Versión: 22 de diciembre de 2022
Este Anexo entre Socios Comerciales relativo a la HIPAA (“BAA”) se celebra entre Google y el cliente que acepta estas condiciones (“Cliente”) y complementa, enmienda y se incorpora a los Acuerdos (definidos a continuación) únicamente en relación con los Servicios Cubiertos (definidos a continuación). Este AA entrará en vigencia a partir de la fecha en la que el Cliente hizo clic para aceptarlo, o bien en que las partes aceptaron este AA de otra manera.
El cliente debe tener un Acuerdo existente para que este AABP sea válido y eficaz. Junto con el Acuerdo, este BAA regirá las obligaciones de cada parte en relación con la Información de Salud Protegida (que se define más adelante).
Usted manifiesta y garantiza que (i) tiene la autoridad legal absoluta para vincular al Cliente a este AA, (ii) leyó y comprende este AA, y (iii) acepta, en nombre del Cliente, las condiciones de este AA. Si no tiene la autoridad legal necesaria para vincular al Cliente o no está de acuerdo con estas condiciones, no firme ni haga clic para aceptar las condiciones de este AA.
Los términos en mayúscula que se usen, pero que no se definan de otra manera en este BAA, tendrán los significados respectivos que se les asignen en (a) la sección de Simplificación Administrativa de la Ley de Portabilidad y Responsabilidad de Seguros Médicos de 1996, la Ley de Tecnología de la Información para la Salud Económica y Clínica y sus reglamentaciones de implementación, según se modifiquen de vez en cuando (en conjunto, "HIPAA") o (b) los Acuerdos.
“Acuerdos” se refiere a los acuerdos escritos entre Google y el Cliente para la prestación de los Servicios Cubiertos, que pueden estar en forma de condiciones del servicio en línea.
"Servicios cubiertos" hace referencia a Looker Studio, pero no incluye Looker Studio Pro.
“Usuarios Finales” tiene la definición que se le da en el Acuerdo.
"Google" se refiere a la Entidad de Google que es parte de los Acuerdos.
"Entidad de Google" hace referencia a Google LLC, Google Ireland Limited o cualquier otro Afiliado de Google LLC.
“Guía de implementación de la HIPAA” hace referencia a la guía informativa que Google pone a disposición y en la que se describe cómo el Cliente puede configurar los Servicios Cubiertos en relación con sus esfuerzos de cumplimiento de la HIPAA. La Guía de implementación de la HIPAA para los servicios cubiertos está disponible para su revisión en la siguiente URL: https://cloud.google.com/looker/docs/studio/looker-studio-hipaa-implementation-guide.
“Información Médica Protegida” o “PHI” tiene la definición que se le otorgó conforme a la HIPAA y, para los fines de este BAA, se limita a la PHI dentro de los Datos del Cliente a los que Google tiene acceso a través de los Servicios Amparados en relación con el uso permitido de los Servicios Amparados por parte del Cliente.
- Definiciones.
- Aplicabilidad.
- Este BAA se aplica en la medida en que el Cliente actúa como una Entidad Cubierta o un Socio Comercial para crear, recibir, mantener o transmitir PHI a través de un Servicio Cubierto y en la medida en que, como resultado, Google se considere, en virtud de la HIPAA, un Socio Comercial o Subcontratista del Cliente. El Cliente reconoce que este BAA no se aplica a (i) ningún otro producto, servicio o función de Google que no sea un Servicio Cubierto ni a (ii) ninguna PHI que el Cliente cree, reciba, mantenga o transmita fuera de los Servicios Cubiertos (incluido el uso que el Cliente haga de sus herramientas de almacenamiento sin conexión o en las instalaciones o de aplicaciones de terceros).
- Una referencia en este AA a una sección de la HIPAA hace referencia a la sección tal como se puede enmendar de vez en cuando.
- Uso y divulgación de la PHI.
- Google puede usar y divulgar PHI solo (i) según lo permitan o exijan los Acuerdos o este BAA, o (ii) según lo exija la ley.
- Google puede usar y divulgar PHI para su administración y gestión adecuadas y para llevar a cabo sus responsabilidades legales, siempre que la divulgación de PHI para esos fines solo pueda ocurrir en los siguientes casos: (1) si la ley lo exige o (2) si Google obtiene garantías razonables por escrito de la persona a la que se divulgará la PHI de que se mantendrá en secreto, se usará o se divulgará solo según lo exija la ley o para el propósito para el que se divulgó, y de que se notificará a Google sobre cualquier incumplimiento o incidente de seguridad.
- En la medida en que lo exijan los requisitos de "mínimos necesarios" de la HIPAA, Google solo solicitará, usará y divulgará la cantidad mínima de PHI necesaria para lograr el propósito de la solicitud, el uso o la divulgación.
- En la medida en que Google acepte por escrito realizar alguna de las obligaciones del Cliente en virtud de la Regla de Privacidad de la HIPAA, Google cumplirá con los requisitos de la Regla de Privacidad de la HIPAA que se apliquen al Cliente en el cumplimiento de dichas obligaciones.
- Obligaciones del Cliente.
- El Cliente es el único responsable de administrar si los Usuarios Finales del Cliente están autorizados para compartir, divulgar, crear o usar PHI en los Servicios Cubiertos.
- El Cliente no solicitará que Google o los Servicios Cubiertos usen o divulguen PHI de ninguna manera que no esté permitida en virtud de la HIPAA si lo hace el Cliente (si es una Entidad Cubierta) o la Entidad Cubierta de la que el Cliente es Socio Comercial (a menos que la HIPAA lo permita expresamente para un Socio Comercial), excepto lo previsto en el Artículo 3 de este BAA.
- Cuando el Cliente divulgue PHI a Google, proporcionará la cantidad mínima de PHI necesaria para que Google cumpla con su propósito.
- En el caso de los Usuarios Finales que usen los Servicios Cubiertos en relación con la PHI, el Cliente usará los controles disponibles en los Servicios, incluidos los que se detallan en la Guía de Implementación de la HIPAA, para garantizar que el uso de la PHI se limite a los Servicios Cubiertos. El Cliente reconoce y acepta que Google proporciona la Guía de Implementación de la HIPAA únicamente como guía informativa con respecto a las opciones de configuración del Cliente y que el Cliente es el único responsable de garantizar que su uso y el de sus Usuarios Finales de los Servicios Cubiertos cumplan con la HIPAA.
- El Cliente garantiza que obtuvo y obtendrá los consentimientos, autorizaciones y otros permisos legales requeridos por la HIPAA o cualquier otra ley aplicable para la divulgación de PHI a Google. Si se produce algún cambio en el permiso que otorga una persona para el uso o la divulgación de la PHI, o se revoca, el Cliente es responsable de administrar el uso de los Servicios Cubiertos de manera adecuada para actualizar o borrar esa PHI en los Servicios Cubiertos.
- Protección. Google y el Cliente usarán medidas de protección razonables y apropiadas para evitar el uso o la divulgación de la PHI, excepto cuando este BAA lo permita o exija. Además, Google implementará salvaguardas administrativas, físicas y técnicas que protejan de manera razonable y adecuada la confidencialidad, integridad y disponibilidad de la PHI transmitida o mantenida en medios electrónicos ("PHI electrónica") que crea, recibe, mantiene o transmite en nombre del Cliente. Google cumplirá con las disposiciones aplicables de la Regla de Seguridad de la HIPAA con respecto a la PHI electrónica.
- Informes y obligaciones relacionadas.
- Google notificará de inmediato al Cliente sobre (i) cualquier Incidente de Seguridad del que tenga conocimiento, sujeto al Artículo 6(c), y (ii) cualquier Incumplimiento que descubra, siempre que cualquier notificación de Incumplimiento se realice de inmediato y sin demora injustificada, y en ningún caso más tarde de 60 días calendario después del descubrimiento. Las notificaciones realizadas en virtud de esta sección describirán, en la medida de lo posible, los detalles de una Violación, incluidas las medidas adoptadas para mitigar los posibles riesgos y las medidas que Google recomienda al Cliente que adopte para solucionar la Violación.
- Google enviará las notificaciones aplicables a la dirección de correo electrónico de notificación que el Cliente proporcionó en el Acuerdo (o la interfaz de usuario del servicio aplicable) o mediante comunicación directa con el Cliente.
- Sin perjuicio de lo dispuesto en el Artículo 6(a), este Artículo 6(c) se considerará un aviso al Cliente de que Google recibe periódicamente intentos fallidos de acceso no autorizado, uso, divulgación, modificación o destrucción de información, o interferencia con el funcionamiento general de los sistemas de información de Google y los Servicios Amparados. El Cliente reconoce y acepta que, incluso si dichos eventos constituyen un Incidente de Seguridad, Google no estará obligado a proporcionar ningún aviso en virtud de esta ACD sobre esos intentos fallidos, excepto lo dispuesto en este Artículo 6(c).
- Google tomará medidas razonables para mitigar, en la medida de lo posible, cualquier efecto dañino (que Google conozca) de un uso o una divulgación de PHI por parte de Google en incumplimiento de este AA.
- Google informará al Cliente sobre cualquier uso o divulgación de PHI no permitido en virtud de este BAA del que tenga conocimiento.
- Subcontratistas. Google celebrará un acuerdo por escrito que cumpla con los requisitos de los artículos 45 C.F.R. 164.504(e) y 164.314(a)(2), según corresponda, con cada Subcontratista que cree, reciba, mantenga o transmita PHI en nombre de Google. Google se asegurará de que el acuerdo por escrito con cada Subcontratista lo obligue a cumplir con restricciones y condiciones que proporcionen el mismo nivel de protección material para la PHI que este AA.
- Acceso y enmienda. El Cliente reconoce y acepta que es el único responsable de la forma y el contenido de la PHI que mantiene en los Servicios Cubiertos, lo que incluye si mantiene dicha PHI en un Conjunto de Registros Designado dentro de los Servicios Cubiertos. Google le proporcionará al Cliente acceso a su PHI a través de los Servicios Cubiertos para que pueda cumplir con sus obligaciones en virtud de la HIPAA con respecto a los derechos de acceso y enmienda de las Personas, pero no tendrá otras obligaciones con el Cliente ni con ninguna Persona con respecto a los derechos que la HIPAA les otorga a las Personas con respecto a los Conjuntos de Registros Designados, incluidos los derechos de acceso o enmienda de la PHI. El Cliente es responsable de administrar su uso de los Servicios Cubiertos para responder de manera adecuada a esas solicitudes individuales.
- Contabilidad de las divulgaciones. Google documentará las divulgaciones de PHI que realice y proporcionará una contabilización de dichas divulgaciones al Cliente en la medida en que se requiera de un Socio Comercial en virtud de la HIPAA y de conformidad con los requisitos aplicables a un Socio Comercial en virtud de la HIPAA.
- Disponibilidad de libros y acceso a registros. En la medida en que lo exija la ley y sujeto a los privilegios de abogado-cliente aplicables, Google pondrá a disposición del Secretario del Departamento de Salud y Servicios Humanos de EE.UU. (el “Secretario”) sus prácticas, libros y registros internos relacionados con el uso y la divulgación de la PHI que reciba del Cliente, o que Google cree o reciba en nombre del Cliente, para que el Secretario determine el cumplimiento de este AA.
- Vencimiento y Rescisión.
- Este AA se rescindirá en la primera de las siguientes fechas: (i) una rescisión permitida de conformidad con el Artículo 11(b) a continuación o (ii) el vencimiento o la rescisión de todos los Acuerdos en virtud de los cuales el Cliente tenga acceso a un Servicio Cubierto.
- Si una de las partes incumple de forma sustancial este AA, la parte que no incumplió podrá rescindir este AA con una notificación por escrito de 15 días a la parte que incumplió, a menos que se corrija el incumplimiento en ese plazo. Si no es razonablemente posible la solución de conformidad con este Artículo 11(b), la parte que no incumplió el BAA podrá rescindirlo de inmediato. Si no es razonablemente posible la rescisión ni la solución de conformidad con este Artículo 11(b), la parte que no incumplió el BAA podrá informar el incumplimiento al Secretario, sujeto a todos los privilegios legales aplicables.
- Si este BAA se rescinde antes que los Acuerdos, el Cliente podrá seguir usando los Servicios de conformidad con los Acuerdos, pero deberá borrar toda la PHI que mantenga en los Servicios Cubiertos y dejar de crear, recibir, mantener o transmitir dicha PHI a Google.
- Devolución o destrucción de información. Cuando finalicen los Acuerdos, Google devolverá o destruirá toda la PHI que haya recibido del Cliente, o que Google haya creado o recibido en nombre del Cliente. Sin embargo, si dicha devolución o destrucción no es factible, Google extenderá las protecciones de este AA a la PHI que no se devuelva o destruya, y limitará los usos y divulgaciones adicionales a aquellos fines que hagan inviable la devolución o destrucción de la PHI.
- Cambios en este AA. Google podrá modificar las condiciones de esta BAA (incluidas las URLs a las que se hace referencia en estas condiciones y el contenido dentro de ellas) de forma ocasional. Un aviso de dichas modificaciones estará disponible en la URL relevante (o en una URL diferente que Google pueda proporcionar ocasionalmente) o en la interfaz de usuario del Servicio A cubierto correspondiente. Los cambios en estas condiciones (incluidos aquellos que se hagan al contenido de las URLs) no se aplicarán retroactivamente y entrarán en vigencia 14 días después de su publicación, salvo los cambios a las URLs, que serán efectivos de inmediato.
- Varios.
- Vigencia. Los Artículos 12 (Devolución o Destrucción de Información) y 14 (Varios) prevalecerán ante la rescisión o el vencimiento de este AA.
- Efectos del Anexo. En la medida en que este BAA entre en conflicto con el resto de los Acuerdos, prevalecerá este BAA. Este AA está sujeto a la sección "Ley Aplicable" de los Acuerdos. Salvo que se modifiquen o enmienden de forma expresa en virtud de este AA, las condiciones de los Acuerdos permanecerán plenamente en vigencia.