Garantire che i dati dei nostri clienti siano al sicuro e sempre a loro disposizione è una delle nostre priorità. Per i clienti soggetti ai requisiti della normativa HIPAA (Health Insurance Portability and Accountability Act), offriamo determinati servizi di Google Workspace e Cloud Identity per supportare la conformità a questa normativa.
In base alla normativa HIPAA, alcune informazioni riguardanti la salute della persona o i servizi sanitari sono considerate dati sanitari protetti (PHI, Protected Health Information). I clienti di Google Workspace e Cloud Identity soggetti alla normativa HIPAA che intendono utilizzare determinati servizi di Google Workspace o Cloud Identity presenti nell'elenco delle funzionalità incluse per HIPAA devono firmare un Emendamento al Contratto di società in affari (Business Associate Agreement, BAA) con Google.
È responsabilità dei clienti di Google Workspace e Cloud Identity determinare se sono soggetti ai requisiti della normativa HIPAA e se utilizzano o intendono utilizzare dati di tipo PHI nei servizi Google. I clienti che non hanno firmato un BAA con Google non devono utilizzare dati di tipo PHI nei servizi di Google Workspace o Cloud Identity.
Gli amministratori sono tenuti a esaminare e accettare un BAA prima di utilizzare dati di tipo PHI nei servizi Google. Per scoprire quali prodotti Google Workspace possono essere utilizzati per la conformità HIPAA, vai alla pagina Funzionalità incluse per HIPAA.
Abbiamo pubblicato la Guida all'implementazione della normativa HIPAA per Google Workspace e Cloud Identity per aiutare i clienti a comprendere come organizzare i dati nei servizi Google quando gestiscono dati PHI. Questa guida si rivolge ai dipendenti delle organizzazioni che sono responsabili dell'implementazione della normativa HIPAA e della conformità in Google Workspace e Cloud Identity.
Domande frequenti
Come faccio a ricevere una copia del mio Contratto di società in affari (BAA) HIPAA una volta che è stato accettato elettronicamente?
Il BAA HIPAA viene reso disponibile ai clienti per l'accettazione in forma elettronica tramite la Console di amministrazione. Questo contratto elettronico è vincolante tanto quanto un contratto cartaceo, ovvero ha gli stessi effetti legali. Per dimostrare l'accettazione in forma elettronica il cliente può produrre uno screenshot dell'accettazione della normativa HIPAA, che viene visualizzata nella sezione Aspetti legali e conformità della Console di amministrazione. Utilizzando un account super amministratore, vai alla Home page della Console di amministrazione, quindi vai a Impostazioni account 
Aspetti legali e conformità.
Le funzionalità intelligenti di Gmail sono conformi alla normativa HIPAA?
Le funzionalità Aiutami a scrivere, Risposte rapide contestuali e quelle del riquadro laterale sono coperte come parte di Google Workspace con Gemini nelle funzionalità incluse per HIPAA. Per maggiori dettagli sulle funzionalità intelligenti, vedi Collabora con Gemini in Gmail.
Le applicazioni di terze parti sono coperte dal BAA di Google Workspace?
Le applicazioni di terze parti, compresi i componenti aggiuntivi, non sono tra i prodotti indicati come Funzionalità inclusa coperta dal BAA. Per saperne di più, consulta la nostra Guida all'implementazione della normativa HIPAA per Google Workspace e Cloud Identity.
Come faccio a inviare documenti a un dominio esterno in un modo compatibile con la mia conformità alla normativa HIPAA?
Durante la condivisione di PHI all'interno o all'esterno del dominio Google Workspace, i clienti devono attenersi ai criteri della propria organizzazione per la gestione di questo tipo di dati. I clienti possono scegliere il metodo di condivisione corrispondente all'interno o all'esterno di Google Workspace per conformarsi a questi criteri coerentemente con le impostazioni a livello di dominio di Google Workspace. La Guida all'implementazione della normativa HIPAA per Google Workspace e Cloud Identity fornisce indicazioni su come limitare l'accesso ai dati di tipo PHI all'interno di un dominio Google Workspace, ad esempio consentendo la condivisione con destinatari specifici anziché con chiunque abbia il link.
Google ha in programma di aggiungere prodotti che attualmente non risultano classificati come Funzionalità inclusa per HIPAA?
Google è tuttora impegnata nella valutazione dell'ambito delle Funzionalità incluse e potrebbe aggiungere ulteriori prodotti in futuro. Tieni presente che né i termini dell'Addendum per il trattamento dei dati Cloud (ATDC) né i termini del BAA di Google Workspace si estendono ai Servizi Google aggiuntivi. Google continua a valutare metodi per fornire ulteriori controlli relativi ai Servizi Google aggiuntivi e può introdurli in qualsiasi momento come parte della funzionalità dei servizi.