8.1 Legislación aplicable

El presente Acuerdo se regirá e interpretará de conformidad con las leyes del estado en el que se encuentre la Entidad Cubierta, sin tener en cuenta sus disposiciones sobre conflicto de leyes, salvo en la medida en que la ley federal prevalezca sobre la ley estatal.

8.2 Jurisdicción y competencia

Cualquier acción legal que surja de o esté relacionada con este Acuerdo se presentará exclusivamente ante los tribunales estatales o federales ubicados en la jurisdicción donde la Entidad Cubierta mantiene su sede principal.

8.3 Interpretación

Cualquier ambigüedad en este Acuerdo se resolverá a favor de un significado que permita a la Entidad Cubierta cumplir con las Normas HIPAA. En caso de conflicto entre las disposiciones de este Acuerdo y las Normas HIPAA, prevalecerán las Normas HIPAA.

8.4 Ausencia de terceros beneficiarios

Ninguna disposición del presente Acuerdo conferirá a ninguna persona ajena a las partes y a sus respectivos sucesores o cesionarios ningún derecho, recurso, obligación o responsabilidad de ningún tipo.

8.5 Renuncia

El incumplimiento por cualquiera de las partes de cualquier disposición del presente Acuerdo no constituirá una renuncia a dicha disposición ni a ninguna otra, ni impedirá que dicha parte haga cumplir dicha disposición en un momento posterior.

8.6 Divisibilidad

Si alguna disposición del presente Acuerdo se considerara inválida o inaplicable, las demás disposiciones seguirán siendo plenamente vigentes y efectivas, y la disposición inválida o inaplicable se modificará en la medida mínima necesaria para que sea válida y aplicable.

8.7 Cesión

Ninguna de las partes podrá ceder el presente Acuerdo sin el consentimiento previo por escrito de la otra parte, salvo que el Socio Comercial pueda ceder el presente Acuerdo a una entidad sucesora en relación con una fusión, adquisición o venta de la totalidad o la mayor parte de sus activos, siempre que el cesionario acepte asumir todas las obligaciones derivadas del presente Acuerdo.

8.8 Acuerdo completo

El presente Acuerdo, junto con cualquier Acuerdo de servicio entre las partes, constituye el acuerdo completo entre las partes con respecto al objeto del mismo y sustituye a todos los acuerdos anteriores o contemporáneos, verbales o escritos, relativos a dicho objeto.

8.9 Avisos

Todas las notificaciones requeridas o permitidas en virtud del presente Acuerdo se realizarán por escrito y se considerarán entregadas cuando:

  • Entregado personalmente
  • Enviado por transmisión de correo electrónico confirmada.
  • Enviado por correo certificado o registrado, con acuse de recibo.
  • Entregado por un servicio de mensajería urgente reconocido a nivel nacional.

Las notificaciones al socio comercial se enviarán a: Dental Education, Inc. d/b/a Intake.Dental 1041 N. Dupont Hwy Dover, DE 19901 Correo electrónico: support@intake.dental

Las notificaciones a la entidad cubierta se enviarán a la dirección de correo electrónico y a la dirección física proporcionadas durante el registro.

8.10 Fuerza mayor

Ninguna de las partes será responsable de cualquier retraso o incumplimiento en el cumplimiento debido a causas ajenas a su control razonable, incluyendo, entre otras, casos de fuerza mayor, desastres naturales, guerras, terrorismo, disturbios, conflictos laborales o acciones gubernamentales, siempre que la parte afectada lo notifique sin demora a la otra parte y haga todo lo posible por reanudar el cumplimiento.

8.11 Contrapartes y firmas electrónicas

El presente Acuerdo podrá formalizarse en varios ejemplares, cada uno de los cuales se considerará un original y todos ellos juntos constituirán un único y mismo instrumento. Las firmas electrónicas y las firmas entregadas por vía electrónica tendrán la misma validez y efecto que las firmas originales.

9. Aceptación y ejecución

9.1 Métodos de aceptación

El presente Acuerdo de socio comercial se considerará plenamente ejecutado y vinculante cuando:

  • Aceptación electrónica: Aceptada digitalmente mediante firma electrónica durante el registro de la cuenta en línea o el proceso de pago; O
  • Firma escrita: Firmado por representantes autorizados de ambas partes mediante firma electrónica o física.

9.2 Autoridad para firmar

Al firmar este Acuerdo, la persona declara y garantiza que tiene plena autoridad para vincular a la Entidad Cubierta a los términos y condiciones de este Acuerdo.

9.3 Conservación de registros

Ambas partes conservarán una copia del presente Acuerdo firmado durante un mínimo de seis (6) años a partir de la fecha de su rescisión o vencimiento, o durante el plazo más largo que exija la ley.

10. Definiciones de términos clave del servicio

A los efectos del presente Acuerdo, se aplicarán los siguientes términos específicos del servicio:

10.1 Plataforma Dental Forms Pro: La plataforma de software como servicio basada en la nube proporcionada por el socio comercial para crear, recopilar, almacenar y entregar formularios de admisión de pacientes, historiales médicos y documentación relacionada.

10.2 Enlaces caducados: URL seguras y con límite de tiempo generadas por la plataforma que permiten a la entidad cubierta acceder a la PHI durante un período específico (normalmente entre 48 y 72 horas), tras el cual los enlaces caducan automáticamente y dejan de ser accesibles.

10.3 Almacenamiento en la nube: servicios de almacenamiento cifrado proporcionados a través de AWS S3 y la infraestructura de Supabase, utilizados para almacenar de forma segura la PHI en nombre de la entidad cubierta.

10.4 Presentación de datos de pacientes: Formularios electrónicos completados por los pacientes que contienen información médica protegida (PHI), incluyendo, entre otros, historial médico, medicamentos actuales, alergias, información sobre seguros y formularios de consentimiento.

Información de contacto

Para preguntas sobre este Acuerdo de socio comercial o asuntos relacionados con el cumplimiento de la HIPAA:

Dental Education, Inc. d/b/a Intake.Dental
Correo electrónico: support@intake.dental
Sitio web: https://intake.dental
Responsable de cumplimiento: Jordan Thomas
Teléfono: (916) 752-2280

Información del documento

Versión del acuerdo: baa_v2025-10-17
Última actualización: 17 de octubre de 2025
Próxima fecha de revisión: 17 de octubre de 2026

Este Acuerdo de socio comercial cumple con:

  • Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) de 1996
  • Ley de Tecnología de la Información Sanitaria para la Salud Económica y Clínica (HITECH) de 2009
  • 45 CFR Partes 160 y 164 (Normas de privacidad, seguridad y notificación de infracciones de la HIPAA)
  • Ley ESIGN (Ley de Firmas Electrónicas en el Comercio Global y Nacional)

AVISO IMPORTANTE PARA LAS ENTIDADES CUBIERTAS:

Al continuar con el proceso de pago o hacer clic en «Acepto», usted reconoce que:

  1. Ha leído y comprendido la totalidad del Acuerdo de socio comercial.
  2. Usted es un representante autorizado de su consultorio/entidad con autoridad para celebrar este Acuerdo.
  3. Usted acepta cumplir con todos los términos y condiciones aquí establecidos.
  4. Su firma electrónica será legalmente vinculante y equivalente a una firma manuscrita.
  5. El presente Acuerdo permanecerá en vigor durante toda la duración de nuestra relación de servicio y más allá, tal y como se especifica en las disposiciones de rescisión.

Este es un contrato legalmente vinculante. Guarde una copia para sus registros.

Para asistencia técnica o preguntas: support@intake.dental
Para preguntas sobre el cumplimiento de la HIPAA: support@intake.dental

Document ID: BAA-{Generated upon acceptance}
Generated: {Date of acceptance}