Saltar al contenido principal
Privacidad y Seguridad

Qué es un BAA HIPAA y por qué Brauni firmó uno con Google Cloud y AWS

EEquipo Brauni/28 de marzo de 2026/5 min de lectura
La mascota de Brauni junto a un contrato BAA firmado con sello de candado, conectado a la cadena de proveedor en la nube

Si usas un software clínico, probablemente te preguntes: ¿qué pasa con mis datos cuando están "en la nube"? ¿Quién se hace responsable si algo sale mal? ¿El proveedor de software? ¿El proveedor de infraestructura?

Estas preguntas tienen una respuesta legal concreta en el mundo de la salud: el Business Associate Agreement, o BAA. En este artículo te explicamos qué es y por qué el hecho de que Brauni haya firmado este acuerdo con los dos proveedores de nube más grandes del mundo (Google Cloud y AWS) eleva el estándar de protección para los datos de tus pacientes.

¿Qué es HIPAA?

HIPAA (Health Insurance Portability and Accountability Act) es la ley federal de EE. UU. que fija el estándar de oro global para la protección de datos de salud. Define la PHI (Información de Salud Protegida), que incluye nombres, diagnósticos y notas de sesión - básicamente, todo lo que un profesional de la salud maneja a diario.

Nota

Aunque Brauni cumple con la Ley 25.326 de Protección de Datos Personales en Argentina, adoptamos HIPAA porque sus controles técnicos son mucho más rigurosos para la práctica clínica.

¿Qué es un BAA?

Es un contrato legal vinculante exigido por HIPAA. No es un "término y condición" genérico. Es un compromiso donde el proveedor de infraestructura (Google o AWS) acepta responsabilidad legal sobre:

  1. Cifrar los datos en todo momento
  2. No usar la información para publicidad o analíticas propias
  3. Reportar cualquier incidente de seguridad de forma inmediata
  4. Permitir auditorías constantes de sus centros de datos

¿Qué pasa si no hay BAA?

Sin un BAA, el proveedor de infraestructura no tiene ninguna obligación legal específica sobre los datos de salud que almacena. Podría usar los datos para sus propios fines, no reportar una brecha de seguridad o no implementar los controles que HIPAA exige.

En la práctica, la mayoría de los servicios cloud genéricos no firman BAAs. Solo lo hacen proveedores que ofrecen servicios específicos para el sector salud y que están dispuestos a asumir esa responsabilidad legal.

Importante

No todos los proveedores de software clínico tienen un BAA con su proveedor de infraestructura. Antes de confiar tus datos a cualquier plataforma, pregunta: ¿tienen un BAA firmado? Si la respuesta es no o no saben qué es, es una señal de alerta importante.

¿Por qué firmamos con Google Cloud y AWS?

En Brauni no dejamos la seguridad al azar. Nuestra infraestructura es híbrida y redundante, aprovechando lo mejor de cada proveedor:

AWS (Amazon Web Services)

AWS es el corazón operativo de Brauni: acá se alojan las bases de datos, se ejecuta la aplicación y se mantienen los backups con almacenamiento multiregión dentro de Estados Unidos. Al firmar el BAA con AWS, aseguramos que cada registro clínico esté bajo protección legal específica para datos de salud.

Google Cloud (Vertex AI)

Acá es donde ocurre la magia de nuestra inteligencia artificial. Gracias al BAA, utilizamos modelos avanzados (como Gemini) con la garantía de que tus datos nunca se usan para entrenar modelos globales de Google.

Beneficios de nuestra doble alianza

Cifrado de grado militar

Ambos proveedores usan AES-128 para datos guardados y TLS 1.3 para datos en tránsito. Esto se aplica automáticamente a todos los servicios que Brauni utiliza, incluyendo bases de datos, almacenamiento de archivos y comunicaciones entre servicios.

Residencia de datos controlada

Controlamos exactamente dónde vive la información, asegurando que no se mueva sin nuestro permiso. Podemos elegir la región geográfica específica donde se almacenan los datos en ambos proveedores.

Cero entrenamiento de IA con tus datos

Este es el punto más crítico. Tanto el BAA de Google como el de AWS prohíben explícitamente el uso de tu información clínica para alimentar sus algoritmos públicos. Además, nuestros términos y condiciones lo establecen de forma expresa: ni Brauni ni sus proveedores de infraestructura procesarán, utilizarán o analizarán los datos clínicos o personales para el entrenamiento de modelos de IA. Brauni tiene su propia política de no usar datos clínicos para entrenar IA, que se aplica independientemente del BAA.

La cadena de responsabilidad completa

Cuando usas Brauni, cada parte tiene un rol definido:

  1. El profesional es el controlador de los datos: responsable del consentimiento, la ética y la configuración de los controles de acceso en su cuenta
  2. Brauni actúa como procesador de datos: responsable de la aplicación, el cifrado campo por campo y la lógica de seguridad, procesando la información únicamente según las instrucciones del profesional
  3. AWS y Google Cloud proveen la infraestructura física y digital donde residen los datos, bajo contrato BAA

Cada eslabón tiene obligaciones legales concretas. No hay zonas grises ni "buena voluntad": hay contratos.

¿Qué significa esto para vos?

Significa que tus datos clínicos están protegidos por contrato en toda la cadena, no solo por promesas. Si un proveedor no firma un BAA, legalmente podría no tener obligaciones específicas sobre los datos de salud que almacena. Con Brauni, eso no pasa.

Elegimos a los líderes mundiales en infraestructura y formalizamos la relación con los acuerdos más estrictos que existen. Porque entendemos que la confianza de tu paciente es tu activo más valioso.

¿Tenés dudas sobre cómo protegemos la privacidad? Escribinos a soporte@brauni.io. Estamos para darte tranquilidad.

Probá Brauni gratis durante 15 días, sin tarjeta

Notas de sesión automáticas, historia clínica digital y más.

Comenzar gratis

Brauni cumple con los principios de la Ley 25.326 de Protección de Datos Personales de Argentina y se alinea con los estándares internacionales de HIPAA para el manejo de información de salud protegida (PHI). Los BAA con Google Cloud y AWS cubren todos los servicios utilizados para procesar datos clínicos.

HIPAABAAGoogle CloudAWSseguridaddatos de pacientescompliance
Compartir
Seguir leyendo

Artículos relacionados

Escribinos