Cláusula Adicional para Socios Comerciales sobre la HIPAA

Esta Cláusula Adicional sobre la HIPAA es un apéndice de las Condiciones de Servicio de Mailgun (las “Condiciones”). La presente Cláusula Adicional sobre la HIPAA define los derechos y responsabilidades de cada una de las partes con respecto a la Información Sanitaria Protegida (PHI por sus siglas en inglés), tal y como se define en la Ley de portabilidad y responsabilidad de los seguros médicos de 1996 y las normas promulgadas bajo su amparo, incluida la Ley HITECH y la Regla ómnibus, con las modificaciones que en su momento puedan tener (en conjunto, la “HIPAA”). Esta Cláusula Adicional sobre la HIPAA solo será aplicable en el caso y en la medida en que Mailgun cumpla, con respecto al Cliente y al uso de los Servicios de Mailgun por parte del Cliente, la definición de Socio Comercial (Business Associate) establecida en el artículo 160.103 del reglamento 45 del CFR, o en las disposiciones sucesoras aplicables.

Por “Socio Comercial“ se entiende Mailgun Technologies, Inc., una sociedad de Delaware, en su nombre y en nombre de sus empresas asociadas (cualquier entidad que sea propiedad o esté bajo control común con una de sus entidades, incluidas, entre otras, Mailgun Technologies SAS y Mailjet SAS).

Por “CFR” se entiende el Código de Reglamentos Federales de los Estados Unidos de América.

Por “Individuo” se entiende todo “individuo”, tal y como se recoge en el artículo 160.103 del reglamento 45 del CFR, e incluye a una persona que tenga la condición de representante personal, de acuerdo con el artículo 164.502(g) del reglamento 45 del CFR.

Por “Regla de Privacidad” se entiende toda Norma para la Privacidad de la Información Sanitaria Identificable Individualmente, conforme a las secciones 160 y 164, subsecciones A y E del reglamento 45 del CFR.

Por “Información Sanitaria Protegida” o “PHI” se entiende toda “información sanitaria protegida”, tal y como aparece en el artículo 160.103 del reglamento 45 del CFR, limitada a la información recibida por el Socio Comercial, tanto de manos del Cliente como en su nombre.

Por “Obligatorio/a(s) por Ley” se entiende esta expresión tal y como aparece en el artículo 164.103 del reglamento 45 del CFR.

Por “Regla de Seguridad” se entiende toda Norma de Seguridad para la Protección de la Información Sanitaria Protegida Electrónica, tal y como aparece en la sección 160 y las subsecciones A y C de la sección 164 del reglamento 45 del CFR.

Por “Secretario” se entiende el Secretario del Departamento de Salud y Servicios Humanos o aquella persona designada por este (EE. UU.).

(a) El Socio Comercial no utilizará ni revelará la PHI si no es cuando lo permita o lo exija esta Cláusula Adicional sobre la HIPAA o según lo permitido u Obligatorio por Ley.

(b) El Socio Comercial se compromete a proporcionar las medidas de orden físico, técnico y administrativo descritas en las Condiciones y en las demás partes del Acuerdo, incluidas las salvaguardias seleccionadas por el Cliente y descritas en una Orden de Servicio. Si el Socio Comercial acepta como parte de esta Cláusula Adicional sobre la HIPAA llevar a cabo una obligación del Cliente en virtud de la Regla de Privacidad, el Socio Comercial deberá cumplir con los requisitos de la Regla de Privacidad aplicables a dicha obligación.

(c) El Socio Comercial se compromete a mitigar, en la medida en que sea comercialmente razonable y razonablemente factible, cualquier efecto perjudicial que conozca el Socio Comercial de un uso o revelación de PHI por parte del Socio Comercial o de sus agentes o subcontratistas que infrinja los requisitos de esta Cláusula Adicional sobre la HIPAA.

(d) En un plazo de cinco días hábiles posteriores a su conocimiento, el Socio Comercial acepta informar al Cliente sobre (i) Incidentes de Seguridad (tal y como se definen en el artículo 164.304 del reglamento 45 del CFR y como se describe más adelante), (ii) una Infracción de Seguridad de PHI no segura (tal y como se define en el artículo 164.402 del reglamento 45 del CFR) o (iii) un acceso, adquisición, uso o revelación de PHI que infrinja esta Cláusula Adicional sobre la HIPAA.

1. Ambas partes reconocen que es probable que haya una cantidad significativa de intentos irrelevantes o sin éxito de acceder a los Servicios de Mailgun, por lo que el requisito de informar en tiempo real no resulta práctico para ambas partes. Las partes reconocen que la capacidad del Socio Comercial de informar sobre la actividad del sistema, lo cual incluye los Incidentes de Seguridad, está limitada por y a los Servicios que el Cliente ha adquirido (y no se extiende a las redes o sistemas operados por terceros como parte de la conectividad general a internet).

2. El Socio Comercial no asume obligación alguna de informar de los incidentes relacionados con la seguridad de la red que se produzcan en la red gestionada por Mailgun pero que no impliquen directamente los Datos del Cliente. Las partes acuerdan que los siguientes son ejemplos ilustrativos de incidentes de seguridad fallidos que, en caso de no tener como resultado el acceso, uso, revelación, modificación o destrucción no autorizados de PHI, no tienen que ser comunicados por el Socio Comercial: pings contra dispositivos de red, análisis de puertos, intentos de inicio de sesión en un sistema o base de datos con una contraseña o nombre de usuario no válidos o detección de malware.

3. En función del uso que el Cliente haga de los Servicios, estos pueden incluir la transmisión de emails de texto sin formato y sin protección a través de la red pública de internet. El Socio Comercial no tendrá ninguna obligación de supervisar o intentar supervisar el acceso a dichos emails, incluyendo supervisar si puede o no haber almacenamiento de tales datos o acceso a ellos por parte de terceros durante las actividades de transmisión de correo electrónico ordinarias.

(e) El Socio Comercial acepta obtener de todo agente, incluidos los subcontratistas a los que proporcione PHI, garantías razonables de que cumplirá con las mismas restricciones y condiciones que se aplican al Socio Comercial conforme a esta Cláusula Adicional sobre la HIPAA con respecto a dicha información. Esto no se aplica a las vías y proveedores terceros que participan en la transmisión, enrutamiento, almacenamiento o recepción de emails que sean inherentes a la prestación de los Servicios de Mailgun.

(f) Toda la PHI conservada por el Socio Comercial para el Cliente estará disponible para el Cliente en tiempo y forma que le permitan cumplir, razonablemente, los requisitos expuestos en el artículo 164.524 del reglamento 45 del CFR. El Socio Comercial no estará obligado a proporcionar dicha información directamente a ningún Individuo o persona que no sea el Cliente.

(g) Toda la PHI y otra información conservada por el Socio Comercial para el Cliente estará disponible para el Cliente en tiempo y forma que le permitan cumplir, razonablemente, los requisitos expuestos en el artículo 164.526 del reglamento 45 del CFR.

(h) El Socio Comercial acepta poner a disposición del Secretario prácticas, libros y registros internos, en tiempo y forma designados por el Secretario, a los efectos de que el Secretario determine el cumplimiento de la Regla de Privacidad por parte del Cliente; sin embargo, si el tiempo empleado por el Socio Comercial en cumplir con cualquier solicitud en este sentido excede sus parámetros normales de atención al cliente, se le cobrará al Cliente según la tarifa horaria estándar que aplique el Socio Comercial en ese momento a Servicios Suplementarios.

(i) El Cliente reconoce que el Socio Comercial no está obligado por esta Cláusula Adicional sobre la HIPAA a revelar PHI a Individuos o a cualquier otra persona que no sean el Cliente, y que el Socio Comercial no prevé, por lo tanto, mantener documentación de tal revelación, tal y como se describe en el artículo 164.528 del reglamento 45 del CFR. En el caso de que el Socio Comercial sí lleve a cabo una revelación de este tipo, deberá documentarla del modo que se exigiría al Cliente a la hora de responder a un Individuo que solicite un informe de las revelaciones de acuerdo con los artículos 164.504(e)(2)(ii)(G) y 164.528 del reglamento 45 del CFR, y proporcionará dicha documentación al Cliente a la mayor brevedad posible cuando este lo solicite. En el caso de que se solicite un informe de revelaciones directamente al Socio Comercial, este deberá remitir al Cliente dicha solicitud en el plazo de 2 días hábiles.

Salvo en la medida en que se limite en esta Cláusula Adicional sobre la HIPAA u otra parte del Acuerdo, el Socio Comercial puede utilizar o revelar PHI para llevar a cabo funciones, actividades o servicios para el Cliente o en su nombre (como se especifica en el Acuerdo), siempre que dicho uso o revelación no infringiese la Regla de Privacidad si fuese el Cliente quien lo llevase a cabo.

Salvo disposición limitante distinta en esta Cláusula Adicional sobre la HIPAA u otra parte del Acuerdo, el Socio Comercial podrá:

(a) utilizar la PHI para la gestión y administración adecuadas por parte del Socio Comercial o para llevar a cabo sus responsabilidades legales;

(b) revelar la PHI para la gestión y administración adecuadas por parte del Socio Comercial, siempre y cuando las revelaciones sean (i) Obligatorias por Ley, o (ii) el Socio Comercial obtenga garantías razonables por parte de la persona a la que se revele la información de que esta seguirá siendo confidencial y se utilizará o revelará solo según sea Obligatorio por Ley o para el propósito para el que se reveló a esa persona; asimismo, la persona notificará al Socio Comercial cualquier caso de que tenga conocimiento de que se haya infringido la confidencialidad de la información; y

(c) utilizar la PHI para informar de las infracciones de la ley a las autoridades federales y estatales pertinentes, de acuerdo con el artículo 164.502(j)(1) del reglamento 45 del CFR.

5.1 El Cliente deberá notificar al Socio Comercial de:

(a) cualquier limitación en su aviso de prácticas de privacidad, de acuerdo con el artículo 164.520 del reglamento 45 del CFR, en la medida en que dichos cambios puedan afectar al uso o revelación de la PHI por parte del Socio Comercial;

(b) cualquier cambio o revocación del permiso por parte del Individuo para usar o revelar la PHI, en la medida en que dichos cambios puedan afectar al uso o la revelación de la PHI por parte del Socio Comercial; y

(c) cualquier restricción al uso o a la revelación de la PHI que el Cliente haya acordado, con arreglo al artículo 164.522 del reglamento 45 del CFR, en la medida en que tal restricción pueda afectar al uso o revelación de la PHI por parte del Socio Comercial.

5.2 El Cliente acepta que no solicitará al Socio Comercial que use, transmita o revele PHI de ninguna manera que no estuviera permitida por las Reglas de Privacidad o Seguridad si fuese el Cliente quien lo llevase a cabo.

5.3 El Cliente se compromete, como parte de sus obligaciones de seguridad, a implementar y mantener las salvaguardas apropiadas necesarias para cumplir con las Reglas de Seguridad y Privacidad que le sean aplicables al Cliente y a su uso de los Servicios de Mailgun. Esto incluye, a título enunciativo y no limitativo: (i) implementar las salvaguardias razonables requeridas por el artículo 164.530(c) del reglamento 45 del CFR, (ii) limitar razonablemente la cantidad o el tipo de información revelada a través de los Servicios de Mailgun, (iii) permitir a los individuos utilizar métodos electrónicos seguros alternativos para recibir comunicaciones confidenciales del Cliente, (iv) verificar la dirección del destinatario y que esté correctamente introducida en los Servicios de Mailgun antes de utilizar los Servicios de Mailgun para transmitir PHI, (v) incluir una declaración de privacidad que notifique al destinatario la naturaleza insegura del email y que proporcione un contacto al que el destinatario pueda informar de un mensaje dirigido a una dirección equivocada y (vi) cifrar la PHI transmitida a través de los Servicios de Mailgun cuando sea apropiado o lo exija la Regla de Seguridad (por ejemplo mediante el uso de archivos adjuntos cifrados, conjuntos de herramientas PGP o S/MIME).

5.4 El Cliente reconoce y comprende que los Servicios de Mailgun incluyen la transmisión de correo electrónico no cifrado en texto sin formato a través de la red pública de internet y redes abiertas. Los Datos del Cliente que este cargue en los Servicios de Mailgun no son cifrados por el Socio Comercial y se almacenan (y transmiten) de forma similar a como el Cliente los proporciona. El Cliente es responsable de cifrar los datos confidenciales que utilice con relación a los Servicios de Mailgun. Es posible que los emails enviados con los Servicios de Mailgun no sean seguros y puedan ser interceptados por otros usuarios de la red pública de internet y almacenados y revelados por terceros (como el proveedor de servicios de correo electrónico de un destinatario) que no tienen obligaciones para con el Socio Comercial con respecto al tratamiento de dichas comunicaciones. Aunque los Servicios de Mailgun incluyen compatibilidad con TLS, el contenido se transmitirá incluso aunque el destinatario no tenga compatibilidad TLS, lo que provocaría una transmisión sin cifrar. El Cliente confirma que ha dejado claros estos aspectos de los Servicios de Mailgun a sus clientes y usuarios finales según corresponda, y que estos han proporcionado un consentimiento pleno y suficiente para el uso de su PHI de la manera en que el Cliente utilice los Servicios de Mailgun.

(a) La vigencia de esta Cláusula Adicional sobre la HIPAA continuará durante el periodo de uso de los Servicios de Mailgun con arreglo a una Orden de Servicio válida y después de la resolución de dicha Orden de Servicio hasta que toda la PHI sea destruida o devuelta al Cliente o a la persona designada por este.

(b) Si el Socio Comercial incumple sustancialmente los términos de esta Cláusula Adicional sobre la HIPAA, el Cliente podrá resolver los Servicios de Mailgun asociados sin cargo por resolución anticipada ni ninguna otra penalización.

(c) Si el Cliente lo solicita (por cualquier motivo), el Socio Comercial destruirá toda la PHI que esté en posesión del Socio Comercial. Esta disposición se aplicará a la PHI que esté en posesión de subcontratistas o agentes del Socio Comercial de la misma manera que si estuviese en la del propio Socio Comercial. El Socio Comercial no conservará ninguna copia de la PHI. En el caso de que el Socio Comercial determine que destruir la PHI es inviable, el Socio Comercial notificará al Cliente de inmediato las condiciones que hacen que la destrucción sea inviable. El Socio Comercial ampliará las protecciones de este Acuerdo a dicha PHI y limitará los usos y revelaciones de dicha PHI a aquellos fines por los que la destrucción sea inviable, durante todo el tiempo en que el Socio Comercial conserve dicha PHI. Esta sección no requiere que el Socio Comercial separe ninguna PHI de otra información conservada en los servidores del Socio Comercial.

(a) Modificación. Cada una de las partes se compromete a tomar las medidas razonablemente necesarias para hacer las modificaciones que en su momento puedan corresponder en esta Cláusula Adicional sobre la HIPAA, según sea necesario para que el Cliente cumpla con los requisitos de la HIPAA con las modificaciones que en su momento puedan producirse en esta; no obstante, se respetará que si dicha modificación aumentara sustancialmente el coste de la prestación de servicios por parte del Socio Comercial en virtud del Acuerdo, el Socio Comercial tendrá la opción de resolver el Acuerdo con un plazo de aviso previo de treinta (30) días.

(b) Continuidad. Nuestros respectivos derechos y obligaciones en virtud de esta Cláusula Adicional sobre la HIPAA seguirán vigentes después de la resolución del Acuerdo.

(c) Interpretación. Cualquier ambigüedad en esta Cláusula Adicional se resolverá para permitir que el Cliente cumpla la HIPAA y la Regla de Privacidad.

Última revisión el 20/11/2020.