Aviso de Privacidad y Seguridad de TEFCA de HealthEx (Adenda)

HDX Labs, Inc. (dba HealthEx)
Fecha de entrada en vigor actualizada: 11 de octubre de 2025

Link to this notice in English here


1. Propósito y Alcance

Este Aviso de Privacidad y Seguridad de HealthEx (“Aviso”) describe cómo HDX Labs, Inc., que opera como HealthEx (“HDX”, “HealthEx”, “nosotros” o “nuestro”) puede:
• Acceder, intercambiar, usar, divulgar y almacenar su información identificable individualmente como Proveedor de Servicios de Acceso Individual en relación con nuestra conexión al Marco de Intercambio Confiable y Acuerdo Común (“TEFCA”); y
• Sus derechos con respecto a dicha información identificable individualmente.

La información identificable individualmente es información que lo identifica o para la cual existe una base razonable para creer que podría identificarlo. La información desidentificada no es información identificable individualmente. Este Aviso es adicional a la Política de Privacidad de HealthEx (https://www.healthex.io/privacy-policy) aplicable a su uso de nuestra Plataforma. En la medida en que este Aviso entre en conflicto con nuestra Política de Privacidad general de HealthEx, este Aviso prevalece con respecto a la información identificable individualmente que recopilamos sobre usted a través de nuestra conexión TEFCA.

Este Aviso tiene la intención de cumplir con los requisitos del Departamento de Salud y Servicios Humanos de EE. UU. (HHS), del Subsecretario de Política Tecnológica (ASTP) / la Oficina del Coordinador Nacional de TI en Salud (ONC) y de la Entidad Coordinadora Reconocida (RCE) con respecto a nuestra participación en TEFCA como Proveedor de Servicios de Acceso Individual (Proveedor IAS). Tenga en cuenta que este Aviso se limita a nuestra participación en TEFCA como Proveedor IAS. Otros avisos y políticas pueden aplicar a cómo se procesa su información identificable individualmente fuera de TEFCA o si procesamos su información identificable individualmente en nombre de su proveedor de atención médica, plan de salud u otro tercero que también participa en TEFCA.


2. Quiénes Somos y Qué es TEFCA

Sobre HealthEx. HealthEx es una entidad que opera como una plataforma moderna de gestión de derechos de datos que permite a pacientes y organizaciones de salud gestionar el acceso a datos, el consentimiento y el cumplimiento de manera eficiente y transparente (la “Plataforma”). Nuestra Plataforma proporciona:
• Un Portal de Gestión de Derechos de Datos del Paciente para administrar y gestionar consentimientos;
• Una rampa de acceso a TEFCA para la recuperación completa de historiales médicos a través de Redes de Información de Salud Calificadas (QHIN), como MedAllies; y
• Un Motor Empresarial de Políticas de Datos para acelerar revisiones conformes de solicitudes de datos.
Operamos con infraestructura en la nube alojada por AWS e implementamos defensas en capas en sistemas y servicios.

¿Qué es TEFCA? TEFCA es un marco contractual que respalda el intercambio de información de salud a nivel nacional entre y entre QHIN y sus participantes y subparticipantes. Una QHIN es una empresa de tecnología que ha sido aprobada por un proceso establecido por el gobierno para proporcionar la columna vertebral técnica para apoyar el intercambio electrónico de información de salud. Los participantes y subparticipantes en TEFCA incluyen proveedores de atención médica, planes de salud, autoridades de salud pública y agencias gubernamentales, proveedores de servicios de acceso individual y las personas y entidades que los apoyan. Puede obtener más información sobre los tipos de personas y entidades que participan en TEFCA leyendo este Procedimiento Operativo Estándar (SOP): Tipos de Entidades que Pueden ser Participantes o Subparticipantes en TEFCA.

TEFCA permite que QHIN, participantes y subparticipantes participen en diferentes casos de uso llamados propósitos de intercambio. Uno de esos propósitos de intercambio incluye brindar a los individuos acceso a su información de salud, llamado Servicios de Acceso Individual (“IAS”). Las organizaciones que tienen una relación contractual directa con individuos para apoyar su derecho de acceso se denominan Proveedores de Servicios de Acceso Individual (“Proveedores IAS”). HealthEx es un Proveedor IAS con respecto a ciertos servicios IAS que ofrece a través de su conexión TEFCA.

Si está interesado en obtener más información sobre TEFCA, lea esta Hoja Informativa sobre cómo los individuos pueden acceder a su información de salud mediante TEFCA: https://rce.sequoiaproject.org/rce-tefca-for-individuals/.


3. Compromisos de Privacidad

HealthEx se adhiere a las leyes de privacidad federales y estatales aplicables y a los requisitos de privacidad y seguridad de TEFCA cuando procesamos su información identificable individualmente a través de nuestra conexión TEFCA. Específicamente, nos comprometemos a lo siguiente:

Consentimiento IAS: Antes de participar en el intercambio de datos dirigido por el paciente a través de nuestra conexión TEFCA, primero le solicitaremos su consentimiento expreso, escrito e informado. Llamamos a este consentimiento nuestro Consentimiento de Servicios de Acceso Individual (“Consentimiento IAS”). Podemos recopilar este Consentimiento IAS electrónicamente o en papel. Puede revocar su Consentimiento IAS en cualquier momento según se explica más adelante en este Aviso (consulte la Sección 10). Si revoca su Consentimiento IAS, no podrá acceder a nuestros servicios IAS a través de nuestra conexión TEFCA después de eso, a menos que firme un nuevo Consentimiento IAS.
Confidencialidad: Utilizamos esfuerzos comercialmente razonables para proteger la información identificable individualmente contra acceso, modificación, uso o destrucción no autorizados o ilegales.
Minimización de Datos: Solo recopilamos y usamos la cantidad mínima necesaria de información identificable individualmente según sea necesario para cumplir con los usos permitidos descritos en este Aviso.
Limitación del Propósito de Intercambio: Cuando la información identificable individualmente se accede, utiliza o divulga a través de TEFCA, solo se hace para los propósitos de intercambio permitidos por TEFCA.
Derechos del Individuo: Los individuos pueden acceder, solicitar corrección o solicitar la eliminación de su información identificable individualmente según se explica en este Aviso (consulte la sección sobre Derechos del Individuo e Información de Contacto y nuestra Política de Privacidad de HealthEx).
Transparencia: Nuestras prácticas y responsabilidades se comunican a través de políticas, acuerdos y notificaciones al usuario.

Nuestra Política de Privacidad completa de HealthEx se encuentra aquí: https://healthex.io/privacy-policy.


4. Medidas de Seguridad

HealthEx implementa salvaguardas de seguridad alineadas con estándares de la industria y controles SOC 2 para proteger la información identificable individualmente, incluyendo:
Controles de Acceso: Acceso basado en roles, privilegio mínimo y autenticación multifactor (MFA) son requeridos para todos los sistemas con información identificable individualmente.
Cifrado: Toda la información identificable individualmente se cifra en tránsito y en reposo utilizando medidas de cifrado estándar de la industria. Hacemos esto independientemente de si obtuvimos la información identificable individualmente a través de nuestra conexión TEFCA.
Pruebas de Seguridad: Se realizan pruebas de penetración anuales por terceros.
Monitoreo del Sistema: Monitoreamos continuamente anomalías mediante herramientas de monitoreo de infraestructura y sistemas de detección de intrusiones (IDS).
Respuesta a Incidentes: Mantenemos un plan formal de respuesta a incidentes, incluidos procedimientos de escalamiento 24/7 y procesos de revisión posterior al incidente.
Continuidad del Negocio: Los planes de recuperación ante desastres están documentados y se prueban anualmente.


5. Marco de Cumplimiento

El programa interno de seguridad, privacidad y cumplimiento de HealthEx está estructurado para cumplir o superar los siguientes estándares:
• Criterios de Servicios de Confianza de AICPA (SOC 2 – Seguridad, Disponibilidad, Confidencialidad)
• NIST SP 800-53a (línea base moderada, según la metodología de auditoría de Cacilian)
• Principios de seguridad y privacidad de TEFCA según se definen en los Términos de Participación (ToPs) para Participantes/Subparticipantes y el Procedimiento Operativo Estándar (SOP): Requisitos para Proveedores de Servicios de Acceso Individual (IAS).

Todos los empleados se someten a verificaciones de antecedentes, completan capacitación anual en privacidad y seguridad y firman acuerdos de confidencialidad.


6. Nuestro Uso y Divulgación de su Información Identificable Individualmente como Proveedor IAS

Usos y Divulgaciones Permitidos en TEFCA:
Para brindarle Servicios de Acceso Individual en TEFCA, HealthEx utiliza y divulga su información identificable individualmente a QHIN, sus participantes y subparticipantes, y otras personas y entidades solo cuando lo permite TEFCA, la ley aplicable, la orientación aplicable del HHS y usted. Esto significa que, si usted lo consiente, podemos usar y divulgar su información identificable individualmente a otras personas y entidades que participan en TEFCA o que pueden solicitarla para los siguientes propósitos de intercambio:
• Tratamiento
• Pago
• Operaciones de Atención Médica, incluyendo, sin limitación, coordinación/gestión de la atención, informes HEDIS y reporte de medidas de calidad
• Salud Pública, incluyendo el reporte electrónico de casos y de laboratorios
• Servicios de Acceso Individual (IAS)
• Determinaciones de Beneficios Gubernamentales
• Cualesquiera otros propósitos de intercambio aprobados por ASTP/ONC y RCE según lo permitido o requerido por los Términos de Participación (ToPs) para Participantes/Subparticipantes.

Como Proveedor IAS, el propósito principal de intercambio de HealthEx es Servicios de Acceso Individual o IAS. Eso significa que, con su consentimiento, podemos solicitar su información identificable individualmente para que usted acceda, inspeccione, obtenga o transmita una copia de su información. Sin embargo, podemos participar en otros propósitos de intercambio. Por ejemplo, si usted lo consiente, podemos divulgar su información identificable individualmente a través de TEFCA para cualquiera de los propósitos de intercambio enumerados anteriormente de acuerdo con los requisitos de TEFCA y si la ley aplicable lo permite.

Puede obtener más información sobre los propósitos de intercambio de TEFCA leyendo este Procedimiento Operativo Estándar (SOP): Propósitos de Intercambio (XPs). Tenga en cuenta que el gobierno puede decidir cambiar estos documentos SOP en cualquier momento y que seguiremos la versión más reciente de dichos documentos. También tenga en cuenta que, una vez que una persona o entidad recibe su información identificable individualmente para uno de estos propósitos (como otro participante o subparticipante de TEFCA), puede conservar, usar y volver a divulgar su información identificable individualmente para propósitos permitidos por las leyes, contratos y políticas que les aplican. No tenemos la capacidad de controlar cómo las personas (que no son nuestros empleados o contratistas) que reciben su información identificable individualmente deciden usarla y divulgarla.

Una vez que recibimos su información identificable individualmente de usted, a través de TEFCA o de otros terceros, también debemos informarle que podemos usar y divulgar su información identificable individualmente fuera de TEFCA para los otros usos y divulgaciones permitidos descritos en este Aviso.

Usos y Divulgaciones Permitidos a través de otras Redes/Intercambios de Información de Salud (HIN/HIEs):
Podemos participar en otras HIN/HIEs que apoyan casos de uso similares a los propósitos de intercambio de TEFCA descritos anteriormente. Si lo hacemos, seguiremos las reglas de dichas HIN/HIEs en cuanto a cómo usamos y divulgamos su información identificable individualmente en relación con esas HIN/HIEs.

Otros Usos y Divulgaciones Permitidos:
Fuera de TEFCA u otras HIN/HIEs en las que podamos participar, HealthEx solo usará o divulgará su información identificable individualmente obtenida a través de nuestra conexión TEFCA:
• Para los servicios que le estamos proporcionando;
• Para la gestión y administración adecuadas de nuestro negocio y nuestras responsabilidades legales, como proporcionar, operar, mantener y asegurar nuestra Plataforma;
• Para comunicarnos con usted sobre nuestra Plataforma, incluso enviándole anuncios, actualizaciones, alertas de seguridad y mensajes de soporte y administrativos, y para responder a sus solicitudes, preguntas y comentarios;
• Según lo requiera la ley y en respuesta a procesos legales, como citaciones, órdenes judiciales y requerimientos de cumplimiento de la ley, como se describe más adelante en este Aviso (consulte la Sección 12);
• Con ciertos proveedores, subcontratistas, terceros prestadores de servicios y organizaciones subservicio que nos ayudan con los servicios y con la gestión y administración adecuadas de nuestro negocio y obligaciones legales, como se describe más adelante en este Aviso (consulte la Sección 8);
• Con su consentimiento escrito o verbal o de otro modo según sus indicaciones, incluidos otros terceros que usted haya autorizado explícitamente; y
• Para los otros fines cubiertos en nuestra Política de Privacidad de HealthEx en la medida en que no entren en conflicto con las restricciones expresas de uso y divulgación en este Aviso.

Sin Marketing ni Perfiles:
No tenemos la intención de usar o divulgar la información identificable individualmente que obtenemos a través de nuestra conexión TEFCA para publicidad, elaboración de perfiles u otros fines no autorizados. Solicitaremos su consentimiento antes de usar su información identificable individualmente para dichos fines.

Sin Venta:
No tenemos la intención de vender a terceros la información identificable individualmente que obtenemos a través de nuestra conexión TEFCA. Solicitaremos su consentimiento antes de participar en la venta de su información identificable individualmente.

No somos una Entidad HIPAA, pero estamos Alineados:
La Ley de Portabilidad y Responsabilidad del Seguro de Salud (HIPAA) y sus reglamentos de implementación (colectivamente, “HIPAA”) es una ley federal de privacidad de EE. UU. que protege la información de salud cuando es mantenida por ciertas entidades reguladas por HIPAA. Como Proveedor IAS, HealthEx no está regulado directamente por HIPAA. Pero seguimos los estrictos requisitos de privacidad y seguridad de TEFCA, que se alinean estrechamente con las protecciones de privacidad y seguridad de HIPAA.

Tenga también en cuenta que podemos prestar servicios a entidades reguladas por HIPAA, como proveedores de atención médica y planes de salud. Cuando lo hacemos, la forma en que usamos y divulgamos la información de salud protegida está determinada por nuestros contratos con esas entidades reguladas por HIPAA. Si tiene preguntas sobre cómo su proveedor de atención médica o plan de salud y sus asociados comerciales pueden usar y divulgar su información de salud protegida, lea su Aviso de Prácticas de Privacidad de HIPAA o comuníquese con ellos directamente.

Datos Desidentificados:
Podemos desidentificar y/o agregar información identificable individualmente, incluida la información de salud protegida, de conformidad con los estándares de desidentificación de HIPAA en 45 CFR 164.514(b), en relación con nuestros servicios o para nuestros fines comerciales internos, como crear datos de uso de la aplicación. Los datos de uso de la aplicación reflejan patrones y tendencias generales sobre cómo los usuarios interactúan con nuestra Plataforma (por ejemplo, utilización de funciones, flujos de navegación y métricas de rendimiento), pero no identifican a ningún usuario individual. Utilizamos los datos de uso para analizar, mantener y mejorar la funcionalidad, el rendimiento y la experiencia del usuario de nuestra Plataforma y servicios relacionados, así como para promover nuestro negocio.

También podemos crear, usar y divulgar datos desidentificados si: (1) la ley aplicable lo requiere; o (2) según lo permita la ley aplicable, si usted lo consiente y de conformidad con nuestra Política de Privacidad.

No se Usará en su Contra:
HealthEx nunca usará su información para presentar reclamaciones en su contra, excepto (si corresponde) para cobrar tarifas o costos por los servicios que usted solicitó.


7. Tarifas y Costos

HealthEx apoya el derecho de las personas a acceder a su información de salud y a ejercer sus derechos individuales sin costo para la persona. Sin embargo, si cobráramos a una persona tarifas o costos por nuestros servicios IAS, esas tarifas o costos se incluirán en nuestro sitio web (healthex.io). También nos reservamos el derecho de cobrar tarifas y costos a empresas por servicios prestados a ellas o en su nombre u otros trabajos que podamos realizar para ellas relacionados con educación, verificación de identidad, gestión de consentimientos y entrega de datos.


8. Proveedores, Subcontratistas, Terceros Prestadores de Servicios y Organizaciones Subservicio

Utilizamos proveedores de confianza como Amazon Web Services (AWS) y Azure para infraestructura y alojamiento. Estos proveedores han pasado certificaciones de seguridad estándar de la industria. Las evaluaciones de riesgo de proveedores y las revisiones de subprocesadores se realizan anualmente. También podemos contratar con otros tipos de proveedores, subcontratistas, terceros prestadores de servicios y organizaciones subservicio para ayudarnos a proporcionar los servicios y apoyar la gestión y administración adecuadas de nuestro negocio y responsabilidades legales. Nuestros contratos con ellos exigen que protejan la confidencialidad de la información identificable individualmente.


9. Retención y Eliminación de Datos

Retenemos la información identificable individualmente obtenida a través de nuestra conexión TEFCA durante la duración mínima necesaria (no superior a 72 horas a menos que usted lo solicite explícitamente o la ley lo requiera) para cumplir con los fines permitidos para los que la estamos procesando. Después de este período, su información identificable individualmente se elimina de forma segura de acuerdo con los estándares de la industria y nuestra Política de Retención de Datos. Sin embargo, este requisito de eliminación no se aplica a cualquier información identificable individualmente que pueda estar contenida en nuestros registros de auditoría o para la cual sea técnicamente inviable eliminarla por completo.


10. Derechos del Individuo e Información de Contacto

• Acceder a su información identificable individualmente en cualquier momento a través de nuestros servicios o escribiéndonos como se indica a continuación.
• Descargar su información identificable individualmente en un formato legible por máquina. Por ejemplo, le enviaremos una copia electrónica (PDF) de sus registros cuando use nuestros servicios para que pueda descargarla o guardarla.
• Solicitar correcciones a su información identificable individualmente escribiéndonos a la(s) dirección(es) indicadas a continuación.
• Solicitar la eliminación de su información identificable individualmente (excepto registros de auditoría), a menos que la ley lo prohíba. Puede eliminar su registro clínico completo yendo a la página Mi Cuenta y eligiendo Eliminar sus datos.
• Revocar su Consentimiento IAS en cualquier momento a través de la página "Mis Proyectos" del portal del paciente. Esto es sencillo, electrónico e inmediato. Revocar el Consentimiento IAS que nos dio detiene que sigamos solicitando o divulgando su información identificable individualmente a través de nuestra conexión TEFCA, pero no deshace nuestras solicitudes o divulgaciones previamente autorizadas. Tampoco detiene los usos o divulgaciones que sean requeridos por ley o que estén permitidos por la ley aplicable.
• Ser notificado si sus datos están involucrados en un Incidente IAS. Un “Incidente IAS” es uno de los siguientes: (a) una adquisición, acceso, divulgación o uso no autorizado de información identificable individualmente no cifrada que no califica para una excepción; y (b) otros eventos de seguridad establecidos en el Procedimiento Operativo Estándar (SOP): Notificación de Incidentes de Seguridad TEFCA.

Envíe solicitudes para acceder, corregir o eliminar su información identificable individualmente o para presentar una queja de privacidad o seguridad con nosotros contactándonos en:
Equipo de Seguridad, Cumplimiento y Privacidad de HealthEx
Correo electrónico: security@healthex.io

Dirección postal:
HDX Labs, Inc. (dba HealthEx),
2339 Third St, Unit 41
San Francisco, CA 94107
EE. UU.

Tenga en cuenta que procesamos sus solicitudes dentro de un período razonable. Puede haber casos en los que necesitemos más información de usted para procesar su solicitud de acuerdo con la ley aplicable y que algunas leyes puedan prohibirnos atender una solicitud de eliminación de información identificable individualmente. Documentamos y rastreamos todas las preocupaciones relacionadas con la privacidad según nuestro proceso de respuesta a incidentes.


11. Procesos Legales y Solicitudes de Cumplimiento de la Ley

Si recibimos una citación civil o penal, orden judicial, orden de allanamiento u otra exigencia de divulgación obligatoria o solicitud de cumplimiento de la ley para su información identificable individualmente que obtuvimos en relación con nuestra conexión TEFCA, le notificaremos dentro de los tres (3) días hábiles, a menos que la ley nos lo prohíba (por ejemplo, Ley Patriota).

A menos que la ley lo exija, haremos los mejores esfuerzos para no compartir su información identificable individualmente relacionada con servicios de salud reproductiva o atención de afirmación de género en respuesta a citaciones, órdenes judiciales o solicitudes de cumplimiento de la ley. Sin embargo, tenga en cuenta que puede haber circunstancias en las que estemos obligados por ley a compartir esta información conforme a dicho proceso legal.

En la medida permitida por la ley aplicable, usted tendrá la oportunidad de objetar o solicitar una orden de protección.


12. Cambios a este Aviso

Si realizamos cambios materiales, actualizaremos este Aviso y se lo haremos saber.
Todos los cambios a este Aviso también se publicarán en nuestro sitio web en healthex.io/privacy.
Este Aviso permanece en vigor mientras conservemos su información identificable individualmente que procesamos a través de nuestra conexión TEFCA.

Company

About us

Our platform

Contact us

Blog

Careers

Terms of service

Privacy policy

TEFCA notice

Support

Trust center

Follow

© Copyright 2025. All rights reserved

Company

About us

Our platform

Contact us

Blog

Careers

Terms of service

Privacy policy

TEFCA notice

Support

Trust center

Follow

© Copyright 2025. All rights reserved

Company

About us

Our platform

Contact us

Blog

Careers

Terms of service

Privacy policy

TEFCA notice

Support

Trust center

Follow

© Copyright 2025. All rights reserved