Para nuestros clientes del sector salud: HIPAA y Acuerdos de socios comerciales (BAA)
Con más de 900 clientes en el sector de la atención médica, estamos plenamente conscientes de que el panorama de la privacidad y la regulación de datos está en constante evolución, por lo que queremos refrendar ante ti, que eres nuestro cliente, nuestro compromiso de cumplir con todas las leyes y regulaciones aplicables.
A diferencia de otros proveedores con los que puedes estar acostumbrado a trabajar, Sprout Social no está diseñado para cumplir con la HIPAA. Sin Guardian, y de acuerdo con nuestros socios de redes sociales, los Términos de Sprout Social Condiciones de servicio de Sprout Social prohíben a los clientes compartir, recopilar, transmitir o almacenar información confidencial, incluida la información médica protegida (PHI, por sus siglas en inglés) a través de la plataforma.
Sprout Social se aloja completamente en la nube: la plataforma no accede a tu red local ni se conecta a ningún sistema de registros médicos electrónicos. Todos los datos cuyo tratamiento se realiza a través de Sprout Social se cifran tanto en tránsito como durante la inactividad. Sprout Social debe considerarse un encargado del tratamiento de datos, al ampliar la funcionalidad de las redes sociales nativas para centralizar las interacciones con tus clientes.
Nos tomamos muy en serio esta responsabilidad y nuestro compromiso con nuestros socios de redes sociales.
¿Cómo cambia la recopilación de PHI con Guardian?
Guardian by Sprout Social, an add-on product, allows customers to securely collect PHI using a vetted third-party vendor through Secure Forms.
Todos los datos que se procesan a través de nuestro proveedor externo están encriptados tanto en tránsito como en reposo.
This functionality is specifically designed for our healthcare customers, enabling them to efficiently and seamlessly engage on social while drastically reducing risk, as sensitive data is never passed through or stored by Sprout Social or network partners.
Sin Guardian, ¿por qué Sprout Social prohíbe datos confidenciales, como PHI, directamente en su plataforma?
Las redes sociales no están diseñadas para cumplir con las leyes que rigen la información personal de salud y otros datos confidenciales. Hasta donde sabemos, las redes sociales no firman un BAA y sus condiciones de uso se eximen de responsabilidad por todo el contenido de sus plataformas. Como tal, nuestros acuerdos de asociación con las redes sociales requieren que prohibamos el tratamiento de información confidencial, incluida la información personal de salud, en nuestra plataforma.
Similar to Sprout Social, our competitors in the social media management space also prohibit their customers from processing sensitive data, including PHI, on their platforms. Ultimately, the consensus across the social media industry is that social media platforms are not appropriate forums for the direct collection of sensitive data like PHI.
¿Cuál es la postura de Sprout acerca de la HIPAA y la firma de Acuerdos de socios comerciales (BAA)?
In early 2023, Sprout Social formed a dedicated Healthcare account team to better understand and address the challenges facing major health systems. What we’ve uncovered is that our healthcare customers are struggling with the intersection of social media and HIPAA, el boletín emitido en diciembre de 2022 por la Oficina de Derechos Civiles (OCR, por sus siglas en inglés) sobre tecnologías de seguimiento y los mandatos de BAA de los equipos de seguridad y privacidad.
Following that review, we began offering a tailored BAA scoped to inadvertent uploading of PHI by a social media user. And, in 2025, we expanded our Secure Forms by Guardian product offering to support PHI leveraging an updated BAA setting out the relationship between customers, Sprout, and our secure third-party vendor (with whom Sprout has signed a Business Associate Subcontractor Agreement or BASA).
By reminding your social media users that they should not share sensitive information directly on social media, and leveraging Secure Forms by Guardian (including signing a BAA with Sprout if you intend to collect PHI via Secure Forms), you can significant reduce risk to your users while also building trust with them.
- Tailored BAA Purpose: The BAA is scoped to the nature and limited risk profile of the core Sprout Social services. It is leveraged in case there is inadvertent uploading of PHI by a social media user that your organization cannot control. It provides coverage and clear procedures for handling this rare, accidental exposure.
- BAA & Guardian Secure Forms: The provisions of this tailored BAA regarding inadvertent PHI are not relevant for data transmitted via Secure Forms. Because Secure Forms use a separate, secure vendor that doesn't involve the Sprout Social platform in data processing, the risk of inadvertent PHI exposure to Sprout Social is eliminated in that specific workflow.
¿Qué tipos de datos procesa Sprout Social?
La gran mayoría de los datos procesados por Sprout Social ya están disponibles públicamente. Como encargado del procesamiento, Sprout Social recupera información de las cuentas de redes sociales que eliges para conectarte a nuestra plataforma. Esto significa que la información que compartes con Sprout Social ya existe en tus cuentas de redes sociales. Para obtener más información sobre los datos procesados por Sprout Social y los datos recibidos de las redes sociales, descarga aquí nuestro Compromiso de privacidad de datos aquí.
Si somos una organización de atención médica, ¿cómo podemos usar Sprout Social de manera segura?
Para ayudar a los clientes del sector de la salud con sus obligaciones de cumplimiento normativo, hemos diseñado varios métodos y configuraciones de productos (descritos a continuación) que minimizan la probabilidad de recibir datos confidenciales, como información personal de salud en las redes sociales. Nuestros equipos de ventas e ingeniería de soluciones pueden analizar cada opción a detalle durante el proceso de contratación. Nuestros equipos de soporte e integración también pueden ayudar a habilitar estas opciones durante la incorporación.
- Secure Forms (through Guardian) – Secure Forms enables customers to collect necessary PHI directly from users, leveraging a secure third-party platform. This information is never processed or retained by the Sprout Social platform.
- BAA – Sign a BAA with Sprout (either to cover inadvertent sharing of PHI by your users, or to cover intended sharing leveraging Secure Forms)
- Descargos de responsabilidad del perfil. Los clientes pueden agregar un descargo de responsabilidad a sus perfiles sociales para solicitar que los usuarios de las redes sociales se abstengan de compartir cualquier información de atención médica y para informarles a dónde dirigir dicha información
- Descargo de responsabilidad de mensaje directo. De manera similar, los clientes pueden agregar un descargo de responsabilidad que aparezca automáticamente cuando los usuarios de las redes sociales comiencen a redactar un mensaje directo en su perfil. Por ejemplo, el descargo de responsabilidad puede decir “Gracias por comunicarte con nosotros. Ten en cuenta que no podemos responder preguntas médicas ni proporcionar asesoramiento médico a través de las redes sociales. Responderemos a cualquier otra pregunta en breve”.
- Chatbots. Nuestra plataforma proporciona una herramienta de creación de chatbots que puede redirigir a los usuarios de las redes sociales a una dirección de correo electrónico u otro canal seguro para conversaciones relacionadas con la atención médica.
- Entrada inteligente. Nuestra Entrada inteligente puede configurarse para etiquetar automáticamente los mensajes que pueden contener información de atención médica, y enrutarlos a una carpeta para su revisión y eliminación.
- Roles y permisos. Los clientes pueden designar roles y permisos de usuario que restrinjan el acceso a perfiles y carpetas de etiquetas, o para evitar que los usuarios respondan a los mensajes de los clientes por completo.
- Respuestas guardadas. Los clientes pueden guardar respuestas escritas previamente que se pueden utilizar para responder rápidamente a los clientes y redirigir la conversación a un canal seguro para conversaciones relacionadas con la atención médica.
Preguntas frecuentes
¿Sprout Social se conecta a nuestra red local o a cualquiera de nuestros otros sistemas?
No. Sprout Social está completamente alojado en la nube en Amazon Web Services (AWS) y no accede a tu red local.
¿Sprout Social cifra los datos que recibe y transmite?
Sí, todos los datos se almacenan mezclados, separados lógicamente y cifrados en inactividad mediante AES-256 o superior, incluidas las copias de seguridad. Toda comunicación en redes públicas con la aplicación y la API de Sprout Social se realiza a través de HTTPS con TLS 1.2 o superior.
¿Cómo almacena y conserva Sprout Social los datos?
Under Sprout Social’s data retention policy, we may retain customer data for a period of 13 months from the date of cancellation for the purposes of account reactivation. Customers can delete data on a self service basis within the platform. After termination, Sprout Social will delete customer data promptly upon written request. Data submitted via Guardian’s Secure Forms is maintained entirely within secure third-party storage. Sprout Social never accesses, views, or retains this information.
¿Dónde puedo encontrar información sobre las normas de seguridad de Sprout Social?
La información detallada sobre nuestras normas de seguridad está disponible aquí. La información sobre nuestras certificaciones de seguridad está disponible en nuestro portal de confianza del cliente. Por último, nuestro DPA incluye nuestro anexo de seguridad estándar que se incorpora a todos los acuerdos con los clientes.
¿Sprout recopila las direcciones IP de los usuarios de las redes sociales?
No. Las redes sociales no nos proporcionan las direcciones IP de los usuarios de las redes sociales. Si realizamos el procesamiento de un mensaje de redes sociales de uno de tus pacientes o clientes, no recibiremos, procesaremos ni almacenaremos su dirección IP. Como la mayoría de las aplicaciones basadas en la nube, recibimos las direcciones IP de las personas que inician sesión en la plataforma de Sprout Social con credenciales de Sprout Social (es decir, los miembros de tu equipo de administración de redes sociales).
¿Secure Forms de Guardian cumple con la HIPAA?
Sprout Social can’t advise customers on legal compliance. However, we conducted a thorough review of our Secure Form vendor using the Security Risk Assessment (SRA) tool released by the U.S Department of Health and Human Services Office for Civil Rights (OCR). This framework helped us evaluate the vendor’s security controls and ensure the solution supports HIPAA compliance standards.