Recursos Preços Referência API Sobre
Faça login Inscreva-se

Acordo de Parceria Comercial (BAA)

v1.0 – Em vigor em março de 2026

Morlivo, uma marca da Stelica Ventures LLC, uma sociedade de responsabilidade limitada do Texas ("Morlivo", "Business Associate"), compromete-se a proteger Informações de Saúde Protegidas (PHI) de acordo com a Health Insurance Portability and Accountability Act de 1996 (HIPAA), conforme emendada pela HITECH Act. Este Acordo de Business Associate ("BAA") rege a relação entre a Morlivo e nossos clientes ("Covered Entity") com relação ao manuseio de PHI. Referências a "Morlivo" ou "Morlivo.ai" referem-se à Stelica Ventures LLC operando como Morlivo.ai.

1. Escopo e Objetivo

Este Business Associate Agreement ("BAA") complementa e faz parte do contrato de serviço entre a Covered Entity e o Business Associate. Ele estabelece os termos sob os quais o Business Associate pode criar, receber, manter ou transmitir Protected Health Information ("PHI") em nome da Covered Entity em conexão com os serviços de tradução, transcrição e processamento de linguagem fornecidos pela Morlivo (os "Services").

As partes reconhecem que o Business Associate pode acessar, usar ou divulgar PHI no curso da prestação dos Services, e este BAA estabelece as obrigações do Business Associate com respeito a tal PHI nos termos das disposições aplicáveis do HIPAA, do HITECH Act e de seus regulamentos de implementação (coletivamente, as "HIPAA Rules").

2. Usos e divulgações permitidas

O Parceiro Comercial poderá usar ou divulgar PHI exclusivamente:

  • Conforme necessário para executar os Serviços descritos no contrato de serviço subjacente.
  • Conforme exigido por lei, incluindo, entre outros, divulgações exigidas pelo Secretário do Departamento de Saúde e Serviços Humanos dos EUA.
  • Para o gerenciamento e administração adequados do Parceiro Comercial, desde que qualquer divulgação seja exigida por lei ou o Parceiro Comercial obtenha garantias razoáveis de terceiros de que as informações serão mantidas confidencialmente.
  • Fornecer serviços de agregação de dados relativos às operações de cuidados de saúde da Entidade Coberta, se expressamente autorizado no contrato de serviço.

O Business Associate não deverá usar ou divulgar PHI de maneira que viole as HIPAA Rules se feito por um Covered Entity, exceto quando expressamente permitido neste BAA. O Business Associate não deverá usar PHI para fins de marketing, vender PHI ou usar PHI para fins de underwriting.

3. Salvaguardas

O Business Associate deverá implementar e manter salvaguardas administrativas, físicas e técnicas que protejam de forma razoável e apropriada a confidencialidade, integridade e disponibilidade do PHI, incluindo o PHI eletrônico (ePHI), conforme exigido pela HIPAA Security Rule. Essas salvaguardas incluem, mas não se limitam a:

  • Criptografia de ePHI em repouso usando AES-256 e em trânsito usando TLS 1.2 ou superior.
  • Controles de acesso baseados em funções que limitam o acesso PHI apenas a pessoal autorizado.
  • Registro de auditoria abrangente de todos os acessos e modificações de PHI.
  • Avaliações regulares de risco e verificação de vulnerabilidades.
  • Treinamento da força de trabalho sobre os requisitos HIPAA e conscientização de segurança.
  • Os procedimentos de descarte seguro para PHI não são mais necessários para os Serviços.

O Business Associate deverá garantir que qualquer agente, incluindo subcontratados, a quem forneça PHI concorde com as mesmas restrições e condições que se aplicam ao Business Associate sob este BAA, de acordo com 45 CFR § 164.502(e)(1)(ii).

4. Notificação de violação

O Business Associate deverá relatar ao Covered Entity qualquer uso ou divulgação de PHI não permitido por este BAA do qual tenha conhecimento, incluindo qualquer Breach of Unsecured PHI conforme definido em 45 CFR § 164.402. O Business Associate deverá fornecer tal notificação sem demora irrazoável e, em nenhum caso, mais de trinta (30) dias corridos após a descoberta do Breach.

A notificação incluirá, na medida do disponível:

  • Identificação de cada indivíduo cujo PHI Inseguro foi, ou se acredita razoavelmente ter sido, acessado, adquirido, usado ou divulgado.
  • Uma descrição da natureza da Violação, incluindo os tipos de PHI envolvidos.
  • A data da Brecha e a data de sua descoberta.
  • Uma descrição das etapas que o Parceiro Comercial está tomando para investigar e mitigar a Violação e prevenir ocorrências futuras.
  • Informações de contato de pessoas que podem fornecer detalhes adicionais.

5. Prazo e Rescisão

Este BAA entra em vigor na data de sua assinatura e permanecerá em vigor durante a vigência do contrato de serviço subjacente, salvo rescisão antecipada conforme previsto neste documento.

Qualquer das partes pode rescindir este BAA se determinar que a outra parte violou uma cláusula material deste BAA. A parte não infratora deverá fornecer à parte infratora notificação por escrito da violação e conceder trinta (30) dias para saná-la. Se a correção não for viável, a parte não infratora poderá rescindir imediatamente tanto este BAA quanto o acordo de serviço subjacente.

Após a rescisão, o Business Associate deverá, à escolha da Covered Entity, devolver ou destruir todo o PHI recebido de ou criado em nome da Covered Entity. Se a devolução ou destruição não for viável, o Business Associate deverá estender as proteções deste BAA a esse PHI e limitar usos e divulgações adicionais aos fins que tornem a devolução ou destruição inviável.

6. Obrigações da Entidade Coberta

  • A Entidade Coberta notificará o Associado Comercial sobre quaisquer limitações em seu Aviso de Práticas de Privacidade que possam afetar o uso ou divulgação de PHI pelo Associado Comercial.
  • A Entidade Coberta notificará o Parceiro Comercial sobre quaisquer alterações ou revogação da autorização de um indivíduo para usar ou divulgar PHI, na medida em que tais alterações possam afetar os usos e divulgações permitidas do Parceiro Comercial.
  • A Entidade Coberta não solicitará ao Parceiro Comercial que use ou divulgue PHI de qualquer maneira que possa violar as Regras HIPAA.

7. Diversos

Este BAA será regido e interpretado de acordo com a lei federal aplicável, incluindo as HIPAA Rules. Qualquer ambiguidade neste BAA deverá ser interpretada de modo a permitir a conformidade com as HIPAA Rules. Este BAA constitui o acordo integral entre as partes com relação ao objeto aqui tratado e substitui todos os acordos anteriores, sejam escritos ou orais, relacionados ao mesmo assunto.

Solicite um BAA

Para solicitar um Business Associate Agreement, entre em contato com nossa equipe de compliance. Trabalharemos com você para executar um BAA adaptado às necessidades da sua organização.

Entre em contato com a equipe de conformidade Solicitar modelo BAA