Explorar produtos
Explorar produtos

Menu utilitário

Adendo do Associado Comercial

Este Adendo de Associado Comercial (“AAC”) faz parte do Contrato do Cliente com a GoTo e está sujeito aos termos dele. Ele substitui todas as obrigações contidas no Contrato (incluindo o DPA) na medida de qualquer conflito e se aplica exclusivamente ao Tratamento de Informações de Saúde Protegidas pela GoTo. Este AAC entra em vigor na data da última assinatura abaixo (“Data de Vigência”).

CONSIDERANDO que a GoTo foi contratada para prestar determinados Serviços ao Cliente nos termos do Contrato; e

CONSIDERANDO que o Cliente pretende usar os Serviços de uma forma que possa exigir que a GoTo Trate Informações de Saúde Protegidas por meio dos Serviços; e

CONSIDERANDO que, na medida do aplicável, as Partes têm o compromisso de cumprir suas obrigações nos termos da Lei da Portabilidade e Responsabilização do Seguro de Saúde dos EUA de 1996, conforme alterada pela Lei de Tecnologia da Informação em Saúde para Saúde Econômica e Clínica dos EUA, Pub. L. 111-5 (“HIPAA”), que pode ser alterada de tempos em tempos.

ORA, PORTANTO, este AAC estabelece os termos e condições segundo os quais as Informações de Saúde Protegidas, incluindo as Informações Eletrônicas de Saúde Protegidas, serão tratadas. As Partes concordam com o seguinte:

  1. Definições
    • 1.1 Definições gerais. Todos os termos definidos que aparecerem neste AAC e que não estiverem definidos de outra forma no Contrato (incluindo o DPA) terão o mesmo significado que os termos constantes das Normas da HIPAA.
    • 1.2 Definições específicas. Para os fins deste AAC, os termos a seguir têm os significados indicados sempre que o termo aparecer com letras iniciais maiúsculas:
      • 1.2.1 “Violação” significa a aquisição, o acesso, o uso ou a divulgação de Informações de Saúde Protegidas de uma maneira não permitida pela HIPAA, que comprometa a segurança ou a privacidade das Informações de Saúde Protegidas, a menos que tal aquisição, acesso, uso ou divulgação seja excluída de outra forma nos termos da disposição 45 C.F.R. § 164.402.
      • 1.2.2 “Associado Comercial” tem o mesmo significado que o termo definido na disposição 45 C.F.R. § 160.103.
      • 1.2.3 “Entidade Coberta” tem o mesmo significado que o termo definido na disposição 45 C.F.R. § 164.103.
      • 1.2.4 “Conjunto de Registros Designados” significa um grupo de registros mantidos pelo Cliente ou para o Cliente, de acordo com o significado que consta da disposição 45 C.F.R. § 164.501, que consiste em: (i) inscrição, pagamento, adjudicação de reivindicações e sistemas de registros de gerenciamento médico ou de prontuários mantidos por ou para um plano de saúde; ou (ii) registros que são usados, no todo ou em parte, pelo Cliente ou para o Cliente para tomar decisões sobre Indivíduos. Para os fins desta seção, o termo “registro” significa qualquer item, conjunto ou agrupamento de informações que inclua Informações de Saúde Protegidas e seja mantido, coletado, usado ou disseminado pela Entidade Coberta ou para a Entidade Coberta.
      • 1.2.5 “Informações Eletrônicas de Saúde Protegidas” significa Informações de Saúde Protegidas em formato eletrônico.
      • 1.2.6 “Normas da HIPAA” significam as Normas de Privacidade, Segurança, Notificação de Violação e Aplicação que constam da disposição 45 C.F.R. Parte 160 e Parte 164.
      • 1.2.7 “Indivíduo” tem o mesmo significado que o termo definido na disposição 45 C.F.R. § 160.103 e inclui uma pessoa que se qualifica como representante pessoal de acordo com a disposição 45 C.F.R. § 164.502(g).
      • 1.2.8 “Norma de Privacidade” significa os Padrões de Privacidade de Informações de Saúde Individualmente Identificáveis que constam da disposição 45 C.F.R. Parte 160 e Parte 164, Subpartes A e E.
      • 1.2.9 “Informações de Saúde Protegidas” tem o mesmo significado que o termo definido na disposição 45 C.F.R. § 160.103, limitado a informações fornecidas pelo Cliente à GoTo nos termos do Contrato.
      • 1.2.10 “Exigido por Lei” tem o mesmo significado que o termo definido na disposição 45 C.F.R. § 164.103.
      • 1.2.11 “Secretário” significa o Secretário do Departamento de Saúde e Serviços Humanos dos Estados Unidos (“HHS”, na sigla em inglês) ou seu representante.
      • 1.2.12 “Norma de Segurança” significa os Padrões de Segurança que constam da disposição 45 C.F.R. Parte 160, Parte 162 e Parte 164.
      • 1.2.13 “Serviços” significa as funções, atividades ou serviços a serem prestados ao Cliente pela GoTo nos termos do Contrato.
  2. Funções das partes. Na medida em que a GoTo trata Informações de Saúde Protegidas, (i) a GoTo se enquadra como um Associado Comercial do Cliente; e (ii) o Cliente é uma Entidade Coberta ou um Associado Comercial de alto nível. Se o Cliente for um Associado Comercial de alto nível, então, entre as partes, o Cliente é responsável por cumprir as obrigações da Entidade Coberta estabelecidas neste AAC, ou fazer com que sejam cumpridas, conforme o caso.
  3. Usos e divulgações permitidos de Informações de Saúde Protegidas.
    • 3.1 A GoTo poderá usar ou divulgar Informações de Saúde Protegidas conforme razoavelmente necessário para prestar Serviços ao Cliente e conforme Exigido por Lei.
    • 3.2 A GoTo pode usar as Informações de Saúde Protegidas para seu devido gerenciamento e administração e para cumprir suas obrigações legais. A GoTo também poderá divulgar as Informações de Saúde Protegidas para seu devido gerenciamento e administração ou para cumprir suas obrigações legais, desde que (i) as divulgações sejam Exigidas por Lei; ou (ii) a GoTo obtenha (a) garantias razoáveis do destinatário das Informações de Saúde Protegidas de que tais informações permanecerão confidenciais e serão usadas ou divulgadas apenas conforme Exigido por Lei ou para a finalidade para a qual as Informações de Saúde Protegidas foram divulgadas, e (b) o destinatário concorde em notificar a GoTo sobre eventuais casos de que tome ciência em que a confidencialidade das Informações de Saúde Protegidas foi violada.
    • 3.3 A GoTo poderá desidentificar as Informações de Saúde Protegidas de acordo com a disposição 45 C.F.R. § 164.514 (a)-(c) e usar e divulgar tais informações para fins comerciais legítimos da GoTo. As informações desidentificadas não constituem mais Informações de Saúde Protegidas e não estão sujeitas a este AAC.
  4. Obrigações da GoTo.
    A GoTo:
    • 4.1 Não usará nem divulgará Informações de Saúde Protegidas à revelia do Contrato ou conforme Exigido por Lei.
    • 4.2 Solicitará, usará e divulgará o mínimo necessário das Informações de Saúde Protegidas para alcançar o objetivo comercial pretendido.
    • 4.3 Não usará nem divulgará as Informações de Saúde Protegidas de modo a violar a Subparte E do 45 C.F.R. Parte 164 se feito pelo Cliente, exceto para os usos e divulgações estabelecidos nas Seções 3.2 e 3.3.
    • 4.4 Manterá proteções administrativas, físicas e técnicas apropriadas de acordo com a Subparte C da Norma de Segurança (45 C.F.R. Parte 164) para evitar o uso ou a divulgação de Informações de Saúde Protegidas à revelia deste Contrato.
    • 4.5 Comunicará ao Cliente eventuais usos ou divulgações de Informações de Saúde Protegidas não previstos no Contrato ou eventuais Incidentes de Segurança dos quais tenha conhecimento. O Cliente reconhece que a GoTo experimenta rotineiramente “Incidentes de Segurança Malsucedidos”, como pings e outros ataques de transmissão ao firewall da GoTo, varreduras de portas, tentativas malsucedidas de logon, tentativas de phishing, negações de serviço e qualquer combinação dos itens acima, que não resultam em acesso, uso ou divulgação não autorizados de Informações de Saúde Protegidas. A GoTo, por meio deste instrumento, notifica o Cliente sobre esses Incidentes de Segurança Malsucedidos, e o Cliente concorda que não é necessária nenhuma notificação adicional da GoTo.
    • 4.6 Envidará esforços razoáveis para mitigar, na medida do possível, qualquer efeito prejudicial decorrente de eventuais usos ou divulgações de Informações de Saúde Protegidas pela GoTo à revelia do Contrato.
    • 4.7 Notificará o Cliente sobre eventuais Violações de Informações de Saúde Protegidas Desprotegidas sem atrasos injustificados e, em todos os casos, dentro dos prazos estabelecidos na disposição 45 C.F.R. § 164.410. A notificação da GoTo ao Cliente, de acordo com esta Seção, incluirá, na medida do possível, as informações contidas na disposição 45 C.F.R. § 164.404 (c) (1) (A)-(D), informações de contato para as quais o Cliente poderá encaminhar dúvidas e a identificação de cada Indivíduo cujas Informações de Saúde Protegidas Desprotegidas tenham sido, ou que a GoTo razoavelmente acredite terem sido, acessadas, adquiridas, usadas ou divulgadas durante a Violação. A GoTo atualizará prontamente sua notificação ao Cliente se alguma das informações acima se tornar disponível para a GoTo após sua notificação inicial.
    • 4.8 Somente na medida em que a GoTo mantiver um Conjunto de Registros Designados em nome do Cliente que seja apenas uma cópia de tais Informações de Saúde Protegidas e quando o Cliente não puder concluir a solicitação sem a assistência da GoTo, a GoTo deverá, mediante solicitação por escrito do Cliente (i) conceder ao Cliente acesso às Informações de Saúde Protegidas nos prazos estabelecidos na disposição 45 C.F.R. § 164.524; e (ii) fazer eventuais emendas às Informações de Saúde Protegidas em um Conjunto de Registros Designados que o Cliente direcionar ou concordar nos prazos estabelecidos na disposição 45 C.F.R. § 164.526, ou tomar outras medidas necessárias para satisfazer as obrigações do Cliente nos termos da disposição 45 C.F.R. § 164.526.
    • 4.9 Manterá e disponibilizará as informações necessárias para fornecer uma contabilidade das divulgações ao Cliente, conforme necessário, para satisfazer o Cliente (ou a Entidade Coberta pertinente, se não for o Cliente) nos termos da disposição 45 C.F.R. § 164.528.
    • 4.10 Exigirá que os subcontratados que criarem, receberem, mantiverem ou transmitirem Informações de Saúde Protegidas em nome da GoTo concordem com as mesmas restrições, condições e requisitos que se aplicam à GoTo com relação a essas informações, de acordo com a disposição 45 C.F.R. §§ 164.502 (e) (1) (ii) e 164.308 (b) (2), se aplicável.
    • 4.11 Mediante solicitação do Secretário, disponibilizará ao HHS suas práticas internas, livros e registros relacionados ao uso e divulgação de Informações de Saúde Protegidas pela GoTo para fins de determinar a conformidade das Partes com as Normas da HIPAA; e
    • 4.12 Na medida em que os Serviços da GoTo exigem que ela cumpra uma ou mais obrigações do Cliente de acordo com a Subparte E da 45 C.F.R. Parte 164, cumprirá os requisitos da Subparte E que se aplicam ao Cliente no cumprimento de tais obrigações.
  5. Obrigações do Cliente
    • 5.1 O Cliente:
      • 5.1.1 Divulgará à GoTo apenas o mínimo razoavelmente necessário de Informações de Saúde Protegidas para alcançar o objetivo pretendido nos termos do Contrato.
      • 5.1.2 Não solicitará à GoTo que use ou divulgue Informações de Saúde Protegidas à revelia das Normas da HIPAA se feita pelo Cliente.
      • 5.1.3 Notificará a GoTo sobre eventuais limitações em seu aviso de práticas de privacidade, de acordo com a disposição 45 C.F.R. § 164.520, na medida em que tais limitações possam afetar o uso ou a divulgação de Informações de Saúde Protegidas pela GoTo, de acordo com este Contrato. A GoTo envidará esforços comercialmente razoáveis para cumprir tais limitações.
      • 5.1.4 Notificará a GoTo sobre eventuais alterações ou revogações de permissões de Indivíduos para usar ou divulgar Informações de Saúde Protegidas, na medida em que tais alterações possam afetar o uso ou a divulgação de Informações de Saúde Protegidas pela GoTo, de acordo com este Contrato. A GoTo concorda em cumprir tais alterações ou revogações de permissões comunicadas pelo Cliente, na medida do possível, de acordo com o Contrato.
      • 5.1.5 Notificará a GoTo sobre eventuais restrições ao uso ou divulgação de Informações de Saúde Protegidas com a qual o Cliente tenha concordado nos termos da disposição 45 C.F.R. § 164.522, na medida em que tais restrições possam afetar o uso ou a divulgação de Informações de Saúde Protegidas pela GoTo de acordo com este Contrato. A GoTo cumprirá todas as restrições comunicadas pelo Cliente, na medida do possível, de acordo com o Contrato e a legislação aplicável.
    • 5.2 O Cliente é o único responsável por (i) cumprir a HIPAA; (ii) usar os Serviços somente de maneira que esteja em conformidade com a HIPAA; e (iii) garantir que tenha direitos suficientes para divulgar Informações de Saúde Protegidas à GoTo e/ou fazer com que a GoTo trate Informações de Saúde Protegidas conforme contemplado no Contrato, incluindo, sem restrição, a obtenção e a manutenção de todos os consentimentos ou autorizações necessários.
  6. Prazo e rescisão
    • 6.1 Rescisão automática. Este AAC será automaticamente rescindido sem nenhuma ação adicional das Partes mediante (i) rescisão ou expiração do Contrato; ou (ii) conclusão da prestação de Serviços da GoTo ao Cliente que exija o Tratamento de Informações de Saúde Protegidas, o que ocorrer primeiro.
    • 6.2 Rescisão por justa causa. Se uma das Partes tomar conhecimento de uma violação material deste AAC pela outra Parte, a Parte não violadora deverá notificar por escrito a Parte violadora, estabelecendo a natureza da violação e concedendo 30 dias para saná-la. A Parte não infratora poderá rescindir este AAC ou, a seu critério, o Contrato, se a Parte infratora não tiver sanado a infração de forma satisfatória para a Parte não infratora ou se a sanação não for possível. Se o Cliente for a Parte infratora, o Cliente deverá interromper imediatamente o fornecimento de Informações de Saúde Protegidas ou fazer com que a GoTo trate Informações de Saúde Protegidas através dos Serviços. Esta disposição soma-se às disposições de rescisão do Contrato.
    • 6.3 Efeito da rescisão.
      • 6.3.1 Após a rescisão ou expiração deste AAC ou do Contrato por qualquer motivo, a GoTo devolverá ou destruirá todas as Informações de Saúde Protegidas de acordo com o 45 C.F.R. § 164.504 (e) (2) (ii) (J) se for razoavelmente viável fazê-lo. Se a GoTo determinar que o acima exposto não é viável, a GoTo (i) informará ao Cliente as razões que fundamentam sua determinação; e (ii) estenderá todas e quaisquer proteções, limitações e restrições contidas neste AAC a quaisquer Informações de Saúde Protegidas retidas após o término deste Contrato até o momento em que as Informações de Saúde Protegidas forem devolvidas ao Cliente ou destruídas.
      • 6.3.2 Não obstante a Seção 6.4.1, após a rescisão deste AAC ou do Contrato por qualquer motivo, a GoTo poderá reter todas as Informações de Saúde Protegidas que sejam necessárias para sua própria gestão e administração ou para cumprir suas responsabilidades legais; fica estabelecido, portanto, que a GoTo não usará tais Informações de Saúde Protegidas para nenhum outro fim e que estenderá todas e quaisquer proteções, limitações e restrições contidas neste AAC a quaisquer Informações de Saúde Protegidas conservadas após a rescisão deste Contrato até o momento em que tais Informações de Saúde Protegidas não sejam mais necessárias para esse fim. A GoTo cumprirá as disposições da Seção 6.4.1.
  7. Disposições gerais
    • 7.1 Subsistência de cláusulas. Os respectivos direitos e obrigações da GoTo e do Cliente, de acordo com as disposições das Seções 4.3, 4.5 e 4.9; Seções 6.3.1 e 6.3.2 e Seção 7, sobreviverão à rescisão deste Contrato até o momento em que as Informações de Saúde Protegidas forem devolvidas ao Cliente ou destruídas.
    • 7.2 Alterações. Somando-se à cláusula de alterações no Contrato, as Partes concordam em tomar as medidas necessárias para alterar este AAC de tempos em tempos, conforme necessário para cumprir as exigências das Normas da HIPAA.
    • 7.3 Inexistência de terceiros beneficiários. Nada explícito ou implícito neste Contrato tem a intenção de conferir, nem deverá conferir, a ninguém que não seja as Partes e os respectivos sucessores ou cessionários das Partes, nenhum direito, recurso, obrigação ou responsabilidade de qualquer natureza.
    • 7.4 Referências regulatórias. Uma referência neste AAC a uma seção das Normas da HIPAA significa a seção em vigor ou alterada.
    • 7.5 Interpretação. Eventuais ambiguidades neste AAC serão dirimidas de forma a permitir que as Partes cumpram as Normas da HIPAA.

Última atualização: novembro de 2024 (2024.v1.0)