Versão: 22 de dezembro de 2022
Este Adendo de Parceiro Comercial da HIPAA ("BAA") é celebrado entre o Google e o cliente que concorda com estes termos ("Cliente") e complementa, altera e está incorporado ao(s) Contrato(s) definido(s) abaixo exclusivamente com relação aos Serviços Cobertos definidos abaixo. Este BAA entrará em vigor na data em que o Cliente clicar para aceitá-lo ou se as partes de algum outro modo concordarem com este BAA.
O Cliente precisa ter um Contrato estabelecido para que este BAA se torne vigente. Em conjunto com o Contrato, este BAA regerá as respectivas obrigações de cada parte relacionadas às Informações protegidas de saúde (definidas abaixo).
Você declara e garante que (i) tem plenos poderes para sujeitar o Cliente a este BAA, (ii) leu e entendeu este BAA e (iii) concorda, em nome do Cliente, com os termos deste BAA. Caso não tenha autoridade legal para estabelecer esse vínculo ou não concorde com estes termos, não assine nem clique para aceitar este BAA.
Os termos com iniciais em letra maiúscula que são usados, mas não definidos neste BAA, terão os respectivos significados atribuídos a esses termos na (a) seção de simplificação administrativa da Lei de Portabilidade e Responsabilidade de Seguros de Saúde de 1996, na Lei de Tecnologia de Informações de Saúde para Saúde Econômica e Clínica e nos regulamentos de implementação, conforme emendados periodicamente (coletivamente, "HIPAA") ou (b) nos Contratos.
"Contrato(s)" significa o(s) acordo(s) estabelecido(s) por escrito entre o Google e o Cliente para a prestação dos Serviços Cobertos, que pode(m) estar na forma de Termos de Serviço on-line.
"Serviços cobertos" significa o Looker Studio, mas não inclui o Looker Studio Pro.
O termo "Usuários Finais" tem a definição dada no Contrato.
"Google" significa a Entidade do Google que é uma parte do(s) Contrato(s).
"Entidade do Google" significa Google LLC, Google Ireland Limited ou qualquer outro Afiliado da Google LLC.
"Guia de Implementação da HIPAA" significa o guia informativo disponibilizado pelo Google que descreve como os Serviços Cobertos podem ser configurados pelo Cliente no que diz respeito a compliance com a HIPAA por parte do Cliente. O Guia de Implementação da HIPAA para os Serviços Cobertos está disponível neste URL: https://cloud.google.com/looker/docs/studio/looker-studio-hipaa-implementation-guide.
O termo "Informações protegidas de saúde" ou "PHI" tem a definição dada na HIPAA e, para os fins deste BAA, está limitado às PHIs nos Dados do Cliente a que o Google tem acesso por meio dos Serviços Cobertos com relação ao uso permitido desses serviços pelo Cliente.
- Definições.
- Aplicabilidade.
- Este BAA é aplicável na medida em que o Cliente atua como Entidade Coberta ou Parceiro Comercial para criar, receber, manter ou transmitir PHIs por meio de um Serviço Coberto e na medida em que o Google, como resultado, é considerado, nos termos da HIPAA, atuante como Parceiro Comercial ou Subcontratado do Cliente. O Cliente reconhece que este BAA não se aplica a (i) nenhum outro produto, serviço ou recurso do Google que não seja um Serviço Abrangido; ou (ii) nenhum PHI que o Cliente crie, receba, mantenha ou transmita fora dos Serviços Abrangidos (incluindo o uso de ferramentas de armazenamento offline ou local ou aplicativos de terceiros).
- Uma referência feita neste BAA a uma seção da HIPAA estará relacionada a tal seção e às eventuais alterações feitas periodicamente.
- Uso e divulgação de PHIs.
- O Google pode usar e divulgar PHIs apenas (i) de acordo com o permitido ou exigido pelos Contratos e/ou este BAA ou (ii) conforme exigido por lei.
- O Google pode usar e divulgar PHIs para o gerenciamento e a administração adequados e para cumprir responsabilidades legais, sendo que tal divulgação de PHIs apenas poderá ocorrer se: (1) exigido por lei; ou (2) o Google receber garantias razoáveis por escrito da pessoa a quem a PHI será divulgada de que ela será mantida em sigilo, usada ou divulgada apenas conforme exigido por lei ou para a finalidade para a qual foi divulgada, e que o Google será notificado de qualquer violação ou incidente de segurança.
- Na medida em que for exigido pela HIPAA como "mínimo necessário", o Google apenas solicitará, usará e divulgará o mínimo necessário de PHIs para atender ao propósito da solicitação, do uso ou da divulgação.
- Na medida em que o Google concordar, por escrito, em realizar alguma obrigação do Cliente segundo a Regra de Privacidade da HIPAA, o Google cumprirá com os requisitos da Regra de Privacidade da HIPAA que se aplicam ao Cliente no exercício de tais obrigações.
- Obrigações do Cliente.
- O Cliente é o único responsável por verificar se os Usuários Finais dele estão autorizados a compartilhar, divulgar, criar e/ou usar as PHIs nos Serviços Cobertos.
- O Cliente não solicitará que o Google ou os Serviços Cobertos usem nem divulguem PHIs de qualquer forma que, de acordo com a HIPAA, seja proibida para o Cliente (se o Cliente for uma Entidade Coberta) ou para a Entidade Coberta da qual o Cliente é um Parceiro Comercial (a menos que explicitamente permitido segundo a HIPAA para um Parceiro Comercial), exceto conforme consta na Seção 3 deste BAA.
- Quando divulgar PHIs ao Google, o Cliente fornecerá o mínimo necessário de PHIs para a concretização do propósito do Google.
- Para Usuários Finais que utilizam os Serviços Cobertos envolvendo PHIs, o Cliente usará os controles disponíveis nos Serviços, incluindo aqueles tratados em detalhes no Guia de Implementação da HIPAA, para garantir que o uso de PHIs se limite aos Serviços Cobertos. O Cliente reconhece e concorda que o Guia de Implementação da HIPAA é fornecido pelo Google apenas como um guia informativo sobre as opções de configuração do Cliente e que o Cliente é o único responsável por garantir que o uso dos Serviços Cobertos por ele e pelos Usuários Finais esteja em conformidade com a HIPAA.
- O Cliente garante que recebeu e que receberá todos os consentimentos, autorizações e/ou outras permissões legais exigidas pela HIPAA e/ou outras leis aplicáveis concernentes à divulgação de PHIs ao Google. Caso haja mudanças ou revogações das permissões dadas por Indivíduos com relação ao uso ou divulgação de PHIs, o Cliente será responsável por administrar o uso que faz dos Serviços Cobertos no sentido de atualizar e/ou excluir tais PHIs dos Serviços Cobertos.
- Salvaguardas. O Google e o Cliente usarão as salvaguardas razoáveis e apropriadas para evitar o uso ou a divulgação de PHIs, exceto nos casos permitidos ou exigidos por este BAA. Além disso, o Google vai implementar salvaguardas administrativas, físicas e técnicas que protejam de maneira razoável e adequada a confidencialidade, a integridade e a disponibilidade das PHIs transmitidas ou mantidas em mídias eletrônicas ("EPHI") que ele cria, recebe, mantém ou transmite em nome do Cliente. O Google cumprirá as normas aplicáveis da Regra de Segurança da HIPAA relacionadas às EPHIs.
- Obrigações de notificação e relacionadas.
- O Google notificará imediatamente o Cliente sobre (i) Incidentes de Segurança de que o Google tomar conhecimento, conforme a Seção 6(c) e (ii) Violações que descubra, desde que a notificação quanto à Violação seja feita imediatamente e sem atraso desarrazoado, não devendo em nenhuma hipótese exceder 60 (sessenta) dias corridos após a descoberta da Violação. As notificações feitas conforme esta seção descreverão, na medida do possível, os detalhes da respectiva Violação, incluindo as etapas realizadas para mitigar os possíveis riscos e recomendações do Google para que o Cliente lide com a Violação.
- O Google enviará as notificações aplicáveis ao endereço de e-mail informado pelo Cliente no Contrato (e/ou na interface do usuário do serviço aplicável) ou via comunicação direta com o Cliente.
- Apesar da Seção 6(a), esta Seção 6(c) será considerada um aviso ao Cliente de que o Google recebe periodicamente tentativas não autorizadas de acesso, uso, divulgação, modificação ou destruição de informações ou interferência na operação geral dos sistemas de informação do Google e dos Serviços Abrangidos. O Cliente concorda que, mesmo se tais eventos constituírem um Incidente de Segurança, o Google não precisará enviar notificação conforme este BAA com relação às tentativas malsucedidas além do que é tratado nesta Seção 6(c).
- O Google tomará as medidas razoáveis para mitigar, na medida do possível, quaisquer efeitos prejudiciais (sobre os quais tenha conhecimento) de um uso ou divulgação de PHIs pelo Google que constituam violação deste BAA.
- O Google informará ao Cliente quaisquer usos ou divulgações de PHIs de que o Google tome conhecimento e que não sejam permitidos por este BAA.
- Subcontratados. O Google firmará um contrato por escrito, de acordo com a Parte 45 do C.F.R. dos EUA, §§ 164.504(e) e 164.314(a)(2), conforme aplicável, com cada Subcontratado que criar, receber, mantiver ou transmitir PHIs em nome do Google. O Google garantirá que o contrato por escrito com cada Subcontratado obrigue tal Subcontratado a respeitar restrições e condições que proporcionem o mesmo nível de proteção para PHIs que este BAA exige.
- Acesso e alteração. O Cliente concorda que é o único responsável pelo formato e conteúdo das PHIs mantidas por ele nos Serviços Cobertos, incluindo se o Cliente mantém tais PHIs em um Conjunto de Registros Designado nos Serviços Cobertos. O Google vai fornecer ao Cliente acesso à PHI dele pelos Serviços Cobertos para que o Cliente possa cumprir suas obrigações de acordo com a HIPAA em relação aos direitos de acesso e alteração dos indivíduos, mas não terá outras obrigações para com o Cliente ou qualquer indivíduo em relação aos direitos concedidos aos indivíduos pela HIPAA em relação aos conjuntos de registros designados, incluindo direitos de acesso ou alteração de PHI. O Cliente é responsável por administrar o próprio uso dos Serviços Cobertos para responder adequadamente a essas solicitações de Indivíduos.
- Prestação de Contas sobre Divulgações. O Google documentará divulgações de PHIs por parte do Google e prestará contas ao Cliente sobre essas divulgações conforme exigido de um Parceiro Comercial de acordo com a HIPAA e seguindo as exigências aplicáveis a um Parceiro Comercial segundo a HIPAA.
- Disponibilidade dos Livros de Registros e Acesso aos Registros. Na medida exigida por lei e sujeito aos privilégios aplicáveis de advogado e cliente, o Google vai disponibilizar as práticas, livros e registros internos relacionados ao uso e à divulgação de PHIs recebidas do Cliente ou criados ou recebidos pelo Google em nome do Cliente ao Secretário do Departamento de Saúde e Serviços Humanos dos EUA (o "Secretário") para que ele determine a conformidade com este BAA.
- Extinção e rescisão.
- Este BAA será rescindido (i) no caso de uma rescisão de acordo com a Seção 11(b) abaixo ou (ii) mediante a extinção ou rescisão de todos os Contratos por meio dos quais o Cliente tenha acesso a um Serviço Coberto, o que ocorrer primeiro.
- Se alguma das partes violar este BAA, a outra parte poderá rescindir este BAA mediante um aviso por escrito enviado com 15 (quinze) dias de antecedência para a parte que violou o BAA, a menos que tal violação seja resolvida dentro desse período de 15 (quinze) dias. Se não for possível resolver a violação conforme esta Seção 11(b), a parte cumpridora do BAA poderá rescindir imediatamente este BAA. Se não for possível rescindir o BAA nem resolver a violação conforme esta Seção 11(b), a parte cumpridora do BAA poderá denunciar a violação à Secretaria, estando sujeita a todos os privilégios legais aplicáveis.
- Se este BAA for rescindido antes do(s) Contrato(s), o Cliente poderá continuar a usar os Serviços conforme o(s) Contrato(s), mas precisará excluir quaisquer PHIs que mantenha nos Serviços Cobertos e, com a rescisão, deixar de criar, receber, manter ou transmitir tais PHIs para o Google.
- Devolução/Destruição de Informações. Na rescisão dos Contratos, o Google vai devolver ou destruir todas as PHIs recebidas do Cliente ou criadas ou recebidas pelo Google em nome do Cliente. No entanto, se essa devolução ou destruição não for viável, o Google vai estender as proteções deste BAA às PHIs não devolvidas ou destruídas e limitar outros usos e divulgações aos fins que tornam a devolução ou destruição das PHIs inviável.
- Mudanças neste BAA. O Google pode modificar os termos deste BAA (incluindo os URLs mencionados nestes termos e o conteúdo encontrado neles) periodicamente. Para quaisquer modificações feitas, será inserido um aviso no respectivo URL (ou em um URL diferente que o Google poderá informar periodicamente) ou na interface do usuário do Serviço Coberto relevante. As alterações feitas nestes Termos (incluindo alterações no conteúdo dos URLs) não serão aplicadas de modo retroativo e entrarão em vigor 14 (catorze) dias após a publicação, exceto as alterações em referências de URLs, que entrarão em vigor imediatamente.
- Outros.
- Continuidade da vigência. As Seções 12 (Devolução/Destruição de Informações) e 14 (Disposições gerais) continuarão em vigor após a extinção ou rescisão deste BAA.
- Efeitos do Adendo. Em caso de discordância entre este BAA e o restante do(s) Contrato(s), este BAA prevalecerá. Este BAA está sujeito à seção "Legislação Aplicável" do(s) Contrato(s). Salvo modificação expressa nos termos deste BAA, os termos do(s) Contrato(s) permanecerão vigentes.