Area Legale​

Contratto di associazione aziendale HIPAA

Ultimo Aggiornamento: 
Luglio 26, 2024

Il presente Contratto di associazione commerciale (“BAA“) fa parte dei Termini di servizio di lutinx.com o di altri accordi che regolano l’uso dei servizi di lutinx.com (“Contratto”), indipendentemente dal fatto che tu sia un cliente esistente che ha accettato il Contratto o un nuovo cliente che accetta il Contratto ora e si applicherà a te solo se stai utilizzando l’abbonamento di livello aziendale e hai abilitato la funzionalità di conformità HIPAA sulla Piattaforma. Riconosci che tu, per tuo conto come individuo o per conto del tuo datore di lavoro o delle sue affiliate autorizzate (collettivamente, “Entità coperta”, “tu”, “tuo” o il “Cliente”) hai letto e compreso e accetti di rispettare il presente BAA e stai stipulando un accordo legale vincolante con Lutin Technologies Ltd., il proprietario di lutinx.com (“lutinx.com”, “noi”, “nostro” o “Associato commerciale”). “Affiliato autorizzato” indica qualsiasi affiliato del Cliente a cui è esplicitamente consentito di utilizzare i Servizi ai sensi dell’Accordo tra il Cliente e lutinx.com ma che non ha firmato un proprio accordo con lutinx.com e non è un “Cliente” come definito nell’Accordo. “Servizi” indica la piattaforma del sistema operativo di lavoro basata su cloud (“Piattaforma”) e qualsiasi altro servizio fornito al Cliente da lutinx.com ai sensi dell’Accordo. Nella misura in cui accetti questo BAA in relazione al tuo utilizzo dei nostri Servizi per conto di un’entità che è un “associato commerciale”, come definito nell’HIPAA, di una o più entità coperte dall’HIPAA e non essa stessa un’entità coperta dall’HIPAA, lutinx.com riconosce di funzionare come un “subappaltatore” ai sensi del presente come definito in 45 C.F.R. § 160.103 e che il termine “Entità coperta” come qui utilizzato deve essere considerato terminologia contrattuale e non implica che tu sia un’entità coperta come definito da HIPAA. Entrambe le parti devono essere definite “Parti” e ciascuna, una “Parte”.

Nel corso della fornitura dei Servizi ai sensi del Contratto, il Business Associate può accedere, utilizzare, divulgare, archiviare e/o elaborare PHI per conto dell’Entità coperta. Il BAA riflette l’accordo delle Parti su come il Business Associate utilizza e/o divulga le Informazioni sanitarie protette (“PHI”) dell’Entità coperta per conto dell’Entità coperta. I termini in maiuscolo non definiti qui devono avere i significati assegnati a tali termini nel Contratto o come definiti dall’Health Insurance Portability and Accountability Act del 1996, come modificato, e dai suoi regolamenti di attuazione, come possono essere aggiornati di volta in volta (collettivamente, “HIPAA”). Dichiari e garantisci di avere, o di aver ricevuto, piena autorità per vincolare l’Entità coperta a questo BAA. Se non puoi, o non accetti, rispettare e essere vincolato da questo BAA o non hai l’autorità di vincolare l’Entità coperta, ti preghiamo di non fornirci o darci accesso a PHI.

Per firmare un BAA con noi, puoi (i) controfirmare la versione online di questo BAA pubblicata su lutinx.com, utilizzando la versione gratuita di L.Stamp/CopyrigtZone direttamente dal tuo account. La copia firmata verrà condivisa direttamente con noi. In caso di conflitto tra alcune disposizioni di questo BAA e le disposizioni del Contratto, prevarranno le disposizioni di questo BAA.

Le Parti concordano di rispettare le seguenti disposizioni relative a qualsiasi PHI che l’Entità coperta fornisce al Business Associate affinché il Business Associate esegua i Servizi.

1.   Usi e divulgazioni consentiti.

Il Business Associate può utilizzare e divulgare le PHI necessarie per adempiere ai propri obblighi nei confronti dell’Entità coperta come stabilito nell’Accordo o come altrimenti consentito o richiesto dalla legge ai sensi dell’HIPAA, a condizione che il Business Associate non utilizzi o divulghi le PHI in un modo che non sarebbe consentito se fatto dall’Entità coperta. Il Business Associate può anche:

(a)   utilizzare le PHI (i) come necessario per la sua corretta gestione e amministrazione, o (ii) per svolgere le sue responsabilità legali; e

(b)   divulgare le PHI a terze parti per gli stessi scopi a condizione che (i) la divulgazione sia richiesta dalla legge o (ii) il Business Associate ottenga garanzie soddisfacenti da detta terza parte che le PHI saranno tenute riservate e utilizzate o ulteriormente divulgate solo come richiesto dalla legge o per lo scopo per cui sono state divulgate e che la terza parte notificherà al Business Associate tutti i casi di cui è a conoscenza in cui la riservatezza delle PHI è stata violata.

Il partner commerciale dovrà utilizzare, divulgare e richiedere solo le informazioni sanitarie protette minime necessarie per raggiungere lo scopo dell’utilizzo, della divulgazione o della richiesta.

2.   Obblighi del Business Associate.

(a)         Limitazione alla divulgazione. Il Business Associate accetta di non utilizzare o divulgare ulteriormente PHI se non come consentito dal Contratto o BAA, o come richiesto dalla legge

(b)         Tutele. Il Business Associate accetta di implementare tutele amministrative, fisiche e tecniche che proteggano ragionevolmente e appropriatamente la riservatezza, l’integrità e la disponibilità delle PHI che crea, riceve, archivia, mantiene o trasmette per conto dell’Entità coperta secondo il presente BAA e il Contratto, e impedirà l’uso o la divulgazione delle PHI dell’Entità coperta se non come previsto nel presente BAA, Contratto o come richiesto dalla legge.

(c)         Mitigazione. Il Business Associate accetta di mitigare, nella misura in cui è possibile, qualsiasi effetto dannoso noto al Business Associate di un uso o divulgazione di PHI da parte del Business Associate in violazione dei requisiti del BAA.

(d)         Uso di agenti/subappaltatori. Il Business Associate accetta di garantire che tutti gli agenti, incluso un subappaltatore, a cui il Business Associate fornisce PHI ricevute da, o create o ricevute dal Business Associate per conto dell’Entità coperta, accettino restrizioni e condizioni per l’uso e la divulgazione di PHI che non siano meno restrittive di quelle che si applicano al Business Associate ai sensi del presente BAA.

(e)         Accesso a PHI. Entro quindici (15) giorni dal ricevimento di una richiesta scritta da parte dell’Entità coperta o di un Individuo per una copia di PHI all’interno di un Set di record designato, il Business Associate accetta di rendere disponibile la PHI richiesta all’Entità coperta per consentire all’Entità coperta di rispondere a un Individuo che desidera ispezionare o copiare la propria PHI. Il Business Associate è tenuto a rispettare la Norma sulla sicurezza in merito alle PHI elettroniche, tra cui, a titolo esemplificativo ma non esaustivo, rendere disponibili su richiesta scritta copie di PHI in formato elettronico, quando le PHI sono archiviate elettronicamente. Qualsiasi divulgazione o decisione di non divulgazione delle PHI richiesta da un Individuo e la conformità ai requisiti applicabili al diritto di un Individuo di accedere alle PHI saranno di esclusiva responsabilità dell’Entità coperta.

(f)           Modifica delle PHI. Entro quindici (15) giorni dal ricevimento di una richiesta scritta dall’Entità coperta per apportare una modifica a PHI all’interno di un Set di record designato, il Business Associate apporterà tale modifica e informerà l’Entità coperta che è stata apportata una modifica. Se il Business Associate riceve una richiesta di modifica direttamente da un Individuo, il Business Associate dovrà notificare all’Entità coperta la richiesta entro quindici (15) giorni dal ricevimento di una richiesta scritta dall’Individuo.

(g)         Contabilizzazione di determinate divulgazioni. Entro trenta (30) giorni dal ricevimento di una richiesta scritta dall’Entità coperta per un rendiconto delle divulgazioni di PHI su un Individuo, il Business Associate deve fornire all’Entità coperta un elenco delle persone o entità a cui il Business Associate ha divulgato PHI sull’Individuo nei sei (6) anni precedenti, insieme alle date, ai motivi e a brevi descrizioni delle divulgazioni per consentire all’Entità coperta di rispondere a un Individuo che richiede un rendiconto delle divulgazioni delle PHI dell’Individuo in conformità con 45 C.F.R. § 164.528.

(h)         Accesso a libri e registri. Il Business Associate dovrà rendere disponibili, su richiesta, al Segretario del Dipartimento della Salute e dei Servizi Umani degli Stati Uniti le proprie pratiche interne, i libri e i registri relativi all’uso e alla divulgazione delle PHI ricevute, create o ricevute dal Business Associate per conto dell’Entità coperta, in modo che possa valutare la conformità dell’Entità coperta alla Norma sulla privacy.

(i)           Obblighi del Business Associate alla risoluzione. Il Business Associate dovrà, alla risoluzione o alla scadenza del presente BAA, se fattibile, restituire o consentire all’Entità coperta di distruggere tutte le PHI ricevute, elaborate o ricevute dal Business Associate per conto dell’Entità coperta, che il Business Associate conserva ancora in qualsiasi forma in relazione al presente BAA e all’Accordo tramite un’opzione di cancellazione fornita dal Business Associate nella Piattaforma e non conservare alcuna copia di tali PHI, salvo quanto diversamente delineato nella Sezione 5(b) del presente BAA o dell’Accordo. Se tale restituzione o distruzione non è fattibile secondo quanto stabilito dal Business Associate, quest’ultimo estenderà le protezioni del presente BAA alle PHI e limiterà ulteriori utilizzi e divulgazioni a quegli scopi che rendono la restituzione o la distruzione delle PHI non fattibile.

(j)           Segnalazione di incidenti di sicurezza. Il Business Associate deve segnalare all’Entità coperta qualsiasi incidente di sicurezza di cui venga a conoscenza. Ai sensi del 45 C.F.R. § 164.304, un incidente di sicurezza è definito come il tentativo o il successo di accesso non autorizzato, uso, divulgazione o distruzione di informazioni o interferenza con le operazioni di sistema in un sistema informativo. Nonostante quanto sopra, le Parti riconoscono e concordano che questa Sezione costituisce una notifica da parte del Business Associate all’Entità coperta dell’esistenza e del verificarsi in corso di tentativi ma falliti di incidenti di sicurezza. Gli incidenti di sicurezza falliti includono, ma non sono limitati a, ping e altri attacchi broadcast sul firewall del Business Associate, scansioni di porte, tentativi di accesso falliti, dinieghi di servizio e qualsiasi combinazione di quanto sopra, o tramite qualsiasi altro meccanismo, purché nessun incidente di questo tipo comporti un accesso, un uso o una divulgazione non autorizzati di PHI.

3.   Procedure di notifica delle violazioni.

(a)         Segnalazione di violazioni di PHI non garantite. Il Business Associate accetta di segnalare all’Entità coperta qualsiasi violazione di PHI non garantite. Tale notifica dovrà essere tempestivamente inoltrata all’Entità coperta per iscritto senza indebito ritardo, ma in nessun caso oltre trenta (30) giorni dalla data in cui il Business Associate è venuto a conoscenza di tale violazione o, esercitando una ragionevole diligenza, avrebbe dovuto essere a conoscenza di tale violazione. Inoltre, in caso di violazione di PHI non garantite, il Business Associate dovrà mitigare, nella misura in cui è possibile, qualsiasi effetto dannoso di tale violazione.

(b)         Istruzioni per la segnalazione di una violazione di PHI non garantite. Una volta che il Business Associate viene a conoscenza di una violazione di PHI non protette, il Business Associate notificherà l’Entità coperta e in tale notifica, il Business Associate includerà, nella misura in cui è noto e disponibile, le seguenti informazioni: (1) una breve descrizione di quanto accaduto, inclusa la data dell’incidente e la data della scoperta dell’incidente; (2) l’identificazione di ogni individuo le cui PHI sono state divulgate o potenzialmente divulgate; (3) una descrizione dei tipi di PHI coinvolti nell’incidente; (4) eventuali misure che gli individui dovrebbero adottare per proteggersi da potenziali danni derivanti dall’incidente; e (5) una breve descrizione di ciò che il Business Associate sta facendo per indagare sull’incidente, per mitigare l’incidente e per proteggersi da ulteriori incidenti. Se tali informazioni non sono disponibili al momento della notifica, il Business Associate collaborerà ragionevolmente con l’Entità coperta per fornire ulteriori informazioni il più rapidamente possibile.

4. Modifiche relative alla conformità.

Le Parti riconoscono che l’HIPAA può cambiare o può essere chiarito di volta in volta e che i termini di questo BAA possono dover essere rivisti, su consiglio di un avvocato, per rimanere conformi a tali cambiamenti o chiarimenti. Le Parti concordano di negoziare, in buona fede, revisioni dei termini di questo BAA che causano la potenziale o effettiva violazione o non conformità.

5.   Termine e risoluzione.

(a)         Termine. Il presente BAA entrerà in vigore cliccando su “Accetto” sulla piattaforma lutinx.com quando si abilita la funzionalità conforme a HIPAA (applicabile solo all’abbonamento di livello enterprise) anche se in precedenza è stata firmata la versione online come stabilito sopra, e cesserà alla risoluzione o alla scadenza del presente BAA, del Contratto o quando tutte le PHI elaborate o ricevute dal Business Associate per conto dell’Entità coperta vengono, a seguito del presente BAA, distrutte o restituite al Cliente o, se le Parti stabiliscono che non è fattibile restituire o distruggere le PHI, le protezioni sono estese a tali informazioni, ai sensi dei termini del Contratto e del presente BAA.

(b)        Risoluzione. Nonostante qualsiasi altra disposizione di qualsiasi contratto, ciascuna Parte può risolvere immediatamente il presente BAA se una delle Parti, agendo ragionevolmente, determina che l’altra Parte ha violato un termine sostanziale del presente BAA e non è riuscita a porre rimedio a tale violazione entro trenta (30) giorni dal ricevimento della relativa notifica scritta. Alla risoluzione del Contratto, del BAA o degli utilizzi e/o delle divulgazioni delle PHI da parte del Business Associate, il Business Associate dovrà, se possibile, restituire o consentire all’Entità interessata di distruggere tutte le PHI ricevute, create o gestite dal Business Associate per conto dell’Entità interessata che il Business Associate conserva ancora in qualsiasi forma in relazione al presente BAA tramite un’opzione di eliminazione automatica fornita dal Business Associate sulla Piattaforma e, al momento della restituzione o dell’eliminazione, non conservare alcuna copia di tali informazioni, ad eccezione di una copia utilizzata esclusivamente a fini probatori e/o per l’accertamento, l’esercizio o la difesa di rivendicazioni legali e/o per il rispetto degli obblighi di legge.

6. Obblighi dell’Entità coperta.

(a)           Informativa sulle pratiche di privacy. L’Entità coperta deve fornire all’Associato commerciale l’informativa sulle pratiche di privacy che l’Entità coperta produce ai sensi del 45 C.F.R. § 164.520, nonché eventuali modifiche a tale informativa.

(b)           Revoca dell’uso consentito o della divulgazione di PHI. L’Entità coperta deve fornire all’Associato commerciale eventuali modifiche o revoche dell’autorizzazione di un Individuo a utilizzare o divulgare PHI, se tali modifiche incidono sugli usi e le divulgazioni consentiti o richiesti dall’Associato commerciale.

(c)           Restrizioni sull’uso o sulla divulgazione di PHI. L’Entità Coperta dovrà notificare per iscritto all’Associato Commerciale qualsiasi restrizione all’uso o alla divulgazione di PHI che l’Entità Coperta ha accettato ai sensi del 45 C.F.R. § 164.522.

(d)           Minimo Necessario. L’Entità Coperta dovrà fornire all’Associato Commerciale solo il minimo PHI necessario affinché l’Associato Commerciale possa svolgere o adempiere a una funzione specifica richiesta o consentita ai sensi del presente documento.

7.   Varie.

(a)         Integrazione e Condivisione. La Piattaforma dell’Associato Commerciale consente l’integrazione, la condivisione e lo scambio di informazioni con Servizi e Link di Terze Parti (entrambi, come definiti nell’Accordo) che possono o meno essere conformi all’HIPAA. Se l’Entità coperta sceglie di utilizzare tali Servizi e/o Link di terze parti, l’Entità coperta è l’unica responsabile dello scambio di informazioni, comprese le PHI, tra i servizi del Business Associate e la terza parte. I fornitori di Servizi di terze parti non forniscono servizi riguardanti le PHI per conto di lutinx.com e non sono business associate di lutinx.com. lutinx.com declina espressamente qualsiasi responsabilità per qualsiasi uso, divulgazione o altra azione intrapresa da tali fornitori di Servizi di terze parti o per qualsiasi inosservanza da parte dell’Entità coperta di qualsiasi legge, regolamento o disposizione contrattuale applicabile relativa alla condivisione di informazioni, comprese le PHI, con tali Servizi di terze parti.

(b) Emendamento. L’Entità coperta e il Business Associate concordano di modificare il presente BAA nella misura necessaria per consentire all’Entità coperta o al Business Associate di conformarsi all’HIPAA come modificato dal Segretario del Dipartimento della Salute e dei Servizi Umani o ad altri regolamenti o statuti correlati. Il Business Associate può modificare il presente BAA per modifiche minori (ad esempio, errori di battitura, modifiche grammaticali e/o modifiche non sostanziali) con o senza preavviso all’Entità coperta. Le Parti concorderanno reciprocamente qualsiasi modifica sostanziale al presente BAA. Nel caso in cui una delle Parti, agendo ragionevolmente, non sia in grado di accettare termini nuovi o modificati come richiesto per rendere il BAA conforme, ciascuna Parte può recedere dal presente BAA con un preavviso scritto di trenta (30) giorni all’altra Parte, o prima se necessario per impedire la non conformità a un requisito HIPAA.

(c)         Audit. Se e nella misura richiesta per conformarsi alla legge applicabile, il Business Associate fornirà a Covered Entity (e ai regolatori di Covered Entity) l’accesso durante l’orario di lavoro e previo ragionevole preavviso scritto (di almeno quattordici (14) giorni) e previo coordinamento con il personale del Business Associate, ai registri del Business Associate e ad altre informazioni pertinenti, il tutto nella misura pertinente per verificare la conformità del Business Associate ai suoi obblighi ai sensi del presente BAA. Il Business Associate fornirà qualsiasi assistenza ragionevolmente richiesta da Covered Entity o dal suo delegato nello svolgimento di tale verifica.

(d) Nessun beneficiario terzo. Nulla di quanto espresso o implicito nel presente BAA intende conferire, né nulla nel presente documento conferisce, a qualsiasi persona diversa da Covered Entity, Business Associate e rispettivi successori e cessionari, alcun diritto, rimedio, obbligo o responsabilità di alcun tipo.

(e)         Notifiche. Tutte le notifiche che devono essere fornite a una delle Parti ai sensi del presente BAA saranno in forma scritta e inviate tramite corriere tracciabile, che include la posta elettronica, in conformità con i termini dell’Accordo. Le notifiche saranno efficaci al momento della ricezione.

(f)           Legge applicabile. Il presente BAA sarà disciplinato e interpretato dalle leggi che disciplinano l’Accordo tra le Parti, senza riguardo alle sue disposizioni sui conflitti di legge.

Il presente BAA sostituisce qualsiasi precedente BAA tra le Parti relativo all’oggetto del presente documento.