Este Acuerdo de Asociación Comercial ("BAA") es efectivo a partir de la Fecha Efectiva (según se define a continuación) entre una entidad nombrada en el bloque de firma a continuación ("Entidad Cubierta") y airSlate, Inc. ("Asociado Comercial") (cada uno referido como una "Parte", y colectivamente, las "Partes").

Las Partes desean celebrar este BAA para cumplir con la Ley de Portabilidad y Responsabilidad del Seguro de Salud de 1996 (Ley Pública 104-191), la Ley de Tecnología de la Información para la Salud Económica y Clínica, Ley Pública §111-5 y las regulaciones promulgadas por el Departamento de Salud y Servicios Humanos de los Estados Unidos, incluidas las Reglas de Privacidad, Seguridad, Notificación de Violaciones y Cumplimiento en 45 C.F.R. Partes 160 y 164, cada una modificada por la regla final conocida como la Regla Omnibus (colectivamente, "HIPAA");

Las Partes han celebrado un acuerdo de servicio (el "Acuerdo Subyacente") en virtud del cual el Asociado Comercial puede usar y/o divulgar información de salud protegida ("PHI") en el desempeño de los servicios de conformidad con el Acuerdo Subyacente (los "Servicios"); y

Este BAA establece los términos y condiciones en virtud de los cuales la PHI debe ser manejada entre la Entidad Cubierta y el Asociado Comercial, y con terceros, durante el plazo del Acuerdo Subyacente y después de su terminación. 

En consideración de las promesas mutuas establecidas en este BAA y los Acuerdos Comerciales, y otra buena y valiosa consideración, cuya suficiencia y recibo se reconocen por separado por la presente, las Partes acuerdan lo siguiente.

Todos los términos en mayúsculas utilizados pero no definidos de otra manera en este BAA deben tener el mismo significado que esos términos en HIPAA.

• "Violación" cuando se escribe en mayúscula, debe tener el significado establecido en 45 C.F.R. § 164.402 (incluyendo todas sus subsecciones); con respecto a todos los demás usos de la palabra "violación" en este BAA, la palabra debe tener su significado contractual ordinario. 
• "Conjunto de Registros Designados" debe tener el significado establecido en 45 C.F.R. § 164.501 y debe incluir, pero no limitarse a, registros médicos y registros de facturación sobre Individuos.
• "Información de Salud Protegida Electrónica" o "EPHI" debe tener el mismo significado que el término "información de salud protegida electrónica" en 45 C.F.R. § 160.103, limitado a la información que (i) es recibida por el Asociado Comercial de la Entidad Cubierta, o (ii) es accedida, creada, recibida, transmitida, o mantenida por el Asociado Comercial en nombre de la Entidad Cubierta.
• "Fecha Efectiva" significa la fecha en la que el Asociado Comercial fue contratado por primera vez para proporcionar servicios a la Entidad Cubierta bajo el Acuerdo Subyacente.
• "Individuo" debe tener el mismo significado que el término "individuo" en 45 C.F.R. § 160.103 e incluir a una persona que califica como representante personal de acuerdo con 45 C.F.R. § 164.502(g).
• "Información de Salud Protegida" o "PHI" debe tener el mismo significado que el término "información de salud protegida" en 45 C.F.R. § 160.103, limitado a la información que (i) es recibida por el Asociado Comercial de la Entidad Cubierta, o (ii) es accedida, creada, recibida, transmitida, o mantenida por el Asociado Comercial en nombre de la Entidad Cubierta. PHI incluye EPHI.
• "Requerido por la Ley" debe tener el mismo significado que el término "requerido por la ley" en 45 C.F.R. § 164.103.
• "Secretario" debe significar el Secretario del Departamento de Salud y Servicios Humanos o su designado. 
• "Incidente de Seguridad" significa el acceso, uso, divulgación, modificación o destrucción no autorizados, intentados o exitosos, de la información de la Entidad Cubierta en un sistema de información controlado por el Asociado Comercial. No obstante lo anterior, las Partes reconocen y acuerdan que el Asociado Comercial no necesita informar todos los Incidentes de Seguridad intentados pero no exitosos a la Entidad Cubierta, y que este BAA constituye aviso a la Entidad Cubierta de que dichos Incidentes de Seguridad no exitosos ocurren periódicamente. Los Incidentes de Seguridad no exitosos incluyen, pero no se limitan a, pings y otros ataques de difusión en el firewall del Asociado Comercial, escaneos de puertos, intentos de inicio de sesión no exitosos, denegaciones de servicio, y cualquier combinación de lo anterior, siempre y cuando dichos incidentes no resulten en un acceso, uso o divulgación no autorizados reales de PHI. 
• "PHI no Segura" debe tener el mismo significado que el término "PHI no Segura" en 45 C.F.R. § 164.402.

2.1. Uso y Divulgación. El Asociado Comercial acepta no utilizar o divulgar la PHI salvo según lo permitido o requerido por este BAA, o según lo exija la Ley. En la medida en que el Asociado Comercial deba cumplir una o más obligaciones de la Entidad Cubierta bajo la Subparte E de la Regla de Privacidad, el Asociado Comercial debe cumplir con los requisitos aplicables de la Subparte E que se apliquen a la Entidad Cubierta en el desempeño de dichas obligaciones. 

2.2. Salvaguardias. El Asociado Comercial debe, cuando corresponda, cumplir con la Regla de Seguridad de HIPAA con respecto a la EPHI y acepta implementar salvaguardias administrativas, físicas y técnicas que protejan de manera razonable y apropiada la confidencialidad, integridad y disponibilidad de la EPHI y que eviten el uso o divulgación de dicha PHI salvo según lo establecido en este BAA.

2.3. Mínimo Necesario. El Asociado Comercial acepta hacer esfuerzos razonables para limitar el uso y/o divulgación de la PHI a la cantidad mínima de información necesaria para lograr el propósito permitido previsto del uso o divulgación.

2.4. Mitigación. El Asociado Comercial acepta mitigar, en la medida de lo posible, cualquier efecto perjudicial conocido por el Asociado Comercial de un uso o divulgación de la PHI por el Asociado Comercial en violación de este BAA.

2.5. Subcontratistas. El Asociado Comercial acepta garantizar que cualquier Subcontratista que cree, reciba, mantenga o transmita PHI en nombre del Asociado Comercial acepte sustancialmente las mismas restricciones y condiciones que se aplican a través de este BAA al Asociado Comercial con respecto a dicha información.

2.6. Restricciones Adicionales. Si la Entidad Cubierta notifica al Asociado Comercial que la Entidad Cubierta ha acordado estar sujeta a restricciones adicionales sobre los usos o divulgaciones de la PHI, el Asociado Comercial debe estar sujeto a tales restricciones adicionales y no debe divulgar la PHI en violación de tales restricciones adicionales de conformidad con 45 C.F.R. § 164.522.

2.7. Acceso a la PHI. En la medida en que el Asociado Comercial mantenga la PHI en un Conjunto de Registros Designados para la Entidad Cubierta en un formato descifrado, el Asociado Comercial, a solicitud de la Entidad Cubierta, debe poner a disposición de la Entidad Cubierta dicho acceso a la PHI de acuerdo con 45 C.F.R. § 164.524.

2.8. Enmienda de la PHI. En la medida en que el Asociado Comercial tenga acceso a la PHI en un formato descifrado, y a expensas razonables de la Entidad Cubierta, el Asociado Comercial acepta realizar enmiendas a la PHI en un Conjunto de Registros Designados según lo indique la Entidad Cubierta según sea razonablemente necesario para cumplir con las obligaciones del Asociado Comercial de conformidad con 45 CFR § 164.526. No obstante lo anterior, el Asociado Comercial no necesita realizar enmiendas a la PHI en un Conjunto de Registros Designados a menos que la Entidad Cubierta no pueda realizar tales enmiendas a dicha PHI por sí misma.

2.9. Registro de Divulgaciones. En la medida en que el Asociado Comercial tenga acceso a la PHI de la Entidad Cubierta en un formato descifrado, el Asociado Comercial acepta documentar y proporcionar a la Entidad Cubierta, dentro de los treinta (30) días calendario posteriores a la recepción de una solicitud por escrito de la Entidad Cubierta, un registro de divulgaciones de PHI e información relacionada con tales divulgaciones según lo requerido para que la Entidad Cubierta responda a una solicitud de un Individuo de un registro de divulgaciones de PHI de acuerdo con 45 C.F.R. § 164.528. 

2.10. Reenvío de Solicitudes de un Individuo. En caso de que algún Individuo solicite acceso, enmienda o registro de PHI directamente al Asociado Comercial, el Asociado Comercial debe reenviar dicha solicitud a la Entidad Cubierta de acuerdo con la ley aplicable.

2.11. Libros y Registros. El Asociado Comercial acepta poner a disposición del Secretario, con fines de que el Secretario determine el cumplimiento de la Entidad Cubierta con HIPAA, prácticas internas, libros y registros, incluidas políticas y procedimientos y PHI, relacionados con el uso y divulgación de la PHI recibida de, o recibida por el Asociado Comercial en nombre de, la Entidad Cubierta, de acuerdo con la ley aplicable.

2.12. Reporte. El Asociado Comercial acepta informar a la Entidad Cubierta sobre cualquier Incidente de Seguridad u otro uso o divulgación de la PHI no permitido por este BAA del que tenga conocimiento, de acuerdo con HIPAA, y dentro de los 30 días calendario. Si el Asociado Comercial descubre que se ha producido una Brecha de PHI no Segura, el Asociado Comercial debe notificar a la Entidad Cubierta de acuerdo con los requisitos de 45 C.F.R. §164.410. No obstante lo anterior, dicha notificación debe incluir la identificación de cada Individuo cuya PHI no Segura ha sido o se cree razonablemente que ha sido accedida, adquirida o divulgada en relación con dicha Brecha, en la medida en que el Asociado Comercial tenga acceso a dicha información sin descifrar los datos. Además, el Asociado Comercial debe proporcionar cualquier información adicional solicitada razonablemente por la Entidad Cubierta con fines de investigar la Brecha y cualquier otra información disponible que la Entidad Cubierta esté obligada a incluir para el Individuo según 45 C.F.R. §164.404(c) en el momento de la notificación o prontamente después, a medida que la información esté disponible.

3.1. Usos y Divulgaciones. Salvo que se indique expresamente lo contrario en este BAA, el Asociado Comercial puede usar y divulgar PHI para realizar los Servicios, siempre que dicho uso o divulgación no violaría HIPAA si fuera realizado por la Entidad Cubierta.

3.2. Gestión y Administración. Salvo que se indique expresamente lo contrario en este BAA, el Asociado Comercial puede usar y divulgar PHI según sea necesario para la correcta gestión y administración del Asociado Comercial o para cumplir con las responsabilidades legales del Asociado Comercial, siempre y cuando cualquier Divulgación permitida de PHI a un tercero deba ser o bien Requerida Por Ley o estar sujeta a que el Asociado Comercial obtenga garantías razonables de la persona a quien se divulga la información de que permanecerá confidencial y se usará o divulgará solo según lo Requerido Por Ley o para el propósito para el cual se divulgó a la persona, y la persona notifique al Asociado Comercial de cualquier instancia de la que tenga conocimiento en la que se haya violado la confidencialidad de la información.

3.3. Divulgaciones Requeridas Por Ley. El Asociado Comercial puede usar o divulgar cualquier PHI según lo Requerido Por Ley. 

3.4. Agregación de Datos. Salvo que se indique expresamente lo contrario en este BAA, el Asociado Comercial puede usar y divulgar PHI para proporcionar Servicios de Agregación de Datos a la Entidad Cubierta según lo permitido por 45 C.F.R. § 164.504(e)(2)(i)(B).

3.5. Desidentificación. El Asociado Comercial puede usar PHI para desidentificar PHI y crear información desidentificada a partir de PHI según lo descrito en 45 C.F.R. § 164.514, sujeto a cualquier restricción en HIPAA. La Entidad Cubierta y el Asociado Comercial entienden y reconocen que la información debidamente desidentificada no es "Información de Salud Protegida" bajo los términos de este BAA, y el Asociado Comercial puede posteriormente usar y divulgar dichos datos desidentificados a menos que esté prohibido por la ley aplicable.

3.6. Datos Derivados. Salvo que esté expresamente prohibido en este BAA, las Partes acuerdan que el Asociado Comercial puede acceder, usar y divulgar los Datos de la Entidad Cubierta en la medida permitida por la ley, incluida la información desidentificada, y acuerdan que cualquier resultado o producto derivado del acceso y uso permitidos por la ley aplicable, incluidos los derivados de la información, debe ser propiedad del Asociado Comercial y todos los derechos relacionados con dicho(s) producto(s). En caso de que se requiera una licencia, las Partes acuerdan que se otorga al Asociado Comercial una licencia no exclusiva, transferible, asignable, totalmente pagada y libre de regalías para la información derivada, el resultado y las obras de la información, y dicha licencia debe sobrevivir a la terminación de este BAA. "Datos de la Entidad Cubierta" significa cualquier dato tangible o intangible que sea proporcionado por o en nombre de la Entidad Cubierta al Asociado Comercial para realizar los servicios bajo el Acuerdo Subyacente.

Las Partes acuerdan y reconocen que las obligaciones de indemnización contenidas en el Acuerdo Subyacente deben regir el desempeño de cada Parte en virtud de este BAA.

5.1. Aviso de Prácticas de Privacidad. La Entidad Cubierta debe notificar al Asociado Comercial de cualquier limitación en cualquier aviso de prácticas de privacidad aplicable de acuerdo con 45 C.F.R. § 164.520, en la medida en que dicha limitación pueda afectar el uso o divulgación de PHI por parte del Asociado Comercial. La Entidad Cubierta debe proporcionar dicho aviso a más tardar quince (15) días antes de la fecha efectiva de la limitación.

5.2. Notificación de Cambios en Permiso Individual. La Entidad Cubierta debe notificar al Asociado Comercial de cualquier cambio o revocación de permiso por parte de un individuo para usar o divulgar PHI, en la medida en que dichos cambios puedan afectar el uso o divulgación de PHI por parte del Asociado Comercial. La Entidad Cubierta debe proporcionar dicho aviso a más tardar quince (15) días antes de la fecha efectiva del cambio. La Entidad Cubierta debe obtener cualquier consentimiento o autorización que pueda ser requerido por la Regla de Privacidad de HIPAA, o la ley estatal aplicable, antes de proporcionar a un Asociado Comercial con PHI.

5.3. Notificación de Restricciones al Uso o Divulgación de PHI. La Entidad Cubierta debe notificar al Asociado Comercial de cualquier restricción al uso o divulgación de PHI a la que la Entidad Cubierta haya acordado o esté obligada a cumplir de acuerdo con 45 C.F.R. § 164.522, en la medida en que dicha restricción pueda afectar el uso o divulgación de PHI por parte del Asociado Comercial. La Entidad Cubierta debe proporcionar dicho aviso a más tardar quince (15) días antes de la fecha efectiva de la restricción. La Entidad Cubierta debe obtener cualquier consentimiento o autorización que pueda ser requerido por la Regla de Privacidad de HIPAA, o la ley estatal aplicable, antes de proporcionar a un Asociado Comercial con PHI.

5.4. Solicitudes Permitidas. La Entidad Cubierta no debe solicitar al Asociado Comercial que use o divulgue PHI de ninguna manera que no sería permisible bajo la Regla de Privacidad, la Regla de Seguridad, o HIPAA si lo hiciera la Entidad Cubierta, excepto según lo permitido de conformidad con las disposiciones de la Sección 3 de este BAA.

6.1. Término. Este BAA debe ser efectivo a partir de la Fecha Efectiva y debe continuar hasta ser terminado de acuerdo con la Sección 6.b del presente, o hasta que el Acuerdo Subyacente termine, lo que ocurra primero.

6.2. Terminación. Cuando una de las Partes (la "Parte No Incumplidora") tenga conocimiento de un incumplimiento material por parte de la otra Parte (la "Parte Incumplidora"), la Parte No Incumplidora debe proporcionar treinta (30) días para que la Parte Incumplidora corrija el incumplimiento material, y si la Parte Incumplidora no corrige el incumplimiento material dentro de dicho plazo, la Parte No Incumplidora puede terminar este BAA y el Acuerdo Subyacente, según corresponda. Si la Parte Incumplidora ha violado un término material de este BAA, y la corrección no es posible, la Parte No Incumplidora puede terminar este BAA inmediatamente.

6.3. Efecto de la Terminación. Al terminar este BAA o el Acuerdo Subyacente, por cualquier motivo, el Asociado Comercial debe destruir toda la PHI recibida de la Entidad Cubierta o recibida por el Asociado Comercial en nombre de la Entidad Cubierta, excepto en la medida en que dicha PHI sea necesaria para que el Asociado Comercial continúe con su gestión y administración adecuadas o para cumplir con sus responsabilidades legales. No obstante lo anterior, en caso de que el Asociado Comercial determine que la destrucción de la PHI no es factible, el Asociado Comercial debe notificar a la Entidad Cubierta de las condiciones que hacen que la destrucción no sea factible, y el Asociado Comercial debe extender las protecciones de este Acuerdo a dicha PHI y limitar los usos y divulgaciones posteriores de dicha PHI a aquellos propósitos que hagan que la destrucción no sea factible, siempre que el Asociado Comercial mantenga dicha PHI.

7.1. Referencias Regulatorias. Una referencia en este BAA a una sección en HIPAA significa la sección tal como está en vigor o enmendada de vez en cuando, y para la cual se requiere cumplimiento.

7.2. Primacía. En la medida en que alguna disposición de este BAA entre en conflicto con las disposiciones del Acuerdo Subyacente o cualquier otro acuerdo o entendimiento entre las Partes, este BAA debe prevalecer con respecto al tema de este BAA.

7.3. Enmienda; Renuncia. Este BAA no puede ser modificado, ni ninguna disposición ser renunciada o enmendada, excepto por escrito debidamente firmado por las Partes. Una renuncia con respecto a un evento no debe interpretarse como continua, o como una barrera, o renuncia de cualquier derecho o remedio en eventos posteriores. 

7.4. Ambigüedades. Cualquier ambigüedad en este BAA debe resolverse para permitir el cumplimiento con HIPAA. En la medida en que alguna disposición de este BAA entre en conflicto con alguna disposición de cualquier otro acuerdo o entendimiento entre las Partes, este BAA debe prevalecer con respecto al tema de este BAA. 

7.5. Ley y Jurisdicción Aplicables. Este BAA está regido y se interpreta de acuerdo con las mismas leyes internas que se establecen en el Acuerdo Subyacente aplicable.

7.6. No Beneficiarios de Terceros. Nada expreso o implícito en este BAA tiene la intención o debe considerarse que confiere a cualquier persona que no sea la Entidad Cubierta, Asociado Comercial, y sus respectivos sucesores y cesionarios, ningún derecho, obligación, remedio o responsabilidad.

7.7. Contrapartes; Facsímiles. Este BAA puede ser ejecutado en cualquier número de contrapartes, cada una de las cuales debe considerarse un original. Las copias por facsímil de este documento deben considerarse como originales.

7.8. Contratistas Independientes. Ninguna disposición de este BAA tiene la intención de crear, ni debe considerarse o interpretarse como crear una relación de empleo, agencia o empresa conjunta entre la Entidad Cubierta y el Asociado Comercial que no sea la de entidades independientes contratando entre sí únicamente con el propósito de efectuar las disposiciones de este BAA. Ninguna de las Partes o ninguno de sus respectivos representantes debe considerarse como agente, empleador o representante del otro. Las Partes han revisado los factores para determinar si existe una relación de agencia bajo la ley común federal de agencia, y no es la intención ni de la Entidad Cubierta ni del Asociado Comercial que el Asociado Comercial constituya un "agente" bajo dicha ley común.

7.9. Notificaciones. Cualquier notificación que deba hacerse bajo este BAA a una Parte debe hacerse por correo postal de EE. UU. o mensajero exprés a la dirección de dicha Parte que se establece a continuación, y/o por facsímil a los números de teléfono de facsímil que se enumeran a continuación. Cada Parte puede cambiar su dirección y la de su representante para notificación dando aviso de ello de la manera provista anteriormente en esta Sección. 

Para Asociado Comercial a: 17 Station Street, Ste. 303, Brookline, Massachusetts, 02445, Email: legal@airslate.com, Atención: Asesor General.

Para Entidad Cubierta a: (para ser completado por la Entidad Cubierta).

En fe de lo cual, las Partes han ejecutado este BAA a partir de la Fecha Efectiva.