Para nuestros clientes del sector salud: HIPAA y Acuerdos de socios comerciales (BAA)
Con más de 900 clientes en el sector de la atención médica, estamos plenamente conscientes de que el panorama de la privacidad y la regulación de datos está en constante evolución, por lo que queremos refrendar ante ti, que eres nuestro cliente, nuestro compromiso de cumplir con todas las leyes y regulaciones aplicables.
A diferencia de otros proveedores con los que puedes estar acostumbrado a trabajar, Sprout Social no está diseñado para cumplir con la HIPAA. Sin Guardian, y de acuerdo con nuestros socios de redes sociales, los Términos de Sprout Social Condiciones de servicio de Sprout Social prohíben a los clientes compartir, recopilar, transmitir o almacenar información confidencial, incluida la información médica protegida (PHI, por sus siglas en inglés) a través de la plataforma.
Sprout Social se aloja completamente en la nube: la plataforma no accede a tu red local ni se conecta a ningún sistema de registros médicos electrónicos. Todos los datos cuyo tratamiento se realiza a través de Sprout Social se cifran tanto en tránsito como durante la inactividad. Sprout Social debe considerarse un encargado del tratamiento de datos, al ampliar la funcionalidad de las redes sociales nativas para centralizar las interacciones con tus clientes.
Nos tomamos muy en serio esta responsabilidad y nuestro compromiso con nuestros socios de redes sociales.
¿Cómo cambia la recopilación de PHI con Guardian?
Guardian de Sprout Social, un producto complementario, permite a los clientes recopilar PHI de forma segura mediante un proveedor externo verificado a través de los Formularios seguros.
Todos los datos que se procesan a través de nuestro proveedor externo están encriptados tanto en tránsito como en reposo.
Esta funcionalidad está diseñada específicamente para nuestros clientes del sector de atención médica, lo que les permite participar de forma eficiente y fluida en las redes sociales mientras reducen el riesgo significativamente, ya que ni Sprout Social ni sus socios de red transmiten o almacenan los datos confidenciales.
Sin Guardian, ¿por qué Sprout Social prohíbe datos confidenciales, como PHI, directamente en su plataforma?
Las redes sociales no están diseñadas para cumplir con las leyes que rigen la información personal de salud y otros datos confidenciales. Hasta donde sabemos, las redes sociales no firman un BAA y sus condiciones de uso se eximen de responsabilidad por todo el contenido de sus plataformas. Como tal, nuestros acuerdos de asociación con las redes sociales requieren que prohibamos el tratamiento de información confidencial, incluida la información personal de salud, en nuestra plataforma.
Al igual que Sprout Social, nuestros competidores en el espacio de administración de redes sociales también prohíben a sus clientes procesar datos confidenciales, incluida la PHI, en sus plataformas. En definitiva, el consenso en toda la industria de las redes sociales es que las plataformas de redes sociales no son foros adecuados para la recopilación directa de datos confidenciales como PHI.
¿Cuál es la postura de Sprout acerca de la HIPAA y la firma de Acuerdos de socios comerciales (BAA)?
A comienzos de 2023, Sprout Social formó un equipo de cuenta exclusivo para el sector de atención médica, a fin de entender mejor cuáles eran los principales desafíos de los sistemas de atención médica y cómo abordarlos. Descubrimos que nuestros clientes del sector de la atención médica están teniendo dificultades con la intersección entre las redes sociales y la HIPAA, el boletín emitido en diciembre de 2022 por la Oficina de Derechos Civiles (OCR, por sus siglas en inglés) sobre tecnologías de seguimiento y los mandatos de BAA de los equipos de seguridad y privacidad.
A partir de esa revisión, comenzamos a ofrecer un BAA personalizado para la carga involuntaria de PHI por parte de un usuario de redes sociales. Y, en 2025, ampliamos nuestra oferta de productos Secure Forms de Guardian para complementar la PHI aprovechando un BAA actualizado que establece la relación entre los clientes, Sprout y nuestro proveedor externo seguro (con el que Sprout ha firmado un acuerdo de subcontratistas de socios comerciales o BASA).
Al recordarles a tus usuarios de redes sociales que no deben compartir información confidencial directamente en las redes sociales, y aprovechando Secure Forms de Guardian (incluida la firma de un BAA con Sprout si tu intención es recopilar PHI a través de Secure Forms), puedes reducir significativamente el riesgo para tus usuarios y, al mismo tiempo, generar confianza con ellos.
- Propósito del BAA personalizado: El BAA está diseñado para ajustarse a la naturaleza y al perfil de riesgo limitado de los servicios principales de Sprout Social. Se utiliza en caso de que un usuario de redes sociales suba involuntariamente PHI que tu organización no pueda controlar. Ofrece cobertura y procedimientos claros para manejar esta exposición inusual y accidental.
- Los BBA y Secure Forms de Guardian: Las disposiciones de este BAA personalizado con respecto a la exposición involuntaria de información sanitaria protegida (PHI) no son relevantes para los datos que se transmiten a través de Secure Forms. Debido a que Secure Forms usa un proveedor seguro aparte que no involucra a la plataforma de Sprout Social en el procesamiento de datos, el riesgo de la exposición involuntaria de PHI a Sprout Social se elimina en ese flujo de trabajo específico.
¿Qué tipos de datos procesa Sprout Social?
La gran mayoría de los datos procesados por Sprout Social ya están disponibles públicamente. Como encargado del procesamiento, Sprout Social recupera información de las cuentas de redes sociales que eliges para conectarte a nuestra plataforma. Esto significa que la información que compartes con Sprout Social ya existe en tus cuentas de redes sociales. Para obtener más información sobre los datos procesados por Sprout Social y los datos recibidos de las redes sociales, descarga aquí nuestro Compromiso de privacidad de datos aquí.
Si somos una organización de atención médica, ¿cómo podemos usar Sprout Social de manera segura?
Para ayudar a los clientes del sector de la salud con sus obligaciones de cumplimiento normativo, hemos diseñado varios métodos y configuraciones de productos (descritos a continuación) que minimizan la probabilidad de recibir datos confidenciales, como información personal de salud en las redes sociales. Nuestros equipos de ventas e ingeniería de soluciones pueden analizar cada opción a detalle durante el proceso de contratación. Nuestros equipos de soporte e integración también pueden ayudar a habilitar estas opciones durante la incorporación.
- Formularios seguros (a través de Guardian): Los Formularios seguros permiten a los clientes recopilar la PHI necesaria de los usuarios y aprovechar una plataforma externa segura. La plataforma de Sprout Social nunca procesa ni retiene esta información.
- BAA – Firma un BAA con Sprout (ya sea para cubrir el uso compartido involuntario de PHI por parte de tus usuarios o para cubrir el uso compartido intencional aprovechando Secure Forms)
- Descargos de responsabilidad del perfil. Los clientes pueden agregar un descargo de responsabilidad a sus perfiles sociales para solicitar que los usuarios de las redes sociales se abstengan de compartir cualquier información de atención médica y para informarles a dónde dirigir dicha información
- Descargo de responsabilidad de mensaje directo. De manera similar, los clientes pueden agregar un descargo de responsabilidad que aparezca automáticamente cuando los usuarios de las redes sociales comiencen a redactar un mensaje directo en su perfil. Por ejemplo, el descargo de responsabilidad puede decir “Gracias por comunicarte con nosotros. Ten en cuenta que no podemos responder preguntas médicas ni proporcionar asesoramiento médico a través de las redes sociales. Responderemos a cualquier otra pregunta en breve”.
- Chatbots. Nuestra plataforma proporciona una herramienta de creación de chatbots que puede redirigir a los usuarios de las redes sociales a una dirección de correo electrónico u otro canal seguro para conversaciones relacionadas con la atención médica.
- Entrada inteligente. Nuestra Entrada inteligente puede configurarse para etiquetar automáticamente los mensajes que pueden contener información de atención médica, y enrutarlos a una carpeta para su revisión y eliminación.
- Roles y permisos. Los clientes pueden designar roles y permisos de usuario que restrinjan el acceso a perfiles y carpetas de etiquetas, o para evitar que los usuarios respondan a los mensajes de los clientes por completo.
- Respuestas guardadas. Los clientes pueden guardar respuestas escritas previamente que se pueden utilizar para responder rápidamente a los clientes y redirigir la conversación a un canal seguro para conversaciones relacionadas con la atención médica.
Preguntas frecuentes
¿Sprout Social se conecta a nuestra red local o a cualquiera de nuestros otros sistemas?
No. Sprout Social está completamente alojado en la nube en Amazon Web Services (AWS) y no accede a tu red local.
¿Sprout Social cifra los datos que recibe y transmite?
Sí, todos los datos se almacenan mezclados, separados lógicamente y cifrados en inactividad mediante AES-256 o superior, incluidas las copias de seguridad. Toda comunicación en redes públicas con la aplicación y la API de Sprout Social se realiza a través de HTTPS con TLS 1.2 o superior.
¿Cómo almacena y conserva Sprout Social los datos?
De acuerdo con la política de retención de datos de Sprout Social, podemos conservar los datos de los clientes durante un período de 13 meses a partir de la fecha de cancelación con el fin de reactivar la cuenta. Los clientes pueden eliminar datos de forma autogestionada dentro de la plataforma. Después de la rescisión del acuerdo, Sprout Social eliminará los datos del cliente de inmediato, previa solicitud por escrito. Los datos enviados a través de los Formularios seguros de Guardian se mantienen en su totalidad en un almacenamiento seguro externo. Sprout Social nunca accede a esta información, la ve ni la conserva.
¿Dónde puedo encontrar información sobre las normas de seguridad de Sprout Social?
La información detallada sobre nuestras normas de seguridad está disponible aquí. La información sobre nuestras certificaciones de seguridad está disponible en nuestro portal de confianza del cliente. Por último, nuestro Anexo sobre procesamiento de datos incluye nuestro anexo de seguridad estándar que se incorpora a todos los acuerdos con los clientes.
¿Sprout recopila las direcciones IP de los usuarios de las redes sociales?
No. Las redes sociales no nos proporcionan las direcciones IP de los usuarios de las redes sociales. Si realizamos el procesamiento de un mensaje de redes sociales de uno de tus pacientes o clientes, no recibiremos, procesaremos ni almacenaremos su dirección IP. Como la mayoría de las aplicaciones basadas en la nube, recibimos las direcciones IP de las personas que inician sesión en la plataforma de Sprout Social con credenciales de Sprout Social (es decir, los miembros de tu equipo de administración de redes sociales).
¿Secure Forms de Guardian cumple con la HIPAA?
Sprout Social no puede asesorar a los clientes sobre el cumplimiento legal. Sin embargo, realizamos una revisión exhaustiva de nuestro proveedor de los Formularios seguros utilizando la herramienta Evaluación de riesgos de seguridad (SRA, por sus siglas en inglés) publicada por la Oficina de Derechos Civiles (OCR, por sus siglas en inglés) del Departamento de Salud y Servicios Humanos de los Estados Unidos. Este marco nos ayudó a evaluar los controles de seguridad del proveedor y a garantizar que la solución cumpla con las normas de la HIPAA.