Addendum al Contratto di società in affari HIPAA

Versione: 22 dicembre 2022

Il presente Addendum al Contratto di società in affari HIPAA ("BAA") viene stipulato tra Google e il cliente che accetta i presenti termini ("Cliente") e integra, modifica e viene incorporato nei Contratti (definiti di seguito) esclusivamente in relazione ai Servizi coperti (definiti di seguito). Il presente BAA entrerà in vigore a decorrere dalla data in cui il Cliente ha fatto clic per accettare o in cui le parti hanno altrimenti accettato il presente BAA.

Affinché questo BAA sia valido ed efficace, il Cliente deve avere già stipulato un Contratto. Insieme al Contratto, il presente BAA regolerà i rispettivi obblighi di ciascuna parte in materia di dati sanitari protetti (definiti di seguito).

Dichiari e garantisci che (i) disponi della piena autorità legale per vincolare il Cliente al presente BAA, (ii) hai letto e compreso il presente BAA e (iii) accetti, per conto del Cliente, i termini del presente BAA. Se non disponi dell'autorità legale per vincolare il Cliente o non accetti i presenti termini, non firmare o fare clic per accettare i termini del presente BAA.

I termini con l'iniziale maiuscola utilizzati, ma non altrimenti definiti nel presente BAA, avranno i rispettivi significati assegnati a tali termini nella (a) sezione relativa alla semplificazione amministrativa dell'Health Insurance Portability and Accountability Act del 1996, nell'Health Information Technology for Economic and Clinical Health Act e nei relativi regolamenti di applicazione, come modificati di volta in volta (collettivamente "HIPAA") o (b) nei Contratti.

Per "Contratto o Contratti" si intendono i contratti scritti tra Google e il Cliente per la fornitura dei Servizi coperti, che possono essere sotto forma di Termini di servizio online.

Per "Servizi coperti" si intende Looker Studio, ma non è incluso Looker Studio Pro.

"Utenti finali" ha la definizione fornita nel Contratto.

Per "Google" si intende la Persona giuridica Google che costituisce una parte dei Contratti.

Per "Persona giuridica Google" si intendono Google LLC, Google Ireland Limited o qualsiasi altra Società consociata di Google LLC.

Per "Guida all'implementazione della normativa HIPAA" si intende la guida informativa messa a disposizione da Google che descrive in che modo i Servizi coperti possono essere configurati dal Cliente in relazione agli sforzi del Cliente per garantire la conformità alle norme HIPAA. La Guida all'implementazione della normativa HIPAA per i servizi coperti è disponibile all'URL seguente: https://cloud.google.com/looker/docs/studio/looker-studio-hipaa-implementation-guide.

Per "Dati sanitari protetti" o "PHI" si intende la definizione data dalla normativa HIPAA e, ai fini del presente BAA, si limita ai dati sanitari protetti all'interno dei Dati del cliente a cui Google ha accesso tramite i Servizi coperti in relazione all'utilizzo consentito da parte del Cliente dei Servizi coperti.

  1. Definizioni.
  2. Applicabilità.
    1. Questo BAA si applica nella misura in cui il Cliente agisce come Persona giuridica coperta o Società in affari per creare, ricevere, gestire o trasmettere dati PHI tramite un Servizio coperto e nella misura in cui Google, di conseguenza, è considerata ai sensi dell'HIPAA come Società in affari o Subappaltatore del Cliente. Il Cliente riconosce che questo BAA non si applica a (i) qualsiasi altro prodotto, servizio o funzionalità di Google che non sia un Servizio coperto; o (ii) a qualsiasi dato PHI creato, ricevuto, gestito o trasmesso dal Cliente al di fuori dei Servizi coperti (incluso l'utilizzo da parte del Cliente di strumenti di archiviazione offline o on-premise o applicazioni di terze parti).
    2. Un riferimento in questo BAA a una sezione dell'HIPAA indica la sezione così come può essere modificata di volta in volta.
  3. Utilizzo e divulgazione di informazioni sanitarie personali.
    1. Google può utilizzare e divulgare dati di tipo PHI solo (i) come consentito o richiesto dai Contratti e/o dal presente BAA o (ii) come richiesto dalla legge.
    2. Google può utilizzare e divulgare dati sanitari personali per la propria gestione e amministrazione e per adempiere alle proprie responsabilità legali, a condizione che qualsiasi divulgazione di dati sanitari personali a tali fini possa avvenire solo se: (1) è richiesta dalla legge; o (2) Google ottiene dalla persona a cui verranno divulgati i dati sanitari personali garanzie ragionevoli scritte che i dati verranno trattati in modo confidenziale, utilizzati o divulgati ulteriormente solo come richiesto dalla legge o per lo scopo per cui sono stati divulgati e che Google verrà informata di qualsiasi violazione o incidente di sicurezza.
    3. Nella misura richiesta dai requisiti "minimi necessari" dell'HIPAA, Google richiederà, utilizzerà e divulgherà solo la quantità minima di informazioni di tipo PHI necessaria per raggiungere lo scopo della richiesta, dell'utilizzo o della divulgazione.
    4. Nella misura in cui Google accetta per iscritto di adempiere a qualsiasi obbligazione del Cliente ai sensi del Regolamento sulla privacy HIPAA, Google rispetterà i requisiti del Regolamento sulla privacy HIPAA che si applicano al Cliente nell'adempimento di tali obbligazioni.
  4. Obblighi del Cliente.
    1. È responsabilità esclusiva del Cliente stabilire se gli Utenti finali del Cliente sono autorizzati a condividere, divulgare, creare e/o utilizzare dati PHI nell'ambito dei Servizi coperti.
    2. Il Cliente non richiederà a Google o ai Servizi coperti di utilizzare o divulgare dati PHI in alcun modo che non sarebbe consentito ai sensi dell'HIPAA se effettuato dal Cliente (se il Cliente è un'entità coperta) o dall'entità coperta di cui il Cliente è un socio in affari (a meno che non sia espressamente consentito ai sensi dell'HIPAA per un socio in affari), salvo quanto previsto dalla Sezione 3 del presente BAA.
    3. Quando il Cliente divulga dati PHI a Google, fornirà la quantità minima di dati PHI necessaria per il raggiungimento dello scopo di Google.
    4. Per gli Utenti finali che utilizzano i Servizi coperti in relazione ai dati PHI, il Cliente utilizzerà i controlli disponibili all'interno dei Servizi, inclusi quelli descritti nell'HIPAA Implementation Guide, per garantire che l'utilizzo dei dati PHI sia limitato ai Servizi coperti. Il Cliente riconosce e accetta che la Guida all'implementazione HIPAA viene fornita da Google esclusivamente come guida informativa in merito alle opzioni di configurazione del Cliente e che il Cliente è l'unico responsabile di garantire che l'utilizzo dei Servizi coperti da parte sua e dei suoi Utenti finali sia conforme all'HIPAA.
    5. Il Cliente garantisce di aver ottenuto e di ottenere tutti i consensi, le autorizzazioni e/o altre autorizzazioni legali richieste dall'HIPAA e/o da altre leggi vigenti per la divulgazione di informazioni di tipo PHI a Google. In caso di modifiche o revoca dell'autorizzazione concessa da un privato per l'utilizzo o la divulgazione di dati PHI, è responsabilità del Cliente gestire il proprio utilizzo dei Servizi coperti di conseguenza per aggiornare e/o eliminare tali dati PHI nei Servizi coperti.
  5. Salvaguardie. Google e il Cliente adotteranno ciascuna misure di salvaguardia ragionevoli e appropriate per impedire l'utilizzo o la divulgazione di dati PHI, salvo diversa autorizzazione o obbligo previsto dal presente BAA. Inoltre, Google implementerà misure di salvaguardia amministrative, fisiche e tecniche che proteggano in modo ragionevole e appropriato la riservatezza, l'integrità e la disponibilità dei dati sanitari personali trasmessi o conservati su supporti elettronici ("Dati sanitari personali elettronici") che crea, riceve, gestisce o trasmette per conto del Cliente. Google rispetterà le disposizioni vigenti della Security Rule HIPAA in relazione ai dati sanitari elettronici protetti.
  6. Report e obblighi correlati.
    1. Google informerà tempestivamente il Cliente di (i) qualsiasi Incidente di sicurezza di cui viene a conoscenza, ai sensi della Sezione 6(c); e (ii) di qualsiasi Violazione scoperta da Google, a condizione che qualsiasi notifica di Violazione venga effettuata tempestivamente e senza ingiustificato ritardo e in nessun caso oltre 60 giorni di calendario dopo la scoperta. Le notifiche inviate ai sensi di questa sezione descriveranno, nella misura del possibile, i dettagli di una violazione, inclusi i passaggi intrapresi per mitigare i potenziali rischi e i passaggi che Google consiglia al Cliente di intraprendere per risolvere la violazione.
    2. Google invierà eventuali notifiche all'indirizzo email di notifica fornito dal Cliente nel Contratto (e/o nell'interfaccia utente del servizio applicabile) o tramite comunicazione diretta con il Cliente.
    3. Fatta salva la Sezione 6(a), la presente Sezione 6(c) verrà considerata una notifica al Cliente che Google riceve periodicamente tentativi non riusciti di accesso, utilizzo, divulgazione, modifica o distruzione non autorizzati di informazioni o interferenze con il funzionamento generale dei sistemi informativi di Google e dei Servizi coperti. Il Cliente riconosce e accetta che, anche se questi eventi costituiscono un Incidente di sicurezza, Google non sarà tenuta a fornire alcuna notifica ai sensi del presente BAA in merito a questi tentativi non riusciti, ad eccezione di quanto previsto dalla presente Sezione 6(c).
    4. Google adotterà misure ragionevoli per mitigare, nella misura del possibile, qualsiasi effetto dannoso (noto a Google) di un utilizzo o una divulgazione di PHI da parte di Google in violazione del presente BAA.
    5. Google segnalerà al Cliente qualsiasi utilizzo o divulgazione di informazioni di tipo PHI non consentito ai sensi del presente BAA di cui Google viene a conoscenza.
  7. Subappaltatori. Google stipulerà un contratto scritto che soddisfi i requisiti del 45 C.F.R. §§ 164.504(e) e 164.314(a)(2), a seconda dei casi, con ogni subappaltatore che crea, riceve, gestisce o trasmette dati PHI per conto di Google. Google garantirà che il contratto scritto con ciascun subappaltatore vincoli quest'ultimo a rispettare limitazioni e condizioni che offrono lo stesso livello sostanziale di protezione per le PHI di questo BAA.
  8. Accesso e modifica. Il Cliente riconosce e accetta di essere l'unico responsabile della forma e dei contenuti dei dati PHI gestiti dal Cliente all'interno dei Servizi coperti, inclusa la possibilità che il Cliente gestisca questi dati PHI in un Set di record designato all'interno dei Servizi coperti. Google fornirà al Cliente l'accesso ai suoi dati sanitari protetti tramite i Servizi coperti affinché il Cliente possa adempiere alle proprie obbligazioni ai sensi dell'HIPAA in relazione ai diritti di accesso e modifica delle persone, ma non avrà altre obbligazioni nei confronti del Cliente o di qualsiasi persona in relazione ai diritti riconosciuti alle persone dall'HIPAA in relazione ai set di record designati, inclusi i diritti di accesso o modifica dei dati sanitari protetti. È responsabilità del Cliente gestire il proprio utilizzo dei Servizi coperti per rispondere in modo appropriato a queste richieste dei Privati.
  9. Contabilità delle informative. Google documenterà le divulgazioni di dati sanitari protetti da parte di Google e fornirà una rendicontazione di queste divulgazioni al Cliente nella misura e nei limiti previsti per una società in affari ai sensi dell'HIPAA e in conformità ai requisiti applicabili a una società in affari ai sensi dell'HIPAA.
  10. Disponibilità dei libri e accesso ai record. Nella misura richiesta dalla legge e soggetta ai privilegi del cliente dell'avvocato vigenti, Google renderà disponibili al Segretario del Dipartimento della salute e dei servizi sociali degli Stati Uniti (il "Segretario") le proprie prassi, registrazioni e documenti interni relativi all'utilizzo e alla divulgazione di dati PHI ricevuti dal Cliente o creati o ricevuti da Google per conto del Cliente, affinché il Segretario possa determinare la conformità a questo BAA.
  11. Scadenza e risoluzione.
    1. Il presente BAA cesserà il suo effetto alla prima delle seguenti condizioni: (i) una risoluzione consentita ai sensi della Sezione 11(b) di seguito o (ii) la scadenza o la risoluzione di tutti i Contratti ai sensi dei quali il Cliente ha accesso a un Servizio coperto.
    2. Se una delle parti viola in modo sostanziale il presente BAA, la parte non in violazione può risolvere il presente BAA dando un preavviso scritto di 15 giorni alla parte in violazione, a meno che la violazione non venga sanata entro il periodo di 15 giorni. Se la correzione ai sensi della presente Sezione 11(b) non è ragionevolmente possibile, la parte in conformità può risolvere immediatamente il presente BAA oppure, se né la risoluzione né la correzione sono ragionevolmente possibili ai sensi della presente Sezione 11(b), la parte in conformità può segnalare la violazione al Segretario, rispettando tutti i privilegi legali vigenti.
    3. Se questo BAA viene risolto prima dei Contratti, il Cliente può continuare a utilizzare i Servizi in conformità con i Contratti, ma deve eliminare i dati sanitari personali che gestisce nei Servizi coperti e interrompere la creazione, la ricezione, la gestione o la trasmissione di questi dati a Google.
  12. Restituzione/distruzione di informazioni. Al termine dei Contratti, Google restituirà o distruggerà tutti i dati PHI ricevuti dal Cliente o creati o ricevuti da Google per conto del Cliente; tuttavia, se la restituzione o la distruzione non è possibile, Google estenderà le protezioni di questo BAA ai dati PHI non restituiti o distrutti e limiterà ulteriori utilizzi e divulgazioni alle finalità che rendono non fattibile la restituzione o la distruzione dei dati PHI.
  13. Modifiche a questo BAA. Google può modificare di volta in volta i termini del presente BAA (inclusi gli URL a cui si fa riferimento in questi termini e i contenuti di questi URL). Una notifica di queste modifiche sarà disponibile all'URL pertinente (o a un URL diverso fornito eventualmente da Google di volta in volta) o nell'interfaccia utente del Servizio coperto pertinente. Le modifiche a questi termini (incluse le modifiche ai contenuti all'interno degli URL) non si applicano retroattivamente e diventeranno effettive 14 giorni dopo la pubblicazione, tranne che per le modifiche ai riferimenti degli URL, che saranno effettive immediatamente.
  14. Disposizioni varie.
    1. Sopravvivenza. Le sezioni 12 (Restituzione/distruzione delle informazioni) e 14 (Varie) sopravviveranno alla risoluzione o alla scadenza del presente BAA.
    2. Effetti dell'Addendum. Nella misura in cui il presente BAA è in conflitto con il resto del Contratto o dei Contratti, prevarrà il presente BAA. Il presente BAA è soggetto alla sezione "Legge applicabile" dei Contratti. Tranne ove espressamente modificati o emendati ai sensi del presente BAA, i termini dei Contratti rimarranno in vigore a tutti gli effetti.

Versioni precedenti

16 novembre 2020