Skip to main content
Este artículo solo proporciona orientación general y no constituye asesoría jurídica. Para obtener todos los detalles sobre derechos y responsabilidades, consulta tu Business Associate Agreement (BAA) con Quo y habla con tu equipo de cumplimiento o jurídico.
Los proveedores de atención médica y las entidades que gestionan comunicaciones con pacientes ahora pueden usar Quo para comunicarse con pacientes de una forma que cumpla con la HIPAA. Quo proporciona las salvaguardas requeridas según la Regla de Seguridad de la HIPAA, pero lo más importante es que el cumplimiento de la HIPAA es una responsabilidad compartida entre tu organización y Quo. Para usar Quo de forma compatible con la HIPAA, tu organización debe firmar un Business Associate Agreement (BAA), el cual está disponible para los planes Business y Scale.

Cómo obtener un BAA con Quo

Uso de Quo de manera compatible con HIPAA

Una vez que se haya firmado tu BAA, puedes usar Quo de una manera que cumpla con las Reglas de Privacidad y Seguridad de HIPAA, siempre que tus políticas internas y salvaguardas se alineen con estos requisitos. Las siguientes secciones explican cómo Quo gestiona la comunicación segura y la estándar, qué información se considera PHI y las consideraciones de HIPAA para SMS, grabaciones de llamadas, funciones de IA e integraciones.

¿Qué se considera PHI?

Entender qué califica como Información de Salud Protegida (PHI, por sus siglas en inglés) te ayuda a determinar qué canales y funciones son adecuados para tus comunicaciones específicas con pacientes.
Siempre PHIA veces PHINunca PHI
Nombre del paciente, número de teléfono, fecha de nacimientoRecordatorios de citas (si están vinculados a un paciente específico)Horario de la clínica
Diagnóstico, síntomas, afeccionesRecordatorios de reposición de medicamentosCierres de la clínica o avisos por días festivos
Planes de tratamiento, historiales médicosMensajes de coordinación de la atención sin detalles clínicosContenido educativo general
Resultados de pruebas, imágenes, información de laboratorioMensajes que implican una relación paciente–proveedor de atención médicaEnlaces al sitio web o información de contacto
Medicamentos o recetasSolicitudes del proveedor para dar seguimientoMarketing no vinculado a un paciente individual
Información de seguroCualquier información que se vuelva identificable en contextoAvisos generales
En caso de duda, trata la información como Información de Salud Protegida (PHI).

Cumplimiento de mensajería: normas HIPAA y de operadores

Para usar SMS con pacientes, estos deben otorgar consentimiento para recibir mensajes no seguros y pueden retirar ese consentimiento en cualquier momento. Recomendamos consultar al equipo de cumplimiento normativo de tu organización o a tu asesor legal para determinar cómo obtener y documentar el consentimiento del paciente de acuerdo con las directrices de HIPAA. Incluso con un BAA firmado, los mensajes SMS deben cumplir con las regulaciones A2P 10DLC de los operadores en Estados Unidos y Canadá. Estas normas están diseñadas para prevenir el spam y proteger a los pacientes.

Ten en cuenta que las regulaciones A2P de los operadores prohíben los mensajes relacionados con medicamentos recetados u ofertas de medicamentos que no se puedan vender sin receta en Estados Unidos o Canadá, incluso si los envían profesionales con licencia.
  • Evita contenido promocional o relacionado con medicamentos recetados. Los operadores bloquean mensajes que publicitan o mencionan sustancias controladas.
  • Las alertas de reposición de recetas están permitidas para pacientes actuales que hayan aceptado recibir comunicaciones por SMS. Mantén los mensajes generales y evita mencionar detalles sensibles.
  • Mantén los mensajes centrados en la coordinación y la atención. No uses SMS para publicidad o solicitudes comerciales.
Esto te ayuda a mantener el cumplimiento tanto con HIPAA como con los requisitos A2P de los operadores. Importante: Los mensajes de texto (SMS/MMS) no son un servicio cubierto bajo el BAA de Quo debido a limitaciones técnicas que impiden un cumplimiento total con HIPAA. Tu organización aún puede usar SMS/MMS de una forma compatible con HIPAA si:
  • Obtiene la autorización adecuada del paciente para la comunicación mediante SMS/MMS
  • Limita la PHI transmitida por SMS/MMS al mínimo necesario
  • Documenta la decisión de usar SMS/MMS y los riesgos asociados en sus políticas de cumplimiento de HIPAA
  • Implementa las salvaguardas adecuadas
Tu organización asume plena responsabilidad y responsabilidad legal por cualquier PHI transmitida por SMS/MMS.

Funciones con tecnología de IA y grabación de llamadas

Tu organización puede optar por usar funciones con tecnología de IA de una forma conforme a la HIPAA si se cumplen todas las siguientes condiciones:
  1. Aviso al paciente:
    • Se informa a los pacientes cuando se utilizan herramientas de IA durante una llamada o interacción.
    • Los pacientes reciben una notificación cuando se graba una llamada, según lo exijan las disposiciones estatales, federales y de la Regla de Privacidad de HIPAA aplicables.
  2. Autorización del paciente: Tu organización obtiene la autorización del paciente antes de comunicarse mediante una sesión de voz o mensajería asistida por IA.
  3. Uso mínimo necesario: Tu organización limita cualquier PHI compartida o procesada por funciones de IA a lo que sea necesario para la coordinación o la atención.
  4. Documentación: Tu organización documenta la decisión de usar funciones de IA y cualquier riesgo asociado en sus políticas internas de HIPAA.
  5. Medidas de seguridad: Tu organización implementa medidas de seguridad (incluidos controles de acceso, bloqueo de pantalla, capacitación de empleados, etc.).
Consulta siempre con tu equipo de cumplimiento normativo o legal para confirmar cómo debe tu organización gestionar grabaciones, transcripciones y funciones con tecnología de IA a fin de cumplir con la HIPAA y los requisitos de aviso.
Tu organización asume plena responsabilidad por cualquier PHI procesada a través de funciones con tecnología de IA. Revisa tus políticas internas de HIPAA y consulta con tu equipo de cumplimiento normativo o legal antes de habilitar herramientas de IA para la comunicación con pacientes.

Integraciones de terceros y analíticas

Cualquier integración de terceros o servicio conectado (incluidos sistemas CRM, servicios de envío de correo electrónico, plataformas de mensajería, herramientas de analítica o integraciones similares) no es un Servicio Cubierto bajo el BAA de Quo. El uso de estos servicios implica la transmisión de datos de usuario fuera del control de OpenPhone Technologies, y cualquier uso de dichas integraciones es la responsabilidad exclusiva de tu organización. Además, cualquier función de analítica o generación de informes que transmita datos a plataformas de analítica de terceros no cubiertas por el BAA de Quo también queda excluida.

Tiempos de espera de sesión y cierres de sesión automáticos

Para ayudar a cumplir con los requisitos de la Regla de Seguridad de HIPAA sobre la gestión de sesiones, Quo cierra automáticamente la sesión de los usuarios después de 15 días de inactividad. Si tu organización requiere tiempos de espera más cortos, utiliza la configuración de seguridad a nivel de dispositivo (por ejemplo, el bloqueo automático o los controles de tiempo de espera de pantalla en tu computadora o sistema operativo móvil) para aplicar límites de inactividad que estén alineados con tus políticas internas de seguridad.