Saltar al contenido principal
Este artículo ofrece solo orientación general y no constituye asesoría legal. Para obtener información completa sobre tus derechos y responsabilidades, consulta tu Business Associate Agreement (BAA) con Quo y habla con tu equipo de cumplimiento normativo o legal.
Los proveedores de atención médica y las entidades que gestionan comunicaciones con pacientes ahora pueden usar Quo para comunicarse con pacientes de una manera que cumple con HIPAA. Quo proporciona las salvaguardas requeridas por la Regla de Seguridad de HIPAA, pero, lo más importante, el cumplimiento de HIPAA es una responsabilidad compartida entre tu organización y Quo. Para usar Quo de forma compatible con HIPAA, tu organización debe firmar un Business Associate Agreement (BAA), que está disponible para los planes Business y Scale.

Cómo obtener un BAA con Quo

Uso de Quo de forma compatible con la HIPAA

Una vez firmado tu BAA, puedes usar Quo de forma que cumpla con las Reglas de Privacidad y Seguridad de la HIPAA, siempre que tus políticas internas y medidas de protección estén alineadas con estos requisitos. Las siguientes secciones explican cómo Quo gestiona la comunicación segura frente a la estándar, qué información se considera PHI y las consideraciones de la HIPAA para SMS, grabaciones de llamadas, funciones de IA e integraciones.

¿Qué se considera PHI?

Comprender qué se considera Información de Salud Protegida (PHI) te ayuda a determinar qué canales y funciones son adecuados para las comunicaciones específicas con tus pacientes.
Siempre PHIA veces PHINunca PHI
Nombre del paciente, número de teléfono, fecha de nacimientoRecordatorios de citas (si están vinculados a un paciente específico)Horario de atención
Diagnóstico, síntomas, afeccionesRecordatorios de renovación de recetasCierres del consultorio o avisos por días festivos
Planes de tratamiento, historiales médicosMensajes de coordinación de atención sin detalles clínicosContenido educativo general
Resultados de pruebas, imágenes, información de laboratorioMensajes que implican una relación entre paciente y proveedorEnlaces al sitio web o información de contacto
Medicamentos o prescripcionesSolicitudes del proveedor para dar seguimientoMarketing no vinculado a un paciente individual
Información del seguroCualquier información que se vuelva identificable en contextoAnuncios generales
En caso de duda, trata la información como Información de Salud Protegida (PHI).

Cumplimiento en mensajería: HIPAA y reglas de los operadores

Para usar SMS con pacientes, estos deben otorgar consentimiento para recibir mensajes no seguros y pueden retirar ese consentimiento en cualquier momento. Recomendamos consultar con el equipo de cumplimiento normativo de tu organización o con asesoría legal para determinar cómo obtener y documentar el consentimiento del paciente de acuerdo con las pautas de HIPAA. Incluso con un BAA firmado, los mensajes SMS deben cumplir con las regulaciones A2P 10DLC de los operadores en EE. UU. y Canadá. Estas reglas están diseñadas para prevenir el spam y proteger a los pacientes.

Ten en cuenta que las regulaciones A2P de los operadores prohíben los mensajes relacionados con medicamentos recetados u ofertas de medicamentos que no se pueden vender sin receta en EE. UU. o Canadá, incluso si los envían profesionales autorizados.
  • Evita contenido promocional o relacionado con medicamentos recetados. Los operadores bloquean mensajes que publicitan o mencionan sustancias controladas.
  • Las alertas de renovación de recetas están permitidas para pacientes existentes que hayan aceptado recibir comunicaciones por SMS. Mantén los mensajes generales y evita mencionar detalles sensibles.
  • Mantén los mensajes centrados en la coordinación y la atención. No uses SMS para publicidad o fines de captación.
Esto te ayuda a mantener el cumplimiento tanto con HIPAA como con los requisitos de los operadores A2P. Importante: La mensajería de texto (SMS/MMS) no es un Servicio Cubierto en el BAA de Quo debido a limitaciones técnicas que impiden el pleno cumplimiento de HIPAA. Tu organización aún puede usar SMS/MMS de una forma compatible con HIPAA si:
  • Obtiene la autorización adecuada del paciente para la comunicación por SMS/MMS
  • Limita la PHI transmitida por SMS/MMS al mínimo necesario
  • Documenta la decisión de usar SMS/MMS y los riesgos asociados en sus políticas de HIPAA
  • Implementa las salvaguardas adecuadas
Tu organización asume toda la responsabilidad y la responsabilidad legal por cualquier PHI transmitida por SMS/MMS.

Funciones con IA y grabación de llamadas

Tu organización puede optar por usar funciones con IA de manera compatible con HIPAA si se cumplen todas las condiciones siguientes:
  1. Aviso al paciente
  2. Autorización del paciente: Obtienes la autorización del paciente antes de comunicarte mediante una sesión de voz o mensajería asistida por IA.
  3. Uso mínimo necesario: Limitas cualquier PHI compartida o procesada por funciones de IA a lo que sea estrictamente necesario para la coordinación o la prestación de la atención.
  4. Documentación: Tu organización documenta la decisión de usar funciones de IA y cualquier riesgo asociado en tus políticas internas de HIPAA.
  5. Salvaguardas: Implementas salvaguardas (incluidos controles de acceso, bloqueos de pantalla, capacitación de empleados, etc.).
Consulta siempre con tu equipo de cumplimiento o jurídico para confirmar cómo tu organización debe manejar las grabaciones, transcripciones y funciones con IA para cumplir con HIPAA y los requisitos de notificación.
Tu organización asume la plena responsabilidad por cualquier PHI procesada mediante funciones con IA. Revisa tus políticas internas de HIPAA y consulta con tu equipo de cumplimiento o jurídico antes de activar herramientas de IA para la comunicación con pacientes.

Integraciones y analítica de terceros

Cualquier integración de terceros o servicio conectado (incluidos sistemas CRM, servicios de envío de correo electrónico, plataformas de mensajería, herramientas de analítica o integraciones similares) no es un Servicio Cubierto según el BAA de Quo. El uso de estos servicios implica, por definición, transmitir datos de usuarios fuera del control de OpenPhone Technologies, y cualquier uso de dichas integraciones es responsabilidad exclusiva de su organización. Además, cualquier función de analítica o de generación de informes que transmita datos a plataformas de analítica de terceros no cubiertas por el BAA de Quo también queda excluida.

Tiempos de espera de sesión y cierres de sesión automáticos

Para ayudar a cumplir con los requisitos de la Regla de Seguridad de HIPAA para la administración de sesiones, Quo cierra automáticamente la sesión de los usuarios después de 15 días de inactividad. Si tu organización requiere tiempos de espera más cortos, usa la configuración de seguridad del dispositivo (por ejemplo, el bloqueo automático o los controles de tiempo de espera de pantalla en tu computadora o sistema operativo móvil) para aplicar límites de inactividad que se alineen con tus políticas internas de seguridad.