Detalhes sobre como o Blue trata as Informações de Saúde Protegidas (PHI) em conformidade com os regulamentos HIPAA.
Esta tradução é fornecida apenas para conveniência. A versão em inglês deste documento é o acordo legalmente vinculativo.
Última atualização: 16 de julho de 2025
1. Introdução
Esta Política de Privacidade HIPAA explica como a Bloo, Inc. ("nós", "nossa", ou "Blue") protege a privacidade e segurança das Informações de Saúde Protegidas (PHI) em conformidade com a Lei de Portabilidade e Responsabilidade de Seguro de Saúde de 1996 (HIPAA) e seus regulamentos de implementação. Esta política se aplica ao nosso site www.Blue.cc e à nossa plataforma B2B SaaS quando usada para tratar PHI.
2. Definições
- Informações de Saúde Protegidas (PHI): Qualquer informação sobre estado de saúde, prestação de cuidados de saúde, ou pagamento por cuidados de saúde que possa ser vinculada a um indivíduo específico.
- Entidade Coberta: Provedores de cuidados de saúde, planos de saúde e câmaras de compensação de cuidados de saúde que transmitem informações de saúde eletronicamente.
- Associado de Negócios: Uma pessoa ou entidade que executa certas funções ou atividades que envolvem o uso ou divulgação de PHI em nome de, ou fornece serviços para, uma Entidade Coberta.
3. Nosso Papel
O Blue atua como Associado de Negócios para Entidades Cobertas quando nossa plataforma B2B SaaS é usada para tratar PHI. Estamos comprometidos em cumprir os regulamentos HIPAA nesta capacidade.
4. PHI que Podemos Tratar
Como Associado de Negócios, podemos tratar vários tipos de PHI, incluindo mas não limitado a:
- Nomes de pacientes
- Endereços
- Datas (nascimento, admissão, alta, etc.)
- Números de telefone
- Endereços de e-mail
- Números de prontuário médico
- Números de conta
- Números de beneficiários do plano de saúde
5. Uso e Divulgação de PHI
Utilizaremos ou divulgaremos PHI apenas conforme permitido por nosso Acordo de Associado de Negócios com a Entidade Coberta e em conformidade com os regulamentos HIPAA. Isso pode incluir:
- Fornecimento de nossos serviços de plataforma B2B SaaS
- Condução de análise de dados para melhorar nossos serviços
- Execução de manutenção do sistema e solução de problemas
Não usaremos ou divulgaremos PHI para fins de marketing ou venderemos PHI a menos que explicitamente autorizado pela Entidade Coberta e pelo indivíduo.
6. Medidas de Segurança de Dados
Implementamos medidas de segurança robustas para proteger PHI, incluindo:
- Criptografia de nível empresarial (AES-256) para dados em repouso e em trânsito
- Sistemas avançados de monitoramento e alerta
- Autenticação multifator (MFA) para sistemas backend
- Auditorias de segurança regulares por terceiros
- Backups diários de dados
- Colaboração com pesquisadores de segurança externos
7. Treinamento e Acesso de Funcionários
Todos os nossos funcionários recebem treinamento regular sobre conformidade HIPAA. O acesso a PHI é restrito a pessoal autorizado com base na necessidade de saber.
8. Retenção de Dados
Retemos PHI apenas pelo tempo necessário para fornecer nossos serviços ou conforme exigido por lei. Uma vez que PHI é excluído, o mantemos por 30 dias antes da exclusão permanente.
9. Armazenamento e Transferência de Dados
PHI é armazenado criptografado em repouso em data centers da AWS. Se transferirmos PHI para fora dos Estados Unidos (por exemplo, para Singapura), garantimos que salvaguardas apropriadas estejam em vigor e cumprimos com todas as leis e regulamentos aplicáveis.
10. Notificação de Violação
No caso de uma violação de PHI não protegido, notificaremos as Entidades Cobertas afetadas sem atraso injustificado e em nenhum caso mais tarde que 60 dias corridos após a descoberta da violação.
11. Direitos Individuais
Auxiliaremos as Entidades Cobertas no cumprimento de suas obrigações de fornecer aos indivíduos seus direitos sob HIPAA, incluindo:
- Direito de acessar seu PHI
- Direito de solicitar emendas ao seu PHI
- Direito a uma contabilidade das divulgações
- Direito de solicitar restrições no uso e divulgação de seu PHI
- Direito de solicitar comunicações confidenciais
Os indivíduos devem contatar seu provedor de cuidados de saúde (a Entidade Coberta) para exercer esses direitos.
12. Acordos de Associado de Negócios (BAAs)
Como Associado de Negócios, o Blue está comprometido em firmar Acordos de Associado de Negócios (BAAs) com Entidades Cobertas conforme exigido pelo HIPAA. Se você for uma Entidade Coberta e desejar usar nossos serviços para tratar Informações de Saúde Protegidas (PHI), precisará ter um BAA assinado conosco.
Para solicitar um BAA:
- Entre em contato com nossa equipe de vendas em sales@blue.cc ou através do formulário de contato do nosso site.
- Especifique que você é uma Entidade Coberta que requer um BAA para conformidade HIPAA.
- Forneça o nome da sua organização e informações de contato.
- Nossa equipe responderá dentro de 2 dias úteis com nosso BAA padrão ou para discutir quaisquer requisitos personalizados.
Por favor note:
- Usamos um modelo de BAA padrão que foi revisado por nossa equipe jurídica para conformidade HIPAA.
- Quaisquer modificações ao nosso BAA padrão podem exigir revisão e aprovação adicionais.
- Recomendamos que você tenha o BAA revisado por seu próprio conselho jurídico antes de assinar.
- Um BAA assinado deve estar em vigor antes que qualquer PHI seja processado através de nossa plataforma.
13. Alterações nesta Política
Podemos atualizar esta Política de Privacidade HIPAA de tempos em tempos. Notificaremos as Entidades Cobertas de quaisquer mudanças significativas publicando a nova Política de Privacidade nesta página. Você pode encontrar todas as mudanças controladas por versão em nosso Repositório Gitlab
14. Entre em Contato Conosco
Se você tiver alguma dúvida sobre esta Política de Privacidade HIPAA, nossas práticas de dados, ou nosso processo de BAA, entre em contato com nosso Responsável pela Privacidade:
Emanuele FAJA, CEO
E-mail: support@blue.cc