Acordo de Associado Comercial HIPAA (BAA): Modelo e Guia Completo

Se você está construindo software que toca informações de saúde protegidas — e em 2026, isso é um número surpreendentemente grande de produtos SaaS, portais de pacientes, plataformas de telemedicina e até ferramentas de marketing — você precisa de um Business Associate Agreement. Não "deveria ter". Precisa. As penalidades por errar isso começam em $141 por violação e aumentam até $2.134.831 por categoria de violação por ano. Isso não é um erro de digitação.

Trabalhei em projetos adjacentes ao setor de saúde onde a conversa sobre BAA aconteceu muito tarde no ciclo de desenvolvimento. Equipes constroem uma plataforma inteira, chegam à revisão de conformidade e percebem que seu provedor de nuvem não tem um BAA em vigor, sua ferramenta de análise está ingerindo PHI sem um, e seu serviço de logging está armazenando dados de pacientes em texto simples. É uma bagunça. Este guia é o que eu gostaria que alguém tivesse me entregue na primeira vez que tive que lidar com conformidade HIPAA como desenvolvedor.

Cobriremosoqueum BAA realmente é (e não é), quem precisa de um, o que deve estar nele e forneceremos um modelo prático que você pode adaptar. Se você é uma entidade coberta avaliando fornecedores ou um associado comercial tentando entender suas obrigações, este é o guia.

Índice

• O que é um Acordo de Associado Comercial?
• Quem Precisa de um BAA?
• Entidades Cobertas vs. Associados Comerciais vs. Subcontratados
• Componentes Obrigatórios de um BAA HIPAA
• Modelo de BAA com Anotações
• Erros Comuns que Invalidam um BAA
• Considerações de Implementação Técnica
• Monitoramento e Aplicação de seus BAAs
• Requisitos de BAA por Tipo de Fornecedor
• Perguntas Frequentes

O que é um Acordo de Associado Comercial?

Um Acordo de Associado Comercial (BAA) é um contrato legalmente vinculativo exigido pela HIPAA entre uma entidade coberta (pense em: hospitais, planos de saúde, câmaras de compensação de saúde) e qualquer terceira parte — o associado comercial — que cria, recebe, mantém ou transmite informações de saúde protegidas (PHI) em nome da entidade coberta.

A base legal vem de 45 CFR § 164.502(e) e § 164.504(e). A Regra de Privacidade HIPAA exige esses acordos. A Regra de Segurança adiciona requisitos específicos para PHI eletrônico (ePHI). Após a Lei HITECH e a Regra Onibus de 2013, os associados comerciais se tornaram diretamente responsáveis pela conformidade HIPAA — não apenas responsáveis contratualmente através do BAA, mas diretamente sujeitos à aplicação pelo Office for Civil Rights (OCR).

Aqui está o que um BAA não é: não é um exercício de marcação. Não é algo que você baixa, assina e esquece. Um BAA estabelece obrigações específicas, restringe como a PHI pode ser usada e divulgada, define procedimentos de notificação de violação e cria direitos de auditoria. Se você tratar isso como boilerplate, está se preparando para problemas.

Por que BAAs Importam Mais em 2026

O cenário de aplicação mudou significativamente. OCR tem aumentado auditorias e acordos. Em 2024, eles resolveram vários casos especificamente relacionados a BAAs ausentes ou inadequados — incluindo um acordo de $1,55 milhão com um sistema de saúde que não tinha BAAs com vários fornecedores processando ePHI. A tendência continuou em 2025 e 2026 com maior escrutínio em serviços em nuvem, ferramentas de IA e tecnologias de rastreamento da web.

O boletim do OCR de dezembro de 2022 sobre tecnologias de rastreamento (atualizado em 2023) deixou claro que até análises de site e rastreamento de pixel podem disparar requisitos de BAA se coletarem PHI — incluindo endereços IP combinados com informações de condição de saúde de páginas de agendamento de consultas.

Quem Precisa de um BAA?

Aqui é onde as coisas ficam complicadas e onde vejo a maior confusão.

As entidades cobertas devem ter BAAs com cada associado comercial. Uma entidade coberta é:

• Um provedor de saúde que transmite informações de saúde eletronicamente
• Um plano de saúde (companhias de seguros, HMOs, Medicare, Medicaid)
• Uma câmara de compensação de saúde

Os associados comerciais são indivíduos ou organizações que executam funções ou atividades em nome de uma entidade coberta que envolvem PHI. Isso inclui:

• Provedores de serviços de TI com acesso a ePHI
• Provedores de hospedagem em nuvem armazenando PHI
• Empresas de processamento de cobrança e sinistros
• Fornecedores de EHR/EMR
• Empresas de análise de dados processando dados de saúde
• Escritórios de advocacia e contadores acessando PHI
• Empresas de destruição de documentos e armazenamento
• Consultores que precisam de acesso a PHI
• Desenvolvedores web construindo aplicações voltadas ao paciente (sim, isso nos inclui na Social Animal quando construímos plataformas de saúde)

Os subcontratados dos associados comerciais também precisam de BAAs. Se você é um associado comercial e contrata um provedor de nuvem para hospedar a PHI que está processando, você precisa de um BAA com esse provedor. Isso foi uma grande mudança da Regra Onibus de 2013.

Quem Não Precisa de um BAA?

Nem todo relacionamento com fornecedor exige um:

• Exceção de conduit: Entidades que meramente transportam PHI (como o serviço postal ou provedores de serviço de internet) sem acessá-la não precisam de BAAs.
• Relacionamentos de emprego: Seus próprios funcionários não são associados comerciais — são membros da sua força de trabalho.
• Divulgações direcionadas pelo paciente: Se um paciente pedir para você enviar seus registros para um aplicativo específico, esse aplicativo não é seu associado comercial (embora isso fica complicado com TEFCA e intercâmbios de informações de saúde).
• Tratamento entre provedores: Quando um provedor compartilha PHI com outro provedor para tratamento, isso não é um relacionamento de BA.

Entidades Cobertas vs. Associados Comerciais vs. Subcontratados

Compreender a cadeia de responsabilidade é crítico. Aqui está como os relacionamentos se dividem:

Função	Exemplos	BAA Obrigatório Com	Responsabilidade HIPAA Direta?
Entidade Coberta	Hospital, plano de saúde, câmara de compensação	Todos os associados comerciais	Sim — responsabilidade total
Associado Comercial	Fornecedor de EHR, hospedagem em nuvem, empresa de cobrança	Entidade coberta (upstream) + subcontratados (downstream)	Sim — desde a Regra Onibus de 2013
Subcontratado	Infraestrutura de nuvem sob um BA, desenvolvedor sub-contratado	Associado comercial (upstream)	Sim — desde a Regra Onibus de 2013
Conduit	ISP, serviço postal, correio	Nenhum	Não (exceção de conduit)
Membro da Força de Trabalho	Funcionário, voluntário, estagiário	Nenhum (não é um BA)	Não (coberto pelas políticas da entidade)

A cadeia pode ter vários níveis de profundidade. Um hospital usa um fornecedor de EHR (BA). O fornecedor de EHR usa AWS (subcontratado/BA). AWS usa parceiros de infraestrutura específicos. Cada link na cadeia precisa de um BAA.

Componentes Obrigatórios de um BAA HIPAA

O HHS fornece orientação sobre o que deve ser incluído, e publicou um modelo de BAA atualizado que vale a pena revisar. Aqui estão os componentes obrigatórios e recomendados:

Elementos Obrigatórios (conforme 45 CFR § 164.504(e))

1. Usos e divulgações permitidas: Especifique exatamente o que o BA pode fazer com PHI. Isso deve ser limitado ao que está no contrato, exigido por lei, ou permitido de outra forma sob a Regra de Privacidade.

2. Proibição de uso/divulgação não autorizada: O BA não pode usar ou divulgar PHI de maneiras não permitidas pelo acordo.

3. Requisito de salvaguardas: O BA deve usar salvaguardas apropriadas — e especificamente implementar os requisitos da Regra de Segurança para ePHI — para evitar uso ou divulgação não autorizada.

4. Obrigações de reportagem: O BA deve relatar qualquer uso ou divulgação não fornecida no acordo, incluindo incidentes de segurança e violações.

5. Obrigações de subcontratados: O BA deve garantir que qualquer subcontratado que manipule PHI concorde com as mesmas restrições e condições.

6. Acesso a PHI: O BA deve disponibilizar PHI à entidade coberta (ou diretamente aos indivíduos) para satisfazer o direito de acesso do indivíduo sob 45 CFR § 164.524.

7. Emenda de PHI: O BA deve disponibilizar PHI para emenda e incorporar emendas quando direcionado pela entidade coberta.

8. Contabilização de divulgações: O BA deve disponibilizar informações para uma contabilização de divulgações conforme exigido por 45 CFR § 164.528.

9. Acesso HHS: O BA deve disponibilizar suas práticas, livros e registros ao HHS para determinação de conformidade.

10. Retorno ou destruição de PHI: Após o término, o BA deve retornar ou destruir todos os PHI. Se isso não for viável, as proteções devem se estender além do término.

11. Disposições de rescisão: A entidade coberta deve poder rescindir o acordo se o BA violar um termo material.

Adições Recomendadas (Mas Inteligentes)

• Cronogramas de notificação de violação: HIPAA exige que BAs informem CEs "sem atraso irrazoável" e no máximo em 60 dias. Mas 60 dias é uma eternidade. Acordos inteligentes especificam janelas mais curtas — 5 a 10 dias úteis é comum.
• Requisitos de seguro de cibernética: Cada vez mais padrão. Especifique valores mínimos de cobertura.
• Direitos de auditoria: Além do que o HHS exige, dê a si mesmo o direito de auditar ou solicitar relatórios SOC 2 + HIPAA.
• Cláusulas de indenização: Quem paga quando as coisas dão errado?
• Requisitos de residência de dados: Onde a PHI será armazenada? Isso importa para leis estaduais também.
• Requisitos de treinamento: Exija que o BA treine sua força de trabalho em HIPAA.
• Padrões de criptografia: Especifique criptografia mínima (AES-256 em repouso, TLS 1.2+ em trânsito).

Modelo de BAA com Anotações

Aqui está uma estrutura prática de modelo de BAA. Isso não é aconselhamento jurídico — você precisa de um advogado para finalizar qualquer BAA para sua situação específica. Mas isso oferece um marco de partida sólido com base no acordo modelo do HHS e implementações do mundo real que vi funcionarem bem.

ACORDO DE ASSOCIADO COMERCIAL

Este Acordo de Associado Comercial ("BAA") é celebrado a partir de [DATA]
por e entre:

[NOME DA ENTIDADE COBERTA], uma [ESTADO] [TIPO DE ENTIDADE] ("Entidade Coberta")
e
[NOME DO ASSOCIADO COMERCIAL], uma [ESTADO] [TIPO DE ENTIDADE] ("Associado Comercial")

(coletivamente, as "Partes")

PREÂMBULO

CONSIDERANDO QUE a Entidade Coberta é uma entidade coberta por HIPAA conforme definido em
45 CFR § 160.103;

CONSIDERANDO QUE o Associado Comercial executa certos serviços para a Entidade Coberta
que envolvem criação, recebimento, manutenção ou transmissão de Informações de Saúde Protegidas (PHI);

CONSIDERANDO QUE as Partes pretendem cumprir a Lei de Portabilidade e Responsabilidade de Seguros de Saúde de 1996 (HIPAA),
a Lei de Tecnologia de Informação de Saúde para Eficiência Econômica e Clínica (HITECH) e seus regulamentos de implementação;

AGORA, PORTANTO, as Partes concordam da seguinte forma:

---

SEÇÃO 1: DEFINIÇÕES

Os termos usados mas não definidos neste BAA terão os significados atribuídos em 45 CFR Partes 160 e 164.

"Violação" terá o significado dado em 45 CFR § 164.402.
"Conjunto de Registros Designado" terá o significado em 45 CFR § 164.501.
"PHI" significa Informações de Saúde Protegidas conforme definido em 45 CFR § 160.103.
"ePHI" significa Informações de Saúde Protegidas Eletrônicas.
"Incidente de Segurança" terá o significado em 45 CFR § 164.304.
"Subcontratado" terá o significado em 45 CFR § 160.103.

---

SEÇÃO 2: OBRIGAÇÕES DO ASSOCIADO COMERCIAL

2.1 Usos e Divulgações Permitidas. O Associado Comercial só deve usar ou divulgar PHI
conforme permitido ou exigido por este BAA, pelo acordo de serviço subjacente ou conforme
Exigido por Lei.

2.2 Salvaguardas. O Associado Comercial deve implementar salvaguardas administrativas,
físicas e técnicas que razoavelmente e apropriadamente protejam a confidencialidade,
integridade e disponibilidade de ePHI, em conformidade com 45 CFR Parte 164, Subparte C.

[ANOTAÇÃO: Seja específico aqui. Considere adicionar requisitos mínimos
como criptografia AES-256 em repouso, TLS 1.2+ em trânsito, MFA para
acesso administrativo, etc.]

2.3 Reportagem. O Associado Comercial deve relatar à Entidade Coberta:
  (a) Qualquer uso ou divulgação de PHI não fornecida por este BAA
      em [5/10] dias úteis após a descoberta;
  (b) Qualquer Incidente de Segurança em [5/10] dias úteis após a descoberta;
  (c) Qualquer Violação de PHI Desprotegida em [10] dias úteis após a descoberta,
      incluindo as informações exigidas por 45 CFR § 164.410(c).

[ANOTAÇÃO: O padrão HIPAA é 60 dias. Você quer isso mais curto. 10 dias úteis
é agressivo mas alcançável. Algumas organizações vão tão baixo quanto 48 horas
para violações confirmadas.]

2.4 Subcontratados. O Associado Comercial deve celebrar um acordo escrito com
qualquer Subcontratado que crie, receba, mantenha ou transmita PHI em nome do
Associado Comercial, contendo substancialmente as mesmas restrições e condições que este BAA.

2.5 Acesso. O Associado Comercial deve disponibilizar PHI em um Conjunto de Registros Designado
à Entidade Coberta em [15] dias úteis de uma solicitação, para permitir que a Entidade Coberta
cumpra suas obrigações sob 45 CFR § 164.524.

2.6 Emenda. O Associado Comercial deve disponibilizar PHI para emenda e incorporar emendas
a PHI em um Conjunto de Registros Designado conforme direcionado pela Entidade Coberta em [30] dias.

2.7 Contabilização de Divulgações. O Associado Comercial deve documentar e disponibilizar
informações exigidas para uma contabilização de divulgações sob 45 CFR § 164.528.

2.8 Disponibilidade de Registros. O Associado Comercial deve disponibilizar suas práticas
internas, livros e registros relacionados ao uso e divulgação de PHI ao Secretário do HHS
para fins de determinar conformidade.

2.9 Mínimo Necessário. O Associado Comercial deve limitar seu uso, divulgação ou solicitação
de PHI ao mínimo necessário para realizar o propósito pretendido, em conformidade com
45 CFR § 164.502(b).

2.10 Treinamento. O Associado Comercial deve garantir que todos os membros de sua força de trabalho
que manipulam PHI recebam treinamento apropriado em HIPAA na contratação e anualmente depois.

2.11 Relatórios de Auditoria. Mediante solicitação, o Associado Comercial deve fornecer à
Entidade Coberta uma cópia de seu relatório SOC 2 + HIPAA mais recente, certificação HITRUST
ou outro relatório de auditoria de terceira parte independente mutuamente acordado.

---

SEÇÃO 3: USOS E DIVULGAÇÕES PERMITIDAS

3.1 O Associado Comercial pode usar ou divulgar PHI unicamente para fins de executar
os serviços descritos no acordo de serviço subjacente.

3.2 O Associado Comercial pode usar ou divulgar PHI conforme Exigido por Lei.

3.3 O Associado Comercial pode usar PHI para sua administração e gestão adequadas ou
para executar suas responsabilidades legais, desde que as divulgações sejam Exigidas por Lei
ou o Associado Comercial obtenha garantias razoáveis do destinatário.

3.4 O Associado Comercial pode usar PHI para fornecer serviços de Agregação de Dados
conforme permitido por 45 CFR § 164.504(e)(2)(i)(B).

3.5 O Associado Comercial pode desidentificar PHI em conformidade com
45 CFR § 164.514(a)-(c).

---

SEÇÃO 4: OBRIGAÇÕES DA ENTIDADE COBERTA

4.1 A Entidade Coberta deve notificar o Associado Comercial de quaisquer limitações em seu
Aviso de Práticas de Privacidade que possam afetar o uso ou divulgação de PHI pelo Associado Comercial.

4.2 A Entidade Coberta deve notificar o Associado Comercial de quaisquer mudanças em,
ou revogação de, autorização por um Indivíduo.

4.3 A Entidade Coberta deve notificar o Associado Comercial de quaisquer restrições no
uso ou divulgação de PHI acordado pela Entidade Coberta sob 45 CFR § 164.522.

---

SEÇÃO 5: TERMO E RESCISÃO

5.1 Este BAA entrará em vigor a partir da data primeiro escrita acima e continuará até
o acordo de serviço subjacente ser rescindido ou rescindido conforme fornecido aqui.

5.2 A Entidade Coberta pode rescindir este BAA e o acordo de serviço subjacente se
Entidade Coberta determinar que o Associado Comercial violou um termo material deste BAA.

5.3 Após o término, o Associado Comercial deve retornar ou destruir todos os PHI
recebidos da Entidade Coberta ou criados/recebidos em nome da Entidade Coberta. Se
o retorno ou destruição não for viável, o Associado Comercial deve estender as proteções
deste BAA a tal PHI e limitar o uso e divulgação posterior aos fins que tornam o retorno
ou destruição inviável.

---

SEÇÃO 6: DIVERSOS

6.1 Indenização. [Personalize baseado em negociação]
6.2 Seguro. O Associado Comercial deve manter seguro de responsabilidade cibernética
com cobertura mínima de $[VALOR].
6.3 Lei Aplicável. [ESTADO]
6.4 Emenda. Este BAA pode ser emendado apenas por escrito.
6.5 Subsistência. As seções relacionadas ao retorno/destruição de PHI e indenização
devem subsistir à rescisão.

Este é um ponto de partida. Seu advogado de saúde gostará de personalizá-lo com base em seu caso de uso específico, leis estaduais (alguns estados como Califórnia, Texas e Nova York têm requisitos adicionais de privacidade de saúde) e a natureza dos serviços sendo fornecidos.

Erros Comuns que Invalidam um BAA

Revisei dezenas de BAAs ao longo dos anos e esses erros aparecem constantemente:

1. Usar um Modelo Genérico Sem Personalização

Pegar um modelo da internet e assiná-lo sem adaptar os usos e divulgações permitidas ao seu relacionamento real. Um BAA para um provedor de hospedagem em nuvem parece muito diferente de um para um serviço de cobrança.

2. Falhar em Incluir Requisitos de Subcontratados

Pós-2013, isso é obrigatório. Se seu BAA não aborda subcontratados, é deficiente. Vi BAAs de grandes empresas SaaS que completamente omitem isso.

3. Sem Cronograma de Notificação de Violação

Confiar na janela padrão de 60 dias é uma má ideia. Quando você ouve sobre uma violação no dia 59, perdeu tempo crítico de resposta a incidentes. Especifique cronogramas mais curtos.

4. Não Executar BAAs Antes de Compartilhar PHI

Isso parece óbvio, mas acontece o tempo todo. Um desenvolvedor ativa uma nova ferramenta de análise, começa a coletar dados do portal do paciente e ninguém pensa sobre o BAA até meses depois. O PHI já está fluindo. Você já está em violação.

5. Esquecer de Atualizar BAAs

Os regulamentos mudam. Os serviços mudam. Seu BAA de 2019 pode não refletir os requisitos atuais. Revise anualmente no mínimo.

6. Confundir um BAA com um Acordo de Processamento de Dados (DPA)

O DPA da GDPR e o BAA da HIPAA são instrumentos diferentes com requisitos diferentes. Ter um não satisfaz o outro. Se você manipula dados de indivíduos da UE que também são pacientes no sistema dos EUA, você pode precisar de ambos.

Considerações de Implementação Técnica

Como desenvolvedores construindo aplicações de saúde, o BAA tem implicações diretas na sua arquitetura. Aqui está o que o acordo significa na prática:

Requisitos de Infraestrutura

# Exemplo: configuração de serviços AWS elegíveis para HIPAA
# Nem todos os serviços AWS são cobertos pelo seu BAA

# ✅ Coberto pelo BAA AWS
serviços:
  computação: [EC2, ECS, EKS, Lambda, Fargate]
  armazenamento: [S3, EBS, EFS, Glacier]
  banco de dados: [RDS, DynamoDB, Aurora, Redshift]
  rede: [VPC, CloudFront, Route 53, API Gateway]
  segurança: [KMS, CloudTrail, CloudWatch, GuardDuty]

# ❌ NÃO coberto pelo BAA AWS (a partir de 2026)
# Sempre verifique a lista atual em:
# https://aws.amazon.com/compliance/hipaa-eligible-services-reference/

Provedores de nuvem principais — AWS, Google Cloud e Microsoft Azure — todos oferecem BAAs, mas você tem que ativá-los explicitamente. No AWS, você ativa através do AWS Artifact. No Google Cloud, você aceita o BAA através das configurações de sua organização. No Azure, é parte dos Termos de Serviços Online para serviços elegíveis.

Requisitos de Criptografia

Seu BAA provavelmente especifica criptografia. Aqui está como isso funciona na prática:

# Criptografia em repouso - mínimo AES-256
# Criptografia em trânsito - mínimo TLS 1.2

# Exemplo: Criptografando PHI antes do armazenamento em banco de dados
from cryptography.fernet import Fernet
from cryptography.hazmat.primitives import hashes
from cryptography.hazmat.primitives.kdf.pbkdf2 import PBKDF2HMAC
import base64, os

def derive_key(password: bytes, salt: bytes) -> bytes:
    kdf = PBKDF2HMAC(
        algorithm=hashes.SHA256(),
        length=32,  # AES-256
        salt=salt,
        iterations=600_000,  # Recomendação OWASP 2023
    )
    return base64.urlsafe_b64encode(kdf.derive(password))

def encrypt_phi(data: str, key: bytes) -> bytes:
    f = Fernet(key)
    return f.encrypt(data.encode())

Controles de Acesso e Registro de Auditoria

Seu BAA o compromete a implementar controles de acesso e manter registros de auditoria. Cada acesso a PHI deve ser registrado com quem acessou, quando e por quê. Isso não é opcional — é como você demonstra conformidade durante uma auditoria do OCR.

Se você está construindo em Next.js ou outro framework moderno, implemente controle de acesso baseado em funções na camada de API e registro de auditoria como middleware. Não confie em controles do lado do cliente.

Monitoramento e Aplicação de seus BAAs

Ter um BAA assinado é o passo um. Monitorar conformidade é o trabalho contínuo.

Processo de Revisão Anual

1. Inventário de todos os BAAs: Mantenha um registro centralizado de cada BAA ativo, incluindo o nome do associado comercial, serviços fornecidos, tipos de PHI acessados, data efetiva e data da última revisão.
2. Solicitar relatórios de auditoria: Peça relatórios SOC 2 Type II + HIPAA, certificações HITRUST ou avaliações de terceira parte independente equivalentes anualmente.
3. Verificar cadeias de subcontratados: Confirme que seus BAs têm BAAs com seus subcontratados.
4. Atualizar para mudanças regulatórias: Os regulamentos HIPAA evoluem. As modificações propostas do HHS à Regra de Privacidade HIPAA ainda estão sendo finalizadas em 2026 e podem exigir atualizações de BAA.
5. Documentar tudo: Se o OCR vier bater, sua documentação é sua defesa.

Avaliação de Risco

Realize uma avaliação de risco de cada associado comercial com base no volume e sensibilidade de PHI que acessam. Nem todos os relacionamentos de BA carregam risco igual. Seu fornecedor de EHR com acesso a milhões de registros precisa de mais escrutínio que a empresa de destruição de documentos.

Fator de Risco	Risco Baixo	Risco Médio	Risco Alto
Volume de PHI	< 500 registros	500-50.000 registros	> 50.000 registros
Tipo de PHI	Dados desidentificados	Conjunto de dados limitado	PHI completo com SSN
Tipo de Acesso	Armazenamento apenas criptografado	Acesso de leitura	Acesso de leitura/escrita
Localização	On-premises, apenas EUA	Nuvem dos EUA	Multi-região/offshore
Relatório de Auditoria	SOC 2 Type II atual	SOC 2 Type I	Sem auditoria independente

Requisitos de BAA por Tipo de Fornecedor

Aqui está um detalhamento prático dos relacionamentos comuns de fornecedor e seus requisitos de BAA:

Tipo de Fornecedor	BAA Obrigatório?	Armadilhas Comuns
Hospedagem em nuvem (AWS, GCP, Azure)	Sim	Deve ativar explicitamente; nem todos os serviços são elegíveis
Fornecedor de EHR/EMR	Sim	Verificar cadeia de subcontratados
Serviço de email (se enviando PHI)	Sim	Maioria dos provedores de email padrão não assinam BAAs; usar serviços de email em conformidade com HIPAA
Análise de site	Talvez	Se a tecnologia de rastreamento coleta PHI (IP + condição de saúde), sim
Processador de pagamento	Sim (se vê PHI)	Stripe, por exemplo, tem um BAA para saúde
Agência de desenvolvimento web	Sim (se acessa PHI durante desenvolvimento)	Usar dados de teste sintéticos para evitar esse requisito durante desenvolvimento
Armazenamento/destruição de documentos	Sim	Frequentemente negligenciado
Assessoria jurídica	Sim (se acessa PHI)	Advogados não são automaticamente isentos
Serviço de atendimento/telefone	Sim	Eles estão ouvindo PHI em chamadas
Ferramentas de IA/ML	Sim	Uma área em rápida evolução — seja muito cuidadoso com ferramentas baseadas em LLM

Para desenvolvimento web especificamente, se estamos construindo um portal de saúde com CMS headless na Social Animal, estruturamos projetos para minimizar exposição de PHI durante o desenvolvimento. Dados de teste sintéticos, isolamento de ambiente e ambientes de staging livres de PHI significa que muitas vezes podemos evitar a necessidade de BAAs para a fase de desenvolvimento enquanto ainda entregamos sistemas prontos para HIPAA na produção.

Perguntas Frequentes

O que é um Acordo de Associado Comercial HIPAA? Um BAA é um contrato legalmente obrigatório sob HIPAA (45 CFR § 164.504(e)) entre uma entidade coberta e qualquer terceira parte que cria, recebe, mantém ou transmite informações de saúde protegidas em nome da entidade coberta. Ele estabelece o que o associado comercial pode e não pode fazer com PHI, requer salvaguardas apropriadas e define procedimentos de notificação de violação. Sem um, ambas as partes estão em violação de HIPAA independentemente de uma violação realmente ocorrer.

Quem é responsável por iniciar o BAA — a entidade coberta ou o associado comercial? A obrigação legal recai sobre a entidade coberta para garantir que BAAs estejam em vigor com todos os associados comerciais. No entanto, na prática, muitos associados comerciais (especialmente fornecedores de SaaS) têm BAAs padrão prontos. Qualquer parte pode iniciar a conversa, mas a entidade coberta carrega o risco regulatório se um BAA não existir. Os associados comerciais também têm obrigação de garantir que BAAs estejam em vigor com seus próprios subcontratados.

Posso usar o modelo de BAA do HHS como está? O HHS publicou um modelo de BAA atualizado que é um ponto de partida sólido, mas é explicitamente descrito como um modelo — não um documento genérico. Você deve personalizá-lo para seu relacionamento, serviços, tipos de PHI e perfil de risco específicos. Áreas principais para personalizar incluem cronogramas de notificação de violação (o modelo HHS usa o máximo de 60 dias, que a maioria das organizações encurta), requisitos de segurança específicos e termos de indenização. Sempre tenha um advogado de saúde revisar sua versão final.

O que acontece se um associado comercial viola o BAA? A entidade coberta deve tomar medidas razoáveis para remediar a violação. Se a violação não pode ser curada, a entidade coberta deve rescindir o BAA e o contrato subjacente, ou se o término não for viável, relatar o problema ao OCR. Além das ressarcimentos contratuais, o associado comercial enfrenta responsabilidade HIPAA direta desde a Regra Onibus de 2013 — significando que o OCR pode investigar e penalizar o BA diretamente. As penalidades variam de $141 a $2.134.831 por categoria de violação por ano (montantes ajustados de 2026), mais penalidades criminais potenciais por violações intencionais.

Um desenvolvedor web ou agência precisa de um BAA? Depende de se o desenvolvedor acessa, armazena ou transmite PHI. Se você está construindo um portal do paciente e seu ambiente de desenvolvimento usa dados reais de pacientes, sim — você precisa de um BAA. Se você está construindo o aplicativo mas usando dados de teste sintéticos e nunca tocando em PHI real, você provavelmente não precisa de um para a fase de desenvolvimento. No entanto, a hospedagem em produção e qualquer serviço que manipule PHI em produção absolutamente exigem BAAs. É por isso que estratégias de isolamento de ambiente e dados sintéticos importam durante desenvolvimento de aplicações de saúde.

Com que frequência BAAs devem ser revisados e atualizados? No mínimo, anualmente. Você também deve revisar BAAs sempre que houver uma mudança material nos serviços sendo fornecidos, mudança em regulamentos aplicáveis, incidente de segurança envolvendo o associado comercial ou mudança na cadeia de subcontratados do BA. O HHS propôs atualizações à Regra de Privacidade HIPAA que, quando finalizadas, provavelmente exigirão atualizações a BAAs existentes. Mantenha um lembrete no calendário e construa revisão de BAA em seu fluxo de trabalho de conformidade anual.

Preciso de um BAA com meu provedor de nuvem mesmo se criptografar tudo? Sim. A criptografia não elimina o requisito de BAA. Mesmo que a PHI seja criptografada e o provedor de nuvem não possa lê-la, o provedor ainda está mantendo ePHI. AWS, Google Cloud e Azure todos fornecem BAAs — você só precisa ativá-los explicitamente. A uma exceção estreita é a "exceção de conduit" para entidades que meramente transportam dados (como um ISP), mas provedores de nuvem que armazenam dados não se qualificam para a exceção de conduit.

Qual é a diferença entre um BAA e um Acordo de Processamento de Dados (DPA)? Um BAA é um requisito dos EUA HIPAA governando informações de saúde protegidas. Um DPA é tipicamente um requisito GDPR governando dados pessoais de indivíduos da UE/EEA. Eles servem fins legais relacionados mas diferentes sob frameworks regulatórios diferentes. Ter um DPA não satisfaz o requisito de BAA e vice-versa. Se sua organização manipula dados de saúde que caem sob ambos HIPAA e GDPR — por exemplo, um sistema de saúde dos EUA com pacientes da UE — você pode precisar de ambos os acordos com o mesmo fornecedor. Alguns fornecedores oferecem acordos combinados, mas certifique-se de que cada requisito regulatório é independentemente satisfeito.