Dettagli su come Blue gestisce le Informazioni Sanitarie Protette (PHI) in conformità ai regolamenti HIPAA.
Ultimo aggiornamento: 16 luglio 2025
1. Introduzione
La presente Informativa sulla Privacy HIPAA spiega come Bloo, Inc. ("noi", "ci", o "Blue") protegge la privacy e la sicurezza delle Informazioni Sanitarie Protette (PHI) in conformità al Health Insurance Portability and Accountability Act del 1996 (HIPAA) e ai suoi regolamenti di attuazione. Questa politica si applica al nostro sito web www.Blue.cc e alla nostra piattaforma B2B SaaS quando utilizzata per gestire PHI.
2. Definizioni
- Informazioni Sanitarie Protette (PHI): Qualsiasi informazione relativa allo stato di salute, alla fornitura di assistenza sanitaria o al pagamento per l'assistenza sanitaria che può essere collegata a un individuo specifico.
- Entità Coperta: Fornitori di assistenza sanitaria, piani sanitari e centri di smistamento dell'assistenza sanitaria che trasmettono informazioni sanitarie elettronicamente.
- Business Associate: Una persona o entità che svolge determinate funzioni o attività che comportano l'uso o la divulgazione di PHI per conto di, o fornisce servizi a, un'Entità Coperta.
3. Il Nostro Ruolo
Blue agisce come Business Associate per le Entità Coperte quando la nostra piattaforma B2B SaaS viene utilizzata per gestire PHI. Ci impegniamo a rispettare i regolamenti HIPAA in questa veste.
4. PHI che Possiamo Gestire
Come Business Associate, possiamo gestire vari tipi di PHI, inclusi ma non limitati a:
- Nomi dei pazienti
- Indirizzi
- Date (nascita, ricovero, dimissioni, ecc.)
- Numeri di telefono
- Indirizzi email
- Numeri di cartelle cliniche
- Numeri di conto
- Numeri di beneficiari del piano sanitario
5. Uso e Divulgazione delle PHI
Utilizzeremo o divulgheremo PHI solo come consentito dal nostro Accordo di Business Associate con l'Entità Coperta e in conformità ai regolamenti HIPAA. Ciò può includere:
- Fornire i servizi della nostra piattaforma B2B SaaS
- Condurre analisi dei dati per migliorare i nostri servizi
- Eseguire manutenzione del sistema e risoluzione dei problemi
Non utilizzeremo né divulgheremo PHI per scopi di marketing o venderemo PHI a meno che non sia esplicitamente autorizzato dall'Entità Coperta e dall'individuo.
6. Misure di Sicurezza dei Dati
Implementiamo robuste misure di sicurezza per proteggere le PHI, incluse:
- Crittografia di livello aziendale (AES-256) per i dati a riposo e in transito
- Sistemi avanzati di monitoraggio e allarme
- Autenticazione a più fattori (MFA) per i sistemi backend
- Audit di sicurezza regolari da parte di terzi
- Backup giornalieri dei dati
- Collaborazione con ricercatori esterni di sicurezza
7. Formazione dei Dipendenti e Accesso
Tutti i nostri dipendenti ricevono formazione regolare sulla conformità HIPAA. L'accesso alle PHI è limitato al personale autorizzato su base need-to-know.
8. Conservazione dei Dati
Conserviamo le PHI solo per il tempo necessario a fornire i nostri servizi o come richiesto dalla legge. Una volta eliminate le PHI, le conserviamo per 30 giorni prima della cancellazione permanente.
9. Archiviazione e Trasferimento dei Dati
Le PHI sono archiviate crittografate a riposo nei data center AWS. Se trasferiamo PHI al di fuori degli Stati Uniti (ad esempio, a Singapore), garantiamo che siano in atto salvaguardie appropriate e rispettiamo tutte le leggi e i regolamenti applicabili.
10. Notifica di Violazione
In caso di violazione di PHI non protette, notificheremo le Entità Coperte interessate senza ritardo irragionevole e in nessun caso oltre 60 giorni di calendario dalla scoperta della violazione.
11. Diritti Individuali
Assisteremo le Entità Coperte nell'adempimento dei loro obblighi di fornire agli individui i loro diritti sotto HIPAA, inclusi:
- Diritto di accedere alle loro PHI
- Diritto di richiedere modifiche alle loro PHI
- Diritto a una rendicontazione delle divulgazioni
- Diritto di richiedere restrizioni sull'uso e la divulgazione delle loro PHI
- Diritto di richiedere comunicazioni riservate
Gli individui dovrebbero contattare il loro fornitore di assistenza sanitaria (l'Entità Coperta) per esercitare questi diritti.
12. Accordi di Business Associate (BAA)
Come Business Associate, Blue si impegna a stipulare Accordi di Business Associate (BAA) con le Entità Coperte come richiesto da HIPAA. Se Lei è un'Entità Coperta e desidera utilizzare i nostri servizi per gestire Informazioni Sanitarie Protette (PHI), dovrà avere un BAA firmato con noi.
Per richiedere un BAA:
- Contatti il nostro team vendite all'indirizzo sales@blue.cc o tramite il modulo di contatto del nostro sito web.
- Specifichi che Lei è un'Entità Coperta che richiede un BAA per la conformità HIPAA.
- Fornisca il nome della Sua organizzazione e le informazioni di contatto.
- Il nostro team risponderà entro 2 giorni lavorativi con il nostro BAA standard o per discutere eventuali requisiti personalizzati.
Si prega di notare:
- Utilizziamo un modello BAA standard che è stato revisionato dal nostro team legale per la conformità HIPAA.
- Eventuali modifiche al nostro BAA standard potrebbero richiedere revisione e approvazione aggiuntive.
- Raccomandiamo che Lei faccia revisionare il BAA dal Suo consulente legale prima della firma.
- Un BAA firmato deve essere in vigore prima che qualsiasi PHI venga elaborata attraverso la nostra piattaforma.
13. Modifiche a Questa Politica
Potremmo aggiornare questa Informativa sulla Privacy HIPAA di volta in volta. Notificheremo alle Entità Coperte eventuali modifiche significative pubblicando la nuova Informativa sulla Privacy in questa pagina. Può trovare tutte le modifiche con controllo di versione nel nostro Repository Gitlab
14. Contattaci
Se ha domande su questa Informativa sulla Privacy HIPAA, sulle nostre pratiche sui dati o sul nostro processo BAA, contatti il nostro Responsabile della Privacy:
Emanuele FAJA, CEO
Email: support@blue.cc