Aviso sobre el idioma oficial
Este documento se proporciona en inglés como la única versión oficial y legalmente vinculante. Cualquier versión traducida se ofrece únicamente con fines informativos y no tiene efecto legal. En caso de conflicto entre una traducción y la versión en inglés, prevalecerá la versión en inglés.
Ver la versión oficial en inglésMarch 20, 2026
Este Acuerdo de Asociado Comercial ("BAA") se celebra entre Vilulia LLC ("Asociado Comercial") y la entidad o persona que ejecuta este BAA a través del proceso de configuración de cuenta de Vilulia ("Entidad Cubierta"). Este BAA tiene como objetivo cumplir con los requisitos de la Ley de Portabilidad y Responsabilidad del Seguro de Salud de 1996 y sus regulaciones de implementación, según enmendada ("HIPAA"), incluyendo la Ley HITECH.
Los términos en mayúscula no definidos de otra manera en este BAA tienen los significados establecidos en HIPAA, incluyendo 45 C.F.R. Parts 160 y 164. "Información de Salud Protegida" o "PHI" tiene el significado establecido en 45 C.F.R. § 160.103. "Violación" tiene el significado establecido en 45 C.F.R. § 164.402.
Este BAA se aplica a la PHI que el Asociado Comercial crea, recibe, mantiene o transmite en nombre de la Entidad Cubierta en relación con los Servicios. En caso de conflicto entre este BAA y cualquier otro acuerdo entre las partes con respecto al manejo de PHI, este BAA prevalece para la PHI.
El Asociado Comercial puede usar y divulgar PHI solo de la siguiente manera:
El Asociado Comercial no usará ni divulgará PHI de otra manera que no sea la permitida por este BAA o la requerida por la ley. El Asociado Comercial no usará ni divulgará PHI de una manera que violaría HIPAA si fuera realizada por la Entidad Cubierta. El Asociado Comercial no usará PHI para entrenar modelos de IA ni para ningún propósito que no sea proporcionar los Servicios a la Entidad Cubierta.
El Asociado Comercial implementará y mantendrá salvaguardas administrativas, físicas y técnicas apropiadas diseñadas para proteger la confidencialidad, integridad y disponibilidad de la PHI electrónica, de conformidad con 45 C.F.R. Part 164, Subpart C (la Regla de Seguridad), incluyendo controles de acceso, controles de auditoría y seguridad de la fuerza laboral. El Asociado Comercial revisará y actualizará las salvaguardas según sea razonablemente necesario a la luz de amenazas o vulnerabilidades conocidas.
El Asociado Comercial notificará a la Entidad Cubierta cualquier Violación de PHI No Asegurada sin demora injustificada y en ningún caso más de 72 horas después del descubrimiento, a menos que el Formulario de Pedido de las partes requiera un período más corto. Dicha notificación incluirá, en la medida en que se conozca, la información requerida para que la Entidad Cubierta cumpla con 45 C.F.R. § 164.404, incluyendo la naturaleza de la violación, la PHI involucrada, la causa probable y los pasos que el Asociado Comercial está tomando para mitigar el daño.
"Incidente de Seguridad" como se usa en HIPAA puede incluir intentos fallidos; el Asociado Comercial puede proporcionar resúmenes periódicos de eventos de seguridad rutinarios y fallidos según corresponda.
El Asociado Comercial se asegurará de que cualquier subcontratista que cree, reciba, mantenga o transmita PHI en nombre del Asociado Comercial acepte por escrito restricciones y condiciones que sean al menos tan estrictas como las de este BAA, incluyendo salvaguardas apropiadas.
En la medida en que el Asociado Comercial mantenga PHI en un Conjunto de Registros Designado, el Asociado Comercial asistirá a la Entidad Cubierta, según corresponda, para: (a) proporcionar a las personas acceso a la PHI de conformidad con 45 C.F.R. § 164.524; (b) enmendar la PHI de conformidad con 45 C.F.R. § 164.526; y (c) proporcionar una contabilidad de divulgaciones de conformidad con 45 C.F.R. § 164.528. La Entidad Cubierta es responsable de determinar si las solicitudes aplican y de comunicar las instrucciones necesarias. El Asociado Comercial responderá a las solicitudes razonables de acceso y enmienda dentro de los treinta (30) días posteriores a su recepción.
El Asociado Comercial solicitará, usará y divulgará solo la PHI mínima necesaria para lograr el propósito previsto, de conformidad con los requisitos de HIPAA, excepto según lo permita la ley.
Este BAA entra en vigor a partir de la fecha en que la Entidad Cubierta complete la aceptación de configuración de cuenta y permanece vigente hasta su terminación. La Entidad Cubierta puede terminar este BAA por incumplimiento material del Asociado Comercial si el Asociado Comercial no subsana el incumplimiento dentro de los treinta (30) días posteriores a la notificación por escrito. El Asociado Comercial puede terminar este BAA si la Entidad Cubierta incumple materialmente sus obligaciones relacionadas con los Servicios y no subsana después de la notificación.
Si la terminación no es factible y el Asociado Comercial determina que la subsanación no es posible, el Asociado Comercial informará el problema al Departamento de Salud y Servicios Humanos de EE. UU. según lo exija HIPAA.
Tras la terminación de este BAA, el Asociado Comercial, a solicitud escrita de la Entidad Cubierta, devolverá o destruirá la PHI que el Asociado Comercial aún mantenga en cualquier forma, excepto en la medida en que la devolución o destrucción sea inviable. Si es inviable, el Asociado Comercial extenderá las protecciones de este BAA a dicha PHI y limitará usos y divulgaciones adicionales. El Asociado Comercial confirmará la finalización de la devolución o destrucción por escrito dentro de un plazo razonable posterior a la solicitud.
El Asociado Comercial pondrá a disposición sus prácticas internas, libros y registros relacionados con el uso y divulgación de PHI al Secretario de HHS según lo exija HIPAA.
Nada en este BAA crea derechos para terceros, incluidas personas, distintos de las partes de este BAA.
Este BAA se rige por las leyes del Estado Libre Asociado de Virginia, en la medida en que no sean invalidadas por HIPAA.
Las partes pretenden que este BAA cumpla con HIPAA. Cualquier ambigüedad se resolverá para permitir que la Entidad Cubierta y el Asociado Comercial cumplan con HIPAA. Si alguna disposición de este BAA entra en conflicto con HIPAA según enmendada, HIPAA prevalece.
Este BAA se ejecuta electrónicamente como parte del proceso de configuración de cuenta de Vilulia. Al completar la configuración del plan HIPAA e indicar la aceptación, la Entidad Cubierta acepta quedar vinculada por los términos de este BAA. La aceptación electrónica tiene la misma fuerza legal que una firma manuscrita. La marca de tiempo de aceptación y el identificador de cuenta se registran y constituyen el acuerdo vinculante de la Entidad Cubierta con estos términos. Una copia de este BAA, junto con el registro de aceptación, es accesible en todo momento desde la configuración de su cuenta en Legal y Cumplimiento.
Nuestro equipo legal está disponible para responder cualquier consulta.