Esplora i prodotti
Esplora i prodotti

Menu Utility

Addendum per Associati commerciali

Il presente Addendum per Associati commerciali ("BAA") costituisce una parte dell’Accordo del Cliente con GoTo ed è soggetto ai termini in esso contenuti. Sostituisce tutti gli obblighi contenuti nell’Accordo (incluso il DPA) in caso di conflitto di leggi e si applica esclusivamente in relazione al trattamento delle informazioni sanitarie protette da parte di GoTo. Il presente BAA entra in vigore alla data dell’ultima firma apposta di seguito ("Data di entrata in vigore").

PREMESSO CHE GoTo ha stipulato un accordo per la fornitura di determinati Servizi al Cliente ai sensi dell’Accordo

PREMESSO CHE il Cliente intende utilizzare i Servizi in maniera tale da richiedere a GoTo il trattamento delle Informazioni sanitarie protette attraverso i Servizi

PREMESSO CHE, nella misura applicabile, le Parti si impegnano a rispettare i loro obblighi ai sensi della legge statunitense su portabilità e responsabilità in materia di assicurazione sanitaria del 1996, modificata dalla legge sull’applicazione della tecnologia alle informazioni di carattere sanitario in ambito economico e clinico, Pub. L. 111-5 ("HIPAA"), che potrebbe essere ulteriormente modificata di volta in volta.

TUTTO CIÒ PREMESSO, il presente BAA stabilisce i termini e le condizioni in base ai quali saranno trattate le Informazioni sanitarie protette, comprese le Informazioni sanitarie protette in formato elettronico. Le Parti convengono quanto segue:

  1. Definizioni
    • 1.1 Definizioni generali. Tutti i termini riportati nel presente BAA e non altrimenti definiti nell’Accordo (incluso il DPA) avranno lo stesso significato di tali termini nelle Regole HIPAA.
    • 1.2 Definizioni specifiche. Ai fini del presente BAA, i seguenti termini hanno il significato indicato ogni volta che il termine appare con lettere iniziali maiuscole:
      • 1.2.1 "Violazione" indica l’acquisizione, l’accesso, l’utilizzo o la divulgazione di Informazioni sanitarie protette (PHI) in un modo non consentito dall’HIPAA che compromette la sicurezza o la privacy delle PHI, a meno che tale acquisizione, accesso, utilizzo o divulgazione non sia altrimenti esclusa ai sensi del C.F.R. 45 § 164.402.
      • 1.2.2 "Associato commerciale" ha lo stesso significato del termine definito nel C.F.R 45 § 160.103.
      • 1.2.3 "Entità coperta" ha lo stesso significato del termine definito nel C.F.R 45 § 164.103.
      • 1.2.4 "Set di record designato" indica un gruppo di record gestiti da o per il Cliente ai sensi del C.F.R. 45 § 164.501 che consiste in: (i) sistemi di registrazione dell’iscrizione, del pagamento, della liquidazione dei sinistri e della gestione dei casi o delle cure mediche mantenuti da o per un piano sanitario; o (ii) record utilizzati, in tutto o in parte, da o per il Cliente per l’adozione di decisioni sugli individui. Ai fini della presente sezione, il termine "record" indica qualsiasi elemento, raccolta o raggruppamento di informazioni che include le PHI e che viene gestito, raccolto, utilizzato o diffuso da o per l’Entità coperta.
      • 1.2.5 "PHI elettroniche o ePHI" indica le PHI in formato elettronico.
      • 1.2.6 "Regole HIPAA" indica le Regole sulla privacy, la sicurezza, la notifica delle violazioni e l’applicazione delle norme nel C.F.R. 45 Parte 160 e Parte 164.
      • 1.2.7 "Individuo" ha lo stesso significato del termine definito nel C.F.R. 45 § 160.103 e riguarda una persona che si qualifica come rappresentante personale in conformità con il C.F.R. 45 § 164.502(g).
      • 1.2.8 "Norma sulla privacy" indica gli standard per la privacy delle informazioni sanitarie identificabili a livello individuali nel C.F.R. 45 Parte 160 e Parte 164, Sottoparti A ed E.
      • 1.2.9 "Informazioni sanitarie protette" o "PHI" ha lo stesso significato del termine definito nel C.F.R. 45 § 160.103, limitatamente a tali informazioni fornite dall’Utente a GoTo ai sensi dell’Accordo.
      • 1.2.10 "Obbligatorio per legge" ha lo stesso significato del termine definito nel C.F.R. 45 § 164.103.
      • 1.2.11 "Segretario" indica il Segretario del Dipartimento della Salute e dei Servizi Umani degli Stati Uniti ("HHS") o il suo incaricato.
      • 1.2.12 "Regola di sicurezza" indica gli standard di sicurezza di cui alle norme del C.F.R. 45 Parte 160, Parte 162 e Parte 164.
      • 1.2.13 "Servizi" indica le funzioni, le attività o i servizi che GoTo deve fornire al Cliente ai sensi dei termini dell’Accordo.
  2. Ruoli delle Parti. Nella misura in cui GoTo elabora le PHI, (i) GoTo è un Associato commerciale del Cliente e (ii) il Cliente è un’Entità coperta o un Associato commerciale di livello superiore. Se il Cliente è un Associato commerciale di livello superiore, tra le parti il Cliente è responsabile dell’adempimento degli obblighi dell’Entità coperta stabiliti nel presente BAA o del loro adempimento, a seconda dei casi.
  3. Utilizzi e divulgazioni consentiti delle PHI.
    • 3.1 GoTo può utilizzare o divulgare le PHI come ragionevolmente necessario per fornire Servizi al Cliente e come altrimenti richiesto dalla legge.
    • 3.2 GoTo può utilizzare le informazioni personali per la corretta gestione e amministrazione e per adempiere ai propri obblighi legali. GoTo può anche divulgare le PHI per la corretta gestione e amministrazione o per adempiere ai propri obblighi legali, a condizione che (i) le divulgazioni siano richieste dalla legge o (ii) GoTo ottenga (a) ragionevoli garanzie dal destinatario delle PHI che le PHI rimarranno riservate e saranno utilizzate o ulteriormente divulgate solo come richiesto dalla Legge o per lo scopo per cui le PHI sono state divulgate e (b) il destinatario accetti di notificare a GoTo qualsiasi caso di cui venga a conoscenza in cui la riservatezza delle PHI sia stata violata.
    • 3.3 GoTo può deidentificare le PHI in conformità con il C.F.R. 45 § 164.514 (a)-(c) e utilizzare e divulgare tali informazioni per i legittimi scopi commerciali di GoTo. Le informazioni deidentificate non costituiscono più PHI e non sono soggette a questo BAA.
  4. Obblighi di GoTo.
    GoTo si impegna a:
    • 4.1 Non utilizzare o divulgare PHI se non come consentito dall’Accordo o come richiesto dalla legge.
    • 4.2 Richiedere, utilizzare e divulgare la minima quantità di PHI necessaria per raggiungere lo scopo aziendale previsto
    • 4.3 Non utilizzare o divulgare PHI in modo tale da violare la Sottoparte E del C.F.R. 45 Parte 164 se effettuata dal Cliente, ad eccezione degli utilizzi e delle divulgazioni di cui alle Sezioni 3.2 e 3.3.
    • 4.4 Dotarsi di adeguate misure amministrative, fisiche e tecniche in conformità con la Sottoparte C della Regola di sicurezza (C.F.R. 45 Parte 164) per impedire l’utilizzo o la divulgazione delle PHI al di fuori di quanto previsto dal presente Accordo.
    • 4.5 Segnalare al Cliente qualsiasi utilizzo o divulgazione delle PHI non previsto dall’Accordo o qualsiasi Incidente di sicurezza di cui venga a conoscenza. Il Cliente riconosce che GoTo si trova a fronteggiare abitualmente "Incidenti di sicurezza non riusciti", come ping e altri attacchi broadcast al firewall di GoTo, scansioni di porte, tentativi di accesso non riusciti, tentativi di phishing, negazioni di servizio e qualsiasi combinazione di quanto sopra, che non hanno come conseguenza l’accesso, l’utilizzo o la divulgazione non autorizzati di PHI. Nel presente documento, GoTo notifica al Cliente tali Incidenti di sicurezza non riusciti e il Cliente conviene che non è necessario alcun avviso aggiuntivo da parte di GoTo.
    • 4.6 Compiere sforzi ragionevoli per mitigare, per quanto possibile, eventuali effetti dannosi derivanti da qualsiasi utilizzo o divulgazione di PHI da parte di GoTo che non sia consentito dall’Accordo.
    • 4.7 Notificare al Cliente eventuali violazioni di PHI non protette senza ritardi immotivati e, in ogni caso, entro i termini stabiliti dal C.F.R. 45 § 164.410. La notifica di GoTo al Cliente ai sensi della presente Sezione includerà, per quanto possibile, le informazioni contenute nel C.F.R. 45 § 164.404 (c) (1) (A)-(D), le informazioni di contatto a cui il Cliente può indirizzare le richieste e i dati identificativi di ogni Individuo le cui PHI non protette siano state, o che GoTo ritenga ragionevolmente siano state consultate, acquisite, utilizzate o divulgate durante la Violazione. GoTo aggiornerà tempestivamente la notifica al Cliente qualora una delle informazioni di cui sopra divenga disponibile per GoTo dopo la notifica iniziale.
    • 4.8 Solo nel caso in cui GoTo conservi un set di record designato per conto del Cliente che rappresenti solo una copia di tali PHI e laddove il Cliente non sia in grado di completare la richiesta senza l’assistenza di GoTo, GoTo, su richiesta scritta del Cliente (i) fornirà l’accesso alle PHI al Cliente nei tempi stabiliti nel C.F.R. 45 § 164.524 e (ii) apporterà eventuali modifiche alle PHI in un set di record designato richiesto o accettato dal Cliente nei tempi previsti dal C.F.R. 45 § 164.526 o adotterà altre misure necessarie per soddisfare gli obblighi del Cliente ai sensi del C.F.R. 45 § 164.526.
    • 4.9 Conservare e rendere disponibili le informazioni richieste per fornire un resoconto delle divulgazioni al Cliente, se necessario per soddisfare il Cliente (o l’Entità coperta pertinente, se non è il Cliente) ai sensi del C.F.R. 45 § 164.528.
    • 4.10 Richiedere ai subappaltatori che creano, ricevono, conservano o trasmettono PHI per conto di GoTo di accettare le stesse restrizioni, condizioni e requisiti che si applicano a GoTo in relazione a tali informazioni, in conformità con il C.F.R. 45 §§ 164.502 (e) (1) (ii) e 164.308 (b) (2), se applicabili.
    • 4.11 Su richiesta del Segretario, mettere a disposizione di HHS le proprie pratiche interne, i libri e i registri relativi all’utilizzo e alla divulgazione di PHI da parte di GoTo per determinare la conformità delle Parti alle Regole HIPAA e
    • 4.12 Qualora i Servizi di GoTo richiedano l’esecuzione di uno o più obblighi del Cliente ai sensi della Sottoparte E del C.F.R. 45 Parte 164, rispettare i requisiti della Sottoparte E che si applicano al Cliente nell’esecuzione di tali obblighi.
  5. Obblighi del cliente
    • 5.1 Il Cliente dovrà:
      • 5.1.1 Comunicare a GoTo solo la quantità minima di PHI ragionevolmente necessaria per raggiungere lo scopo previsto dall’Accordo.
      • 5.1.2 Non richiedere a GoTo di utilizzare o divulgare PHI secondo modalità che non sarebbero consentite dalle Regole HIPAA se adottate dal Cliente.
      • 5.1.3 Notificare a GoTo eventuali limitazioni nella comunicazione delle pratiche sulla privacy in conformità con il C.F.R. 45 § 164.520, nella misura in cui tali restrizioni possono influire sull’utilizzo o sulla divulgazione di PHI da parte di GoTo in conformità con il presente Accordo. GoTo compirà sforzi commercialmente ragionevoli per rispettare tali limitazioni.
      • 5.1.4 Notificare a GoTo qualsiasi modifica o revoca dell’autorizzazione da parte di un Individuo all’utilizzo o alla divulgazione di PHI, nella misura in cui tali modifiche possono influire sull’utilizzo o sulla divulgazione di PHI da parte di GoTo in conformità al presente Accordo. GoTo accetta di conformarsi a tali modifiche o revoche dell’autorizzazione comunicate dal Cliente, nella misura in cui ciò sia possibile ai sensi dell’Accordo.
      • 5.1.5 Notificare a GoTo eventuali limitazioni all’utilizzo o alla divulgazione di PHI accettate dal Cliente in conformità con il C.F.R. 45 § 164.522, nella misura in cui tali restrizioni possono influire sull’utilizzo o sulla divulgazione di PHI da parte di GoTo in conformità con il presente Accordo. GoTo si impegna a rispettare qualsiasi limitazione comunicata dal Cliente, nella misura in cui ciò sia possibile ai sensi dell’Accordo e della legge applicabile.
    • 5.2 L’Utente è l’unico responsabile (i) della propria conformità all’HIPAA, (ii) dell’utilizzo dei Servizi solo in modo conforme all’HIPAA e (iii) della garanzia di disporre di diritti sufficienti per divulgare PHI a GoTo e/o per far sì che GoTo elabori le PHI come previsto dal Contratto, incluso, a titolo esemplificativo, l’ottenimento e il mantenimento di tutti i consensi o autorizzazioni richiesti.
  6. Validità e risoluzione
    • 6.1 Risoluzione automatica. Il presente BAA terminerà automaticamente senza ulteriori azioni delle Parti al momento della (i) risoluzione o della scadenza dell’Accordo o (ii) del completamento della fornitura da parte di GoTo di Servizi al Cliente che richiedono il trattamento delle PHI, a seconda di quale si verifichi per primo.
    • 6.2 Risoluzione per giusta causa. Se una delle Parti viene a conoscenza di una violazione sostanziale del presente BAA da parte dell’altra Parte, la Parte adempiente dovrà inviare una comunicazione scritta alla Parte inadempiente, indicando la natura della violazione e concedendo 30 giorni per rimediare. La Parte adempiente può risolvere il presente BAA o, a sua scelta, l’Accordo, nel caso in cui la Parte inadempiente non abbia sanato la violazione in modo soddisfacente per la Parte adempiente o se non sono possibili rimedi. Se il Cliente è la Parte inadempiente, dovrà cessare immediatamente di fornire PHI ai Servizi o di far sì che GoTo elabori le PHI tramite i Servizi. Questa disposizione si aggiunge alle disposizioni di risoluzione dell’Accordo.
    • 6.3 Effetto della risoluzione.
      • 6.3.1 A seguito della risoluzione o della scadenza del presente BAA o dell’Accordo per qualsiasi motivo, GoTo si impegna a restituire o distruggere tutte le PHI ai sensi del C.F.R. 45 § 164.504 (e) (2) (ii) (J) se ragionevolmente possibile. Se GoTo determina che quanto sopra non è praticabile, (i) informerà l’Utente delle ragioni a sostegno della sua determinazione e (ii) estenderà tutte le protezioni e le limitazioni contenute nel presente BAA a eventuali PHI conservate dopo la risoluzione del presente Accordo fino al momento in cui le PHI saranno restituite al Cliente o distrutte.
      • 6.3.2 Fatte salve le disposizioni della Sezione 6.4.1, in seguito alla risoluzione del presente BAA o dell’Accordo per qualsiasi motivo, GoTo può conservare tutte le PHI necessarie per la propria gestione e amministrazione o per adempiere alle proprie responsabilità legali, a condizione che GoTo non utilizzi tali PHI per qualsiasi altro scopo ed estenda tutte le protezioni e limitazioni contenute nel presente BAA a eventuali PHI conservate dopo la risoluzione del presente Accordo e fino a quando le PHI non siano più necessarie per tale scopo. GoTo si atterrà alle disposizioni della Sezione 6.4.1.
  7. Varie
    • 7.1 Estensione della validità temporale di alcune disposizioni. I rispettivi diritti e obblighi di GoTo e del Cliente ai sensi delle disposizioni delle Sezioni 4.3, 4.5 e 4.9, delle Sezioni 6.3.1 e 6.3.2 e della Sezione 7, sopravviveranno alla risoluzione del presente Accordo fino alla restituzione delle PHI al Cliente o alla loro distruzione.
    • 7.2 Emendamenti. Oltre alla disposizione sulle modifiche dell’Accordo, le Parti concordano di intraprendere le azioni necessarie per modificare il presente BAA di volta in volta, come necessario per conformarsi ai requisiti delle Regole HIPAA.
    • 7.3 Assenza di terze parti beneficiarie. Nessun elemento espresso o implicito del presente Accordo è inteso a conferire, ora e in futuro, a persone diverse dalle Parti e dai rispettivi successori o cessionari delle Parti, alcun diritto, rimedio, obbligo o responsabilità di sorta.
    • 7.4 Riferimenti normativi. Il riferimento a una sezione delle Regole HIPAA nel presente BAA indica la sezione in vigore o modificata.
    • 7.5 Interpretazione. Eventuali ambiguità nel presente BAA dovranno essere risolte in modo da consentire alle Parti di rispettare le Regole HIPAA.

Ultimo aggiornamento: novembre 2024 (2024.v1.0)