Notificación

Este artículo se refiere a Looker Studio. Para consultar la documentación de Looker, visita https://cloud.google.com/looker/docs/intro.

Adenda al Contrato de Colaboración Empresarial de conformidad con la ley estadounidense HIPAA

Versión: 22 de diciembre del 2022

Esta Adenda al Contrato de Colaboración Empresarial de conformidad con la ley estadounidense HIPAA (la "BAA") se establece entre Google y el cliente que suscribe estos términos (el "Cliente"), y complementa, enmienda y se incorpora a los Contratos (definidos más abajo) únicamente en lo que respecta a los Servicios Cubiertos (definidos más abajo). Esta BAA tendrá validez a partir de la fecha en que el Cliente haga clic para aceptarla, o la fecha en que las partes acuerden suscribir la BAA.

El Cliente debe tener un Contrato en vigor para que esta BAA sea válida y efectiva. Junto con el Contrato, esta BAA regirá las obligaciones respectivas de las partes en relación con la Información Médica Protegida (definida más abajo).

Manifiestas y garantizas que (i) tienes plena autoridad legal para vincular al Cliente al cumplimiento de esta BAA, (ii) has leído y comprendes esta BAA y (iii) aceptas, en nombre del Cliente, los términos de esta BAA. Si no tienes autoridad legal para vincular al Cliente, o no estás de acuerdo con estos términos, no firmes ni hagas clic para aceptar los términos de esta BAA.

Los términos con iniciales en mayúsculas empleados pero no definidos en esta BAA tienen el mismo significado que se les asigna en (a) la sección Administrative Simplification (Simplificación Administrativa) de la Ley de Transferencia y Responsabilidad de los Seguros Médicos de EE. UU. (Health Insurance Portability and Accountability Act) de 1996, la Ley de Tecnología de Información Médica para la Salud Clínica y Económica de EE. UU. (Health Information Technology for Economic and Clinical Health Act) y sus reglamentos de aplicación según se modifiquen ocasionalmente
(en conjunto, la "HIPAA"), o en (b) los Contratos.

  1. Definiciones.

"Contratos" hace referencia a los contratos por escrito suscritos entre Google y el Cliente
para la prestación de los Servicios Cubiertos, cuyos contratos pueden proporcionarse en
forma de términos del servicio online.

"Servicios Cubiertos" hace referencia a Looker Studio, sin incluir Looker Studio Pro.

"Usuarios Finales" tiene la misma definición que en el Contrato.

"Google" hace referencia a la Entidad de Google que es parte en los Contratos.

"Entidad de Google" hace referencia a Google LLC, Google Ireland Limited o cualquier
otra Entidad Asociada de Google LLC.

"Guía de Implementación de la HIPAA" hace referencia a la guía informativa que Google proporciona, en la que se describe cómo debe configurar el Cliente los Servicios Cubiertos
para que el uso que el Cliente haga de ellos cumpla la HIPAA. La Guía de Implementación
de la HIPAA para los Servicios Cubiertos se puede consultar en la siguiente URL: https://support.google.com/looker-studio/answer/10043514.

"Información Médica Protegida" o "PHI" tiene la misma definición que en la HIPAA y que,
a efectos de esta BAA, se limita a la PHI incluida en los Datos del Cliente, a los que Google tiene acceso a través de los Servicios Cubiertos en relación con el uso que el Cliente tiene permitido hacer de dichos servicios.

  1. Aplicabilidad.
    1. Esta BAA se aplica siempre que el Cliente actúe como Entidad Cubierta o como Colaborador Empresarial para crear, recibir, mantener o transferir PHI mediante
      un Servicio Cubierto, y en la medida en que se considere de conformidad con
      la HIPAA que Google, en consecuencia, actúa como Colaborador Empresarial
      o Subcontratista del Cliente. El Cliente reconoce que esta BAA no se aplica a (i) ningún otro producto, servicio ni función de Google que no sea un Servicio Cubierto ni (ii) a ninguna PHI que el Cliente cree, reciba, mantenga o transfiera
      al margen de los Servicios Cubiertos (incluido el uso por parte del Cliente de sus herramientas de almacenamiento on-premise u offline o aplicaciones de terceros).
    2. Si en esta BAA se menciona alguna sección de la HIPAA, se hará referencia a dicha sección teniendo en cuenta las adendas que se le hagan ocasionalmente.
  1. Uso y Divulgación de PHI.
    1. Google puede usar y divulgar PHI únicamente (i) en la medida en que se permita
      o se requiera en los Contratos y/o en esta BAA, o (ii) si lo Exige la Ley.
    2. Google puede usar y divulgar PHI con fines de gestión y administración propios
      y para cumplir con sus obligaciones legales, siempre que dicha divulgación de PHI para esos fines se haga exclusivamente si: (1) Lo Exige la Ley o (2) Google obtiene garantías razonables por escrito de la persona a la que se divulgará dicha PHI de que esa información se guardará de forma confidencial, se usará o se divulgará
      en el futuro solo si lo Exige la Ley o con los fines por los que se divulgó, y de que Google será notificado de cualquier Incumplimiento o Incidente de Seguridad.
    3. En la medida en que lo exijan los requisitos "mínimos necesarios" de la HIPAA, Google únicamente solicitará, usará y divulgará la mínima cantidad de PHI necesaria para satisfacer el propósito de la solicitud, uso o divulgación que le ocupe.
    4. En la medida en que Google acepte por escrito cumplir alguna de las obligaciones del Cliente en virtud de la Normativa de Privacidad de la HIPAA, Google acatará
      los requisitos de dicha Normativa que se apliquen al cliente para satisfacer esas obligaciones.
  1. Obligaciones del Cliente.
    1. El Cliente es el único responsable de gestionar si sus Usuarios Finales están autorizados para compartir, divulgar, crear y/o usar PHI en los Servicios Cubiertos.
    2. El Cliente no solicitará que Google ni los Servicios Cubiertos usen ni divulguen PHI de ningún modo que no se permita según la HIPAA si lo hiciera el Cliente (si el Cliente es una Entidad Cubierta) o la Entidad Cubierta de la que el Cliente es Colaborador Empresarial (a menos que la HIPAA permita tal acción expresamente en el caso de los Colaboradores Empresariales), a excepción de los casos estipulados en la Cláusula 3 de esta BAA.
    3. Cuando el Cliente revele PHI a Google, el Cliente proporcionará la mínima cantidad de información necesaria para satisfacer el propósito de Google.
    4. En el caso de los Usuarios Finales que usen los Servicios Cubiertos para tratar PHI, el Cliente usará los controles disponibles en los Servicios, incluidos los detallados en la Guía de Implementación de la HIPAA, para asegurarse de que su uso de la PHI se limita a los Servicios Cubiertos. El cliente reconoce y acepta que Google le proporciona la Guía de Implementación de la HIPAA exclusivamente con fines informativos en lo que respecta a las opciones de configuración del Cliente, y que el Cliente es el único responsable de asegurar que su uso y el uso de los Usuarios Finales de los Servicios Cubiertos cumple con la HIPAA.
    5. El Cliente garantiza que ha obtenido y obtendrá los consentimientos, las autorizaciones y/o los permisos legales requeridos por la HIPAA u otras leyes aplicables para divulgar PHI a Google. Si se produce algún cambio en el permiso que un Individuo ha dado para que se use o se revele su PHI, o si un Individuo revoca tales permisos, el Cliente es el responsable de gestionar en consecuencia los Servicios Cubiertos para actualizar y/o eliminar la PHI correspondiente de los Servicios Cubiertos.
  2. Protecciones. Google y el Cliente usarán protecciones razonables y apropiadas para evitar el uso y la divulgación de PHI, salvo que esta BAA permita o exija lo contrario. Además, Google deberá implementar Protecciones Administrativas, Físicas y Técnicas que protejan de forma razonable y adecuada la Confidencialidad, la Integridad y la Disponibilidad de la PHI transferida o mantenida en Medios Electrónicos (la "EPHI") que Google cree, reciba, mantenga o transfiera en nombre del Cliente. Google deberá cumplir las disposiciones oportunas de la Normativa de Seguridad de la HIPAA en relación con la EPHI.
  3. Informes y Obligaciones Relacionadas.
    1. Google avisará inmediatamente al Cliente (i) de cualquier Incidente de Seguridad del que Google tenga constancia (según lo estipulado en la Cláusula 6(c)) y de (ii) cualquier Incumplimiento que Google detecte (dicho aviso de tales Incumplimientos deberá hacerse sin retrasos no razonables y, en ningún caso, no más tarde de los 60 días naturales después de detectarla). Las notificaciones que se hagan de conformidad con esta cláusula describirán, en la medida de lo posible, los detalles del Incumplimiento, así como las medidas tomadas para mitigar los riesgos potenciales y los pasos que Google recomienda que el Cliente tome para abordar el Incumplimiento.
    2. Google enviará las notificaciones aplicables a la dirección de correo electrónico
      de notificaciones que el Cliente haya proporcionado en el Contrato (y/o en la interfaz de usuario del servicio aplicable) o a la que el Cliente haya indicado
      en una comunicación directa.
    3. Sin perjuicio de lo estipulado en la Cláusula 6(a), esta Cláusula 6(c) se debe considerar una notificación al Cliente por parte de Google de que Google detecta periódicamente intentos fallidos de acceso, uso, divulgación, modificación o destrucción de información no autorizados, o interferencias en la operativa general de los sistemas de información de Google y de los Servicios Cubiertos. El Cliente reconoce y acepta que, aunque tales eventos constituyen un Incidente de Seguridad, de conformidad con esta BAA, no es necesario que Google proporcione ninguna otra notificación que no sea la indicada en esta Cláusula 6(c) en lo que respecta a esos intentos fallidos.
    4. Google aplicará medidas razonables para mitigar, en la medida de lo posible,
      todo efecto perjudicial (que Google conozca) derivado de un uso o una divulgación de PHI por parte de Google que constituyan una infracción de esta BAA.
    5. Google informará al Cliente de todo uso o divulgación de PHI que no estén permitidos de conformidad con esta BAA y que Google haya detectado.
  4. Subcontratistas. Google establecerá un contrato por escrito que cumpla los requisitos 45 C.F.R. §§ 164.504(e) y 164.314(a)(2), según sea aplicable, con cada Subcontratista que cree, reciba, mantenga o transfiera PHI en nombre de Google. Google se asegurará de que el contrato por escrito con cada Subcontratista obligue al Subcontratista a cumplir con restricciones y condiciones que proporcionen a la PHI el mismo nivel de seguridad significativo que las incluidas en esta BAA.
  1. Acceso y Enmienda. El Cliente reconoce y acepta que el Cliente es el único responsable de la forma y del contenido de la PHI que el Cliente mantenga dentro de los Servicios Cubiertos y de decidir si el Cliente conserva dicha PHI en un Conjunto de Registro Designado dentro de los Servicios Cubiertos. Google proporcionará al Cliente acceso a la PHI del Cliente a través de los Servicios Cubiertos para que el Cliente pueda cumplir sus obligaciones de conformidad con la HIPAA en lo que respecta a los derechos de acceso
    y enmienda de los Individuos. Sin embargo, en el caso de los Conjuntos de Registro Designados, Google no tendrá ninguna obligación hacia el Cliente ni ningún Individuo en lo que respecta a los derechos que la HIPAA concede a los Individuos (tampoco los derechos de acceso ni de enmienda de PHI). El Cliente es el responsable de gestionar el uso que hace de los Servicios Cubiertos para responder adecuadamente a dichas solicitudes de los Individuos.
  1. Contabilización de Divulgaciones. Google registrará las divulgaciones de PHI que Google lleve a cabo y dará cuenta de dichas divulgaciones al Cliente en la medida que
    se exija a un Colaborador Empresarial de conformidad con la HIPAA y con los requisitos aplicables a un Colaborador Empresarial recogidos en la HIPAA.
  1. Disponibilidad de la Documentación de la Empresa y Acceso a Registros. En la medida que la ley lo exija y de conformidad con los privilegios de abogado-cliente,
    Google pondrá a disposición de la Secretaría del Departamento de Salud y Servicios Humanos de Estados Unidos (la "Secretaría") prácticas internas, documentación y registros relacionados con el uso y la divulgación de PHI que haya recibido del Cliente,
    o que Google haya creado o recibido en nombre del Cliente, para que la Secretaría determine si Google cumple esta BAA.
  1. Vencimiento y resolución.
    1. Esta BAA se resolverá (i) por una resolución de conformidad con la Cláusula 11(b)
      a continuación o (ii) si vencen o se resuelven todos los Contratos según los cuales el Cliente tiene acceso al Servicio Cubierto, lo que ocurra primero.
    2. Si cualquiera de las partes infringe esta BAA de forma relevante, la parte no infractora podrá resolver esta BAA notificándoselo por escrito a la parte infractora con un periodo de preaviso de 15 días; si la infracción no se solventa durante
      tal periodo de 15 días, la BAA se resolverá. Si no se puede encontrar de forma razonablemente posible una solución de conformidad con esta Cláusula 11(b), la parte no infractora puede resolver inmediatamente esta BAA. O bien, si, de forma razonablemente posible, no se puede resolver esta BAA ni encontrar una solución de conformidad con esta Cláusula 11(b), la parte no infractora puede informar de la infracción a la Secretaría de conformidad con todos los privilegios legales aplicables.
    3. Si se resuelve esta BAA antes que los Contratos, el Cliente puede seguir usando
      los Servicios de conformidad con los Contratos, pero debe eliminar toda PHI que mantenga en los Servicios Cubiertos y dejar de crear, recibir, mantener tal PHI
      o de transferírsela a Google.
  2. Devolución o Destrucción de Información. Cuando se resuelvan los Contratos, Google devolverá o destruirá toda la PHI que haya recibido del Cliente, o que Google haya creado o recibido en nombre del Cliente. Sin embargo, si se da el caso de que tal devolución o destrucción no es factible, Google extenderá las protecciones de esta BAA a la PHI que no devuelva o destruya y limitará que esta se siga usando y divulgando para los propósitos que hacen que no sea factible devolverla o destruirla.
  3. Cambios en esta BAA. Ocasionalmente, Google puede modificar los términos de esta BAA, así como las URLs a las que se hace referencia en ellos y el contenido al que dirigen dichas URLs. En caso de que se realicen estas modificaciones, se informará de ello mediante una notificación en la URL correspondiente (o en otra URL que proporcione Google ocasionalmente) o en la interfaz de usuario del Servicio Cubierto en cuestión.
    Los cambios que se realicen en estos términos (incluidos los cambios en el contenido
    de las URLs) no tendrán carácter retroactivo y entrarán en vigor 14 días después de
    su publicación, salvo si esos cambios en las referencias de las URLs tienen efectos inmediatos.
  4. Otras Disposiciones.
    1. Vigencia. La Cláusulas 12 (Devolución o Destrucción de Información) y 14 (Otras Disposiciones) seguirán vigentes tras la resolución o el vencimiento de esta BAA.
    2. Efectos de la Adenda. En la medida en que surja algún conflicto entre esta BAA
      y el resto de los Contratos, esta BAA prevalecerá. Esta BAA está sujeta a la cláusula "Legislación Aplicable" de los Contratos. Salvo los términos que se modifiquen o se enmienden expresamente en esta BAA, los términos de los Contratos siguen teniendo validez.

Versiones anteriores

16 de noviembre del 2020

true
Novedades de Looker Studio

Descubre nuevas funciones y cambios recientes. Las notas de la versión de Looker Studio están disponibles en Google Cloud.

Búsqueda
Borrar búsqueda
Cerrar búsqueda
Menú principal
13618485338653178430
true
Buscar en el Centro de ayuda
true
true
true
true
true
102097
false
false