Skip to content

Business associate agreement: guía HIPAA

Image of Lou Van Reemst
Lou Van Reemst 27 jun 2026

Las organizaciones que manejan información sanitaria protegida (PHI) suelen necesitar un business associate agreement, a veces varios. El BAA es el contrato que hace lícita una relación de datos sanitarios bajo HIPAA, y su ausencia es una de las brechas de cumplimiento más habituales y más caras que detectan los reguladores.

Esta guía explica en lenguaje claro qué es un BAA, quién lo necesita, qué exige HIPAA dentro del documento, las cláusulas por las que merece la pena negociar y una checklist para revisar antes de firmar.

Este artículo es información general, no asesoramiento jurídico. Consulte a un profesional cualificado sobre su situación concreta.

¿Qué es un business associate agreement?

Un business associate agreement (BAA), también llamado business associate contract, es un contrato escrito entre una covered entity de HIPAA (o un business associate) y un proveedor que va a crear, recibir, mantener o transmitir información sanitaria protegida por cuenta de aquella.

Funciona como el puente jurídico entre dos partes:

  • La covered entity es el proveedor sanitario, el plan de salud o la cámara de compensación sanitaria (clearinghouse) que mantiene la relación de fondo con los pacientes y sus datos.
  • El business associate es el proveedor externo que realiza un trabajo que implica PHI: alojarla, procesarla, analizarla, facturar a partir de ella o tratarla de cualquier otro modo.

HIPAA solo permite que una covered entity comparta PHI con un proveedor si este se compromete por contrato a proteger los datos y a usarlos únicamente para fines permitidos. El BAA es donde se recogen esas promesas. Traslada un conjunto definido de obligaciones de HIPAA al proveedor y otorga a la covered entity una vía de reclamación contractual si el proveedor gestiona mal los datos.

Sin un BAA, no existe forma lícita de compartir PHI con ese proveedor. Este contrato convive con el resto de la documentación de un equipo sanitario, por lo que muchos equipos lo centralizan dentro de un software de gestión de contratos sanitarios en lugar de seguirlo en hojas de cálculo.

¿Quién necesita un BAA?

La forma más sencilla de responder es identificar qué papel desempeña cada parte.

Covered entities

Bajo HIPAA, una covered entity es una de estas tres figuras:

  • Un proveedor sanitario que transmite información de salud por medios electrónicos en relación con transacciones cubiertas (la mayoría de clínicas, hospitales, dentistas, terapeutas y laboratorios).
  • Un plan de salud (aseguradoras, HMO, planes de salud de grupos de empleadores, programas públicos).
  • Una cámara de compensación sanitaria (entidades que procesan datos de salud entre distintos formatos).

Las covered entities deben formalizar un BAA con cada business associate antes de que se transfiera cualquier PHI.

Business associates

Un business associate es cualquier persona u organización, distinta de un miembro de la plantilla de la covered entity, que realiza funciones o servicios que implican PHI por cuenta de la covered entity. Ejemplos habituales:

  • Proveedores de alojamiento y almacenamiento en la nube que guardan PHI (por ejemplo, una plataforma cloud apta para HIPAA).
  • Empresas de facturación y codificación médica y proveedores de ciclo de ingresos.
  • Servicios de transcripción médica.
  • Proveedores de analítica e informes que procesan PHI para generar conclusiones.
  • Plataformas de firma electrónica usadas para firmar documentos con PHI.
  • Software de gestión y revisión de contratos que incorpora acuerdos o registros con PHI.
  • Soporte informático, proveedores de historia clínica electrónica (EHR), software de gestión de consultas, empresas de destrucción de documentos, y asesores o abogados que manejan PHI.

Las consultas médicas y los grupos de empleadores afrontan la misma obligación con sus propios proveedores, algo que tratamos con más detalle en nuestra guía sobre software de gestión de contratos para médicos.

Subcontratistas

Un business associate que entrega PHI a su propio proveedor posterior debe firmar un BAA con ese subcontratista. El subcontratista es, a su vez, un business associate bajo HIPAA, y la cadena de obligaciones debe fluir hasta el final. Por ejemplo, un proveedor de analítica en la nube que utiliza un servicio independiente de almacén de datos necesita un BAA con ese proveedor de almacén. Esta transmisión en cadena refleja cómo el RGPD trata a los encargados del tratamiento, algo que abordamos en gestión de subencargados bajo el RGPD.

La excepción del mero conducto

No todos los proveedores que se acercan a la PHI necesitan un BAA. La excepción del mero conducto (conduit exception) ampara a las organizaciones que se limitan a transportar datos sin acceder a ellos de forma habitual, como el servicio postal, los mensajeros o un proveedor de acceso a internet que actúa únicamente como canal de transmisión. El criterio es transmisión transitoria frente a acceso o almacenamiento persistente. Un mensajero que entrega registros sellados es un conducto. Un proveedor cloud que almacena esos registros es un business associate, aunque nunca los lea, porque mantiene los datos.

En caso de duda, asuma que necesita un BAA. La excepción es estrecha.

Qué exige HIPAA en un BAA

La Privacy Rule de HIPAA, en el 45 CFR §164.504(e), establece las disposiciones que debe contener un BAA conforme. La Security Rule y la ley HITECH añaden obligaciones para la PHI electrónica (ePHI) y para la notificación de brechas. Esto es lo que significa cada elemento obligatorio en la práctica.

Disposición obligatoriaQué significa en realidad
Usos y divulgaciones permitidos y exigidosEl contrato debe definir con exactitud cómo puede el business associate usar o divulgar PHI, y limitarlo a lo que permiten el acuerdo y la ley.
Sin uso ni divulgación adicionalesEl business associate no puede usar PHI más allá de los términos del contrato ni de ningún modo que infringiría la Privacy Rule si lo hiciera la covered entity.
Salvaguardas adecuadasEl business associate debe implementar salvaguardas para evitar el uso o la divulgación no autorizados, incluidas las salvaguardas administrativas, físicas y técnicas de la Security Rule para la ePHI.
Notificación de brechas e incidentesEl business associate debe notificar incidentes de seguridad, brechas de PHI no protegida y cualquier uso o divulgación no autorizados a la covered entity, dentro de plazos definidos.
Transmisión en cadena a subcontratistasEl business associate debe asegurarse de que cualquier subcontratista que maneje PHI acepte las mismas restricciones y condiciones, a través de su propio BAA.
Derechos de los interesadosEl business associate debe apoyar las obligaciones de la covered entity de dar a los interesados acceso a su PHI, realizar rectificaciones y facilitar un registro de las divulgaciones.
Devolución o destrucción a la terminaciónAl terminar el contrato, el business associate debe devolver o destruir toda la PHI cuando sea factible, y extender las protecciones a cualquier PHI que no pueda devolver ni destruir.
Disponibilidad de registros para el HHSEl business associate debe poner sus prácticas internas, libros y registros a disposición del Department of Health and Human Services para la revisión de cumplimiento.
Resolución por incumplimientoLa covered entity debe poder resolver el contrato si el business associate lo incumple de forma sustancial.

Algunos de estos puntos merecen atención adicional.

Salvaguardas y la Security Rule. Para la ePHI, "salvaguardas adecuadas" no es algo vago. El business associate está obligado directamente a cumplir los requisitos de salvaguardas administrativas, físicas y técnicas de la Security Rule. El BAA debería remitir a esto en lugar de dejarlo implícito.

Notificación de brechas. Bajo HITECH, las brechas de PHI no protegida activan deberes de notificación. El business associate debe avisar a la covered entity para que esta pueda cumplir sus propios plazos (notificar a las personas afectadas sin demora indebida y, a más tardar, 60 días desde el descubrimiento). El BAA debería fijar con qué rapidez tiene que avisar el business associate a la covered entity, porque ese reloj pone en marcha el reloj de la covered entity.

Devolución o destrucción. Esta cláusula falta o se diluye con frecuencia. El contrato debería ser explícito sobre qué ocurre con la PHI cuando termina la relación, incluidas las copias de seguridad y los archivos.

Una responsable de cumplimiento en el mostrador de recepción de una clínica revisando con un colega un business associate agreement firmado

Cláusulas clave a revisar antes de firmar

Los requisitos del §164.504(e) son el mínimo. Las condiciones comerciales que los rodean determinan cuánto riesgo asume usted realmente. Lea estas con detenimiento.

  • El reloj de notificación de brechas. Un BAA conforme debe exigir la notificación, pero "sin demora indebida" no es un plazo. Insista en una cifra concreta. Muchos BAA bien redactados exigen avisar en un plazo de 24 a 72 horas desde el descubrimiento para brechas confirmadas. Cuanto más amplia sea la ventana, menos tiempo queda para cumplir la obligación de los 60 días.
  • Indemnización. ¿El proveedor le indemniza por las pérdidas causadas por su incumplimiento, incluidas sanciones regulatorias, costes de notificación y servicios de vigilancia crediticia? Una indemnización unilateral o ausente traslada las consecuencias económicas a la covered entity.
  • Límites de responsabilidad frente al riesgo HIPAA. Cuidado con un límite de responsabilidad fijado, por ejemplo, en las tarifas de los últimos 12 meses. Una sola brecha que afecte a muchos registros puede costar mucho más que eso en multas, notificación y subsanación. El límite debería dimensionarse según el riesgo de los datos, no solo según el valor del contrato, y la responsabilidad ligada a brechas suele excluirse por completo del límite.
  • Derechos de auditoría y evaluación. ¿Puede solicitar el informe SOC 2 del proveedor, sus respuestas a cuestionarios de seguridad o pruebas de sus salvaguardas? Los BAA sólidos otorgan derechos de auditoría o evaluación, de modo que la confianza sea verificable y no se dé por supuesta.
  • Ubicación de los datos y subencargados. ¿Dónde se almacena y procesa la PHI, y qué subencargados posteriores la tocan? El almacenamiento transfronterizo y una lista de subencargados no divulgada son riesgos reales. Exija derechos de notificación y de aprobación para los nuevos subencargados.
  • Seguro. ¿El proveedor cuenta con un seguro de responsabilidad cibernética con límites adecuados? Una buena indemnización solo vale lo que el proveedor sea capaz de pagar.

Estas cláusulas se solapan con las condiciones de tratamiento de datos que muchos proveedores ya mantienen. Nuestra biblioteca de cláusulas de tratamiento de datos muestra cómo se redactan las mismas protecciones en el lado del RGPD.

Errores habituales y señales de alarma en los BAA

  • No firmar un BAA con los subcontratistas. Un business associate que comparte PHI con proveedores posteriores sin un BAA rompe la cadena y queda expuesto directamente.
  • Plazos de notificación vagos o ausentes. "Con prontitud" o "tan pronto como sea posible" sin una cifra deja a ambas partes sin poder planificar en torno a sus propios plazos.
  • Sin cláusula de devolución o destrucción. Que la PHI permanezca indefinidamente en los sistemas de un antiguo proveedor es una responsabilidad latente.
  • Tratar un conducto como business associate, o al revés. Imponer un BAA a un mero conducto es esfuerzo perdido. El error más peligroso es el inverso: dar por hecho que un proveedor de almacenamiento cloud o de software es un conducto cuando en realidad mantiene PHI y necesita un BAA.
  • Confiar en una aceptación con un clic sin un BAA firmado. Algunos proveedores procesan PHI bajo condiciones estándar sin ningún BAA formalizado. Si manejan PHI, eso es una brecha.
  • BAA caducados. Acuerdos firmados hace años pueden ser anteriores a HITECH y a la Omnibus Rule. Las plantillas antiguas pueden carecer de disposiciones obligatorias. Un recordatorio de contratos sanitarios en la fecha de revisión de cada BAA evita que esto pase desapercibido.
  • Suponer que el BAA es suficiente. Un BAA firmado es necesario, pero por sí solo no hace que ninguna de las partes cumpla HIPAA. Las salvaguardas tienen que ser reales.

Checklist de revisión del BAA

Antes de firmar, confirme que el acuerdo cubre cada uno de estos puntos. También puede pasar su BAA por nuestra herramienta gratuita de revisión de BAA con IA para detectar automáticamente disposiciones ausentes y cláusulas débiles.

  • Las partes y sus papeles están identificados correctamente (covered entity, business associate, subcontratista).
  • Los usos y divulgaciones permitidos y exigidos de PHI están claramente definidos y limitados.
  • Existe una restricción de "sin uso ni divulgación adicionales".
  • Se exigen salvaguardas adecuadas, con una referencia explícita al cumplimiento de la Security Rule para la ePHI.
  • Se exige la notificación de brechas e incidentes de seguridad, con un plazo concreto (idealmente de 24 a 72 horas).
  • Las obligaciones de transmisión en cadena exigen BAA con los subcontratistas posteriores.
  • Se contempla el apoyo a los derechos de los interesados de acceso, rectificación y registro de divulgaciones.
  • Se especifica la devolución o destrucción de PHI a la terminación, incluidas las copias de seguridad.
  • Los registros se ponen a disposición del HHS para la revisión de cumplimiento.
  • La covered entity dispone de la resolución por incumplimiento sustancial.
  • La indemnización cubre los incumplimientos del proveedor, incluidas sanciones y costes de notificación.
  • Los límites de responsabilidad se dimensionan según el riesgo de los datos, excluyendo la responsabilidad por brechas cuando proceda.
  • Se otorgan derechos de auditoría o evaluación (SOC 2, pruebas de seguridad).
  • Se divulga la ubicación de los datos y los subencargados, con derechos de aprobación para los nuevos subencargados.
  • Se establecen requisitos de seguro de responsabilidad cibernética.
  • Se fija un recordatorio de renovación o revisión para que el BAA no quede obsoleto.

Preguntas frecuentes

¿Es obligatorio un BAA por ley?

Sí. Si una covered entity comparte PHI con un proveedor que reúne la condición de business associate, HIPAA exige un BAA escrito antes de divulgar cualquier PHI. Lo mismo aplica entre un business associate y sus subcontratistas.

¿Qué pasa si no hay BAA?

Compartir PHI sin el BAA exigido es en sí mismo una infracción de HIPAA, al margen de cualquier brecha. La Office for Civil Rights ha cerrado acuerdos por cientos de miles o millones de dólares en casos cuyo fallo central era un BAA ausente o insuficiente. Ambas partes pueden enfrentarse a sanciones.

¿Un BAA nos hace cumplir HIPAA?

No. Un BAA firmado es una pieza obligatoria del cumplimiento, pero es un contrato, no un control. Aun así hay que implementar las salvaguardas, formar a la plantilla, realizar un análisis de riesgos y cumplir de verdad las promesas del acuerdo. El BAA es el compromiso; el programa de seguridad es lo que lo sostiene.

BAA frente a DPA: ¿cuál es la diferencia?

Un BAA es específico de HIPAA y de la PHI en Estados Unidos. Un contrato de encargado de tratamiento (DPA) es el instrumento equivalente bajo el RGPD de la UE y el Reino Unido (en España, junto con la LOPDGDD), y regula cómo trata un encargado los datos personales por cuenta de un responsable. Cumplen una función de puente similar, pero responden a leyes distintas, definen roles distintos (covered entity y business associate frente a responsable y encargado del tratamiento) y conllevan cláusulas obligatorias diferentes. En el sector sanitario, una entidad española se mueve además en el marco de la AEPD y, para los sistemas de información, del Esquema Nacional de Seguridad (ENS). Una organización que opere en ambos regímenes puede necesitar los dos instrumentos. Para el lado del RGPD, consulte qué es un contrato de encargado de tratamiento y configure recordatorios de renovación del DPA para que el acuerdo equivalente tampoco caduque.

¿Necesitamos un BAA con nuestro proveedor cloud o de software?

Si el proveedor crea, recibe, mantiene o transmite PHI por cuenta de usted, sí, aunque nunca llegue a ver los datos. Un proveedor cloud apto para HIPAA, un EHR, un sistema de facturación, una herramienta de firma electrónica o una plataforma de contratos que almacene PHI es un business associate. Un mero conducto de transmisión que nunca almacena los datos de forma persistente puede ampararse en la excepción del conducto, pero trátelo como el caso excepcional.

¿Con qué frecuencia debemos revisar nuestros BAA?

Revise los BAA en cada renovación, siempre que un proveedor cambie de forma sustancial cómo maneja la PHI, y tras cualquier actualización regulatoria. Mantener un inventario actualizado de todos los BAA, con fechas de renovación y recordatorios, es una de las maneras más eficaces de evitar un acuerdo obsoleto o ausente.

Haga revisar sus BAA

Un business associate agreement solo protege si realmente contiene las disposiciones obligatorias y las condiciones comerciales se sostienen. Las cláusulas ausentes, los plazos de notificación vagos y los límites de responsabilidad que ignoran el coste real de una brecha son fáciles de pasar por alto en un ciclo de revisión ajetreado.

Contracko ayuda a los equipos sanitarios a detectar estas brechas. Pase cualquier acuerdo por nuestra herramienta gratuita de revisión de BAA con IA para sacar a la luz disposiciones del §164.504(e) que falten y cláusulas débiles, use la herramienta de revisión de contratos sanitarios más amplia para acuerdos con proveedores y clínicos, y configure recordatorios de renovación y de DPA para que nada caduque sin que lo note. Vea cómo encaja con el resto de su stack en nuestra página del sector sanitario.

Recordatorio: esta guía es información general, no asesoramiento jurídico. Consulte a un profesional cualificado para sus circunstancias concretas.

Las imágenes de este artículo se han generado con ayuda de IA.

Empiece con Contracko

Quítese de encima las complicaciones de la gestión de contratos y suscripciones. Contracko le permite mantenerse organizado, puntual y al mando. Empiece a simplificar hoy mismo.

ennldefresitpt