> ## Documentation Index
> Fetch the complete documentation index at: https://support.quo.com/llms.txt
> Use this file to discover all available pages before exploring further.

# Cumplimiento de la HIPAA

> Quo está preparado para el cumplimiento de la HIPAA en los planes Business y Scale

<Warning>
  **Este artículo solo proporciona orientación general y no constituye asesoría jurídica.** Para obtener todos los detalles sobre derechos y responsabilidades, consulta tu Business Associate Agreement (BAA) con Quo y habla con tu equipo de cumplimiento o jurídico.
</Warning>

Los proveedores de atención médica y las entidades que gestionan comunicaciones con pacientes ahora pueden usar Quo para comunicarse con pacientes de una forma que cumpla con la HIPAA. Quo proporciona las salvaguardas requeridas según la [Regla de Seguridad de la HIPAA](https://www.hhs.gov/hipaa/for-professionals/security/index.html), pero lo más importante es que **el cumplimiento de la HIPAA es una responsabilidad compartida** entre tu organización y Quo.

Para usar Quo de forma compatible con la HIPAA, tu organización debe firmar un **Business Associate Agreement (BAA)**, el cual está disponible para los **planes Business y Scale**.

***

<div id="how-to-get-a-baa-with-quo">
  ### Cómo obtener un BAA con Quo
</div>

* Si ya eres **cliente de Quo**, puedes [solicitar un BAA aquí](https://openphone.typeform.com/to/vAX6Mdaz).
* **¿Aún no usas Quo?** [**Ponte en contacto con nuestro equipo**](https://www.quo.com/sales) para conocer cómo Quo puede apoyar tu empresa de atención médica y ayudarte a mantenerte en cumplimiento con la HIPAA.

***

<div id="using-quo-in-a-hipaa-compliant-way">
  # **Uso de Quo de manera compatible con HIPAA**
</div>

Una vez que se haya firmado tu BAA, puedes usar Quo de una manera que cumpla con las Reglas de Privacidad y Seguridad de HIPAA, siempre que tus políticas internas y salvaguardas se alineen con estos requisitos.

Las siguientes secciones explican cómo Quo gestiona la comunicación segura y la estándar, qué información se considera PHI y las consideraciones de HIPAA para SMS, grabaciones de llamadas, funciones de IA e integraciones.

<div id="what-counts-as-phi">
  ## ¿Qué se considera PHI?
</div>

Entender qué califica como **Información de Salud Protegida (PHI, por sus siglas en inglés)** te ayuda a determinar qué canales y funciones son adecuados para tus comunicaciones específicas con pacientes.

| **Siempre PHI**                                              | **A veces PHI**                                                          | **Nunca PHI**                                    |
| :----------------------------------------------------------- | :----------------------------------------------------------------------- | :----------------------------------------------- |
| Nombre del paciente, número de teléfono, fecha de nacimiento | Recordatorios de citas (si están vinculados a un paciente específico)    | Horario de la clínica                            |
| Diagnóstico, síntomas, afecciones                            | Recordatorios de reposición de medicamentos                              | Cierres de la clínica o avisos por días festivos |
| Planes de tratamiento, historiales médicos                   | Mensajes de coordinación de la atención sin detalles clínicos            | Contenido educativo general                      |
| Resultados de pruebas, imágenes, información de laboratorio  | Mensajes que implican una relación paciente–proveedor de atención médica | Enlaces al sitio web o información de contacto   |
| Medicamentos o recetas                                       | Solicitudes del proveedor para dar seguimiento                           | Marketing no vinculado a un paciente individual  |
| Información de seguro                                        | Cualquier información que se vuelva identificable en contexto            | Avisos generales                                 |

<Tip>
  En caso de duda, trata la información como Información de Salud Protegida (PHI).
</Tip>

<div id="messaging-compliance-hipaa-carrier-rules">
  ## **Cumplimiento de mensajería: normas HIPAA y de operadores**
</div>

Para usar SMS con pacientes, estos deben otorgar **consentimiento para recibir mensajes no seguros** y pueden retirar ese consentimiento en cualquier momento.

Recomendamos consultar al equipo de cumplimiento normativo de tu organización o a tu asesor legal para determinar cómo obtener y documentar el consentimiento del paciente de acuerdo con las directrices de HIPAA.

Incluso con un BAA firmado, los mensajes SMS deben cumplir con las **regulaciones A2P 10DLC de los operadores** en Estados Unidos y Canadá. Estas normas están diseñadas para prevenir el spam y proteger a los pacientes.\
\
Ten en cuenta que las **regulaciones A2P de los operadores prohíben los mensajes relacionados con medicamentos recetados** u ofertas de medicamentos que no se puedan vender sin receta en Estados Unidos o Canadá, incluso si los envían profesionales con licencia.

* **Evita contenido promocional o relacionado con medicamentos recetados.** Los operadores bloquean mensajes que publicitan o mencionan sustancias controladas.
* **Las alertas de reposición de recetas** están permitidas para **pacientes actuales** que hayan aceptado recibir comunicaciones por SMS. Mantén los mensajes generales y evita mencionar detalles sensibles.
* **Mantén los mensajes centrados en la coordinación y la atención.** No uses SMS para publicidad o solicitudes comerciales.

Esto te ayuda a mantener el cumplimiento tanto con **HIPAA** como con los **requisitos A2P de los operadores.**

**Importante:** Los mensajes de texto (SMS/MMS) **no son un servicio cubierto bajo el BAA de Quo** debido a limitaciones técnicas que impiden un cumplimiento total con HIPAA.

**Tu organización** aún puede usar SMS/MMS de una forma compatible con HIPAA si:

* Obtiene la autorización adecuada del paciente para la comunicación mediante SMS/MMS
* Limita la PHI transmitida por SMS/MMS al mínimo necesario
* Documenta la decisión de usar SMS/MMS y los riesgos asociados en sus políticas de cumplimiento de HIPAA
* Implementa las salvaguardas adecuadas

<Note>
  **Tu organización asume plena responsabilidad y responsabilidad legal** por cualquier PHI transmitida por SMS/MMS.
</Note>

<div id="ai-powered-features-and-call-recording">
  ## **Funciones con tecnología de IA y grabación de llamadas**
</div>

Tu organización puede optar por usar funciones con tecnología de IA de una **forma conforme a la HIPAA** si se cumplen todas las siguientes condiciones:

1. **Aviso al paciente**:
   * Se informa a los pacientes cuando se utilizan herramientas de IA durante una llamada o interacción.
   * Los pacientes [**reciben una notificación cuando se graba una llamada**](https://support.openphone.com/core-concepts/calling/call-recording#legal-compliance-notifications), según lo exijan las disposiciones estatales, federales y de la Regla de Privacidad de HIPAA aplicables.
2. **Autorización del paciente**: Tu organización obtiene la autorización del paciente antes de comunicarse mediante una sesión de voz o mensajería asistida por IA.
3. **Uso mínimo necesario**: Tu organización limita cualquier PHI compartida o procesada por funciones de IA a lo que sea necesario para la coordinación o la atención.
4. **Documentación**: Tu organización documenta la decisión de usar funciones de IA y cualquier riesgo asociado en sus políticas internas de HIPAA.
5. **Medidas de seguridad**: Tu organización implementa medidas de seguridad (incluidos controles de acceso, bloqueo de pantalla, capacitación de empleados, etc.).

Consulta siempre con tu **equipo de cumplimiento normativo o legal** para confirmar cómo debe tu organización gestionar grabaciones, transcripciones y funciones con tecnología de IA a fin de cumplir con la HIPAA y los requisitos de aviso.

<Note>
  Tu organización asume plena responsabilidad por cualquier PHI procesada a través de funciones con tecnología de IA. Revisa tus políticas internas de HIPAA y consulta con tu equipo de cumplimiento normativo o legal antes de habilitar herramientas de IA para la comunicación con pacientes.
</Note>

***

<div id="third-party-integrations-and-analytics">
  ## **Integraciones de terceros y analíticas**
</div>

Cualquier **integración de terceros o servicio conectado** (incluidos sistemas CRM, servicios de envío de correo electrónico, plataformas de mensajería, herramientas de analítica o integraciones similares) **no es un Servicio Cubierto** bajo el BAA de Quo.

El uso de estos servicios implica la transmisión de datos de usuario fuera del control de **OpenPhone Technologies**, y cualquier uso de dichas integraciones es la **responsabilidad exclusiva de tu organización.**

Además, cualquier **función de analítica o generación de informes** que transmita datos a **plataformas de analítica de terceros no cubiertas por el BAA de Quo** también queda excluida.

<div id="session-timeouts-and-automatic-logouts">
  ## **Tiempos de espera de sesión y cierres de sesión automáticos**
</div>

Para ayudar a cumplir con los requisitos de la Regla de Seguridad de HIPAA sobre la gestión de sesiones, Quo cierra automáticamente la sesión de los usuarios después de **15 días de inactividad**.

Si tu organización requiere tiempos de espera más cortos, utiliza la **configuración de seguridad a nivel de dispositivo** (por ejemplo, el bloqueo automático o los controles de tiempo de espera de pantalla en tu computadora o sistema operativo móvil) para aplicar límites de inactividad que estén alineados con tus políticas internas de seguridad.
