Butterfly Network (“Butterfly”)
Domande frequenti sulla privacy globale

Ultimo aggiornamento: 26 marzo 2020

Questa pagina ha l'obiettivo di rispondere alle domande più frequenti relative alle strategie di Butterfly in merito a privacy, protezione dei dati e sicurezza, compreso il modo in cui Butterfly gestisce la conformità alle normative globali sulla protezione dei dati, come il Regolamento generale sulla protezione dei dati dell'Unione Europea (“GDPR”) e la Legge sulla privacy dell'Australia e della Nuova Zelanda. Ha inoltre l'obiettivo di informare meglio i nostri clienti e i professionisti del settore sanitario (come Lei) riguardo ai dati del paziente che Lei fornisce a Butterfly.

Speriamo che la sezione delle domande frequenti sia utile. Tuttavia, è opportuno sapere che questa sezione non costituisce alcun tipo di consulenza legale né è intesa a formare le aziende sulle procedure necessarie a mantenere la conformità ai loro obblighi legali.

Butterfly ha un programma per la privacy?

Sì, Butterfly dispone di un programma completo per la privacy. 

Non possiamo fornire consigli personalizzati sulla conformità ai requisiti di privacy, tuttavia abbiamo la facoltà di illustrare come funzionano i nostri Servizi e i relativi controlli di sicurezza integrati. Ci impegniamo al massimo per garantire che i nostri Servizi impieghino i controlli di sicurezza migliori del settore, tuttavia la verifica che tali Servizi si adattino alle necessità di un'azienda è di responsabilità di quest'ultima. Butterfly si propone di semplificare questa valutazione tramite:

  • La presenza di termini dettagliati su protezione dei dati e sicurezza nei nostri contratti standard, tra cui un'appendice sul Trattamento dei dati in conformità al GDPR, ove i dati provengano da UE o Svizzera.
  • La certificazione ai sensi del programma dello scudo UE-USA e Svizzera-USA per la tutela della privacy per proteggere le informazioni in conformità con i principi dello scudo per la privacy. Per ulteriori informazioni sullo scudo per la privacy, consultare il sito www.privacyshield.gov, oppure, per visualizzare la nostra Certificazione, consultare https://www.privacyshield.gov/participant?id=a2zt00000008hnlAAA&status=Active.  
  • L'utilizzo di misure per la sicurezza tecnica e organizzativa volte a proteggere i dati personali che ci vengono affidati, incluse le misure descritte qui.
  • La nomina di un responsabile della protezione dei dati (DPO) per sovrintendere al continuo sviluppo dell'impegno di Butterfly nei confronti della protezione della privacy e dei dati. È possibile contattare il responsabile della protezione dei dati (DPO) al seguente indirizzo: dpo@butterflynetinc.com.

In caso di ulteriori domande sulla conformità alla protezione dei dati di Butterfly, è possibile inviare un'e-mail al responsabile della protezione dei dati (DPO) utilizzando le informazioni di contatto summenzionate. 

Butterfly dispone di un team per la sicurezza dedicato? 

Sì, la sicurezza dei dati è di fondamentale importanza per Butterfly. Ci aspettiamo che tutti i nostri collaboratori svolgano un ruolo nel mantenere sicuri i dati che i clienti ci affidano. 

Il team di sicurezza è coordinato dal direttore della sicurezza informatica (CISO), che collabora con un team dedicato per la sicurezza dei dati il cui compito è quello di garantire che vengano adottate le misure di sicurezza tecnica e organizzativa appropriate, incluse quelle descritte qui.

Quali dati personali trattiamo?

In connessione con i nostri Servizi, i professionisti del settore sanitario possono caricare e ospitare all'interno della piattaforma Butterfly determinati dati dei pazienti (“Dati del paziente”). I nostri clienti determinano quali Dati del paziente vengono caricati sulla Piattaforma. Tuttavia, questi potrebbero includere il nome, il sesso e la data di nascita del paziente, così come le scansioni MRN acquisite tramite il Dispositivo iQ, ivi comprese le note cliniche del professionista del settore sanitario sui pazienti e sulle loro scansioni. 

Tutti i Dati del paziente trattati da Butterfly all'interno della sua piattaforma sono considerati dati personali e l'UE, e molti Paesi al di fuori dell'UE, come Australia e Nuova Zelanda, dispongono di leggi che tutelano la raccolta, l'utilizzo, la conservazione e il trasferimento dei dati personali dei propri cittadini. Infatti, i Dati del paziente sono trattati in molti luoghi come dati sensibili (o “dati di categoria speciale”) e sono quindi soggetti a elevati requisiti di protezione e conformità.

Butterfly ha adottato una serie di misure affinché i suoi clienti possano acquisire e archiviare in modo sicuro e confidenziale i dati dei pazienti all'interno della piattaforma Butterfly. Butterfly si impegna a trattare tutte le informazioni personali ricevute in conformità alle leggi sulla protezione dei dati e sulla privacy applicabili. 

Dove vengono archiviati i dati del paziente?

Il luogo in cui vengono archiviati i dati dipende dalla posizione geografica dell'organizzazione. Attualmente, per archiviare i dati utilizziamo i seguenti data center AWS:

  • Europa: i dati vengono archiviati nella regione AWS eu-central-1 (Francoforte).
  • Australia e Nuova Zelanda: i dati vengono archiviati nella regione AWS ap-southeast-2 (Sydney).
  • Nord America e resto del mondo: i dati vengono archiviati nella regione AWS us-east-1 (Virginia del Nord) e AWS us-west-2 (Oregon).
  • Canada: i dati vengono archiviati nella regione AWS (Montreal, Québec).

Le regioni non costituiscono un limite per l'accesso a Butterfly Network da parte dei clienti: determinano solo la posizione geografica in cui vengono archiviati i dati e fornite le risorse di calcolo.  È opportuno tenere presente che, quando i dati saranno archiviati nelle regioni di cui sopra, diventeranno accessibili per il personale di Butterfly Network situato negli Stati Uniti, ma solo nella misura necessaria per supportare, proteggere e mantenere i servizi in conformità con il contratto con i nostri clienti. I dati in forma pseudonimizzata o aggregata possono anche essere memorizzati nei nostri sistemi centrali di archiviazione ed elaborazione negli Stati Uniti.

È vero che gli enti pubblici della Columbia Britannica e della Nuova Scozia devono conservare tutti i dati personali in loro possesso all'interno del Canada?

No. Il Freedom of Information and Protection of Privacy Act (FOIPPA) della Columbia Britannica e il Personal Information International Disclosure Protection Act (PIIDPA) della Nuova Scozia contengono eccezioni in base alle quali gli enti pubblici di tali province possono archiviare dati personali anche al di fuori del Canada, se le informazioni non sono anonimizzate e la persona a cui fanno riferimento ha acconsentito all'accesso o alla conservazione dei propri dati in un'altra giurisdizione in conformità alle normative FOIPPA o PIIDPA. Il PIIDPA fornisce ulteriore margine di manovra ai dirigenti di enti pubblici della Nuova Scozia, consentendo l'archiviazione di dati personali al di fuori del Canada, dove l'archiviazione deve soddisfare i requisiti necessari per il funzionamento dell'ente pubblico.

Il GDPR richiede che i dati personali UE restino nell'UE?

No, il GDPR non richiede la permanenza nell'UE dei dati personali. Il GDPR limita il trasferimento di dati personali al di fuori dell'UE verso paesi come gli Stati Uniti, a meno che il destinatario non fornisca adeguate garanzie. Tuttavia, l'appendice di Butterfly Network sul trattamento dei dati UE, che fa riferimento alla nostra certificazione per la tutela della privacy e alle clausole di modello della Commissione europea, consente ai nostri clienti di trasferire legalmente i dati personali UE a Butterfly Network, situata negli Stati Uniti. È possibile reperire ulteriori informazioni sulla nostra certificazione per la tutela della privacy qui.

Quali sono i ruoli rilevanti di Butterfly, del paziente e dei professionisti del settore sanitario ai sensi dell’RGPD?

Quando i professionisti del settore sanitario trasmettono i Dati del paziente a Butterfly, loro (o l'ospedale per cui lavorano) sono i titolari del controllo; Butterfly, di norma, è il responsabile del trattamento e il paziente è il soggetto interessato. In qualità di responsabile del trattamento, Butterfly si impegna a trattare i Dati del paziente residente nell'UE in conformità ai requisiti dell'articolo 28 del GDPR nell'appendice sul trattamento dei dati standard (DPA), una copia della quale è allegata ai termini standard (disponibile su richiesta). 

Butterfly talvolta agisce come titolare del controllo nella sua relazione con i professionisti del settore sanitario, ad esempio quando Butterfly raccoglie informazioni sui professionisti del settore sanitario per finalità di marketing, vendite e gestione del rapporto con i professionisti del settore sanitario (o l’ospedale per cui lavorano).  

Butterfly può, ove consentito dalla legge applicabile e dai propri clienti, agire anche in qualità di titolare del controllo di determinati Dati del paziente in relazione alle sue attività di deep learning. Per ulteriori informazioni, è possibile consultare l'Informativa sulla privacy dei pazienti di Butterfly, che spiega come utilizziamo i Dati dei pazienti per tali scopi. 

Cosa sta facendo Butterfly per essere conforme e aiutare i suoi clienti a rispettare l’RGPD?

Butterfly ha avviato un progetto di conformità con il supporto di consulenti esterni specializzati per rispettare la conformità al GDPR. Le misure specifiche che abbiamo adottato, oltre a quelle summenzionate, comprendono:

  • Emendare i nostri contratti con fornitori e clienti per garantire che i termini siano conformi all’RGPD.
  • Garantire che le nostre politiche e informative sulla privacy spieghino chiaramente l'impegno di Butterfly riguardo al GDPR e i diritti che gli utenti hanno rispetto ai propri dati. L'Informativa sulla privacy di Butterfly è disponibile qui.
  • Formalizzare i nostri processi in merito ai diritti del soggetto interessato per garantire che siamo in grado di aiutare in modo più efficiente i nostri clienti a rispondere alle richieste del soggetto interessato.
  • Garantire l'utilizzo di robuste e appropriate misure di sicurezza per salvaguardare tutti i dati raccolti e trattati su sistemi gestiti da Butterfly o di sua proprietà.
  • Effettuare valutazioni dell’impatto sulla protezione dei dati per identificare e ridurre i rischi per i dati del paziente.
  • Mantenere registri accurati del trattamento dei dati personali da noi intrapreso. 

Butterfly Network si impegna a rispettare la conformità al GDPR e ne comprende l'importanza per i suoi clienti. 

In che modo Butterfly Network è conforme alle leggi sull’esportazione dei dati dell’UE?

La legge sulla protezione dei dati dell'UE vieta l'esportazione di dati personali al di fuori dello Spazio economico europeo (“SEE”) a destinatari non SEE, a meno che non siano in atto determinate misure protettive. 

Butterfly Network ha la sua sede centrale negli Stati Uniti, sebbene offra i suoi Servizi a clienti di tutto il mondo, compresi professionisti del settore sanitario situati nel SEE e in Svizzera. Pertanto, Butterfly tratterà i dati personali che provengono dal SEE e dalla Svizzera sui propri server e nelle proprie strutture negli Stati Uniti. 

Per garantire la conformità con le leggi UE sull'esportazione dei dati, Butterfly si è autocertificata allineandosi ai requisiti dello scudo UE-USA e Svizzera-USA per la privacy per facilitare il trasferimento legale di dati dal SEE e dalla Svizzera a Butterfly per il trattamento negli Stati Uniti. Per ulteriori informazioni sullo scudo per la privacy, consultare il sito www.privacyshield.gov, oppure, per visualizzare la nostra Certificazione, consultare https://www.privacyshield.gov/participant?id=a2zt00000008hnlAAA&status=Active.  

Inoltre, laddove il trasferimento non sia coperto dalla certificazione di adesione allo scudo per la privacy di Butterfly, Butterfly accetta di trattare i dati provenienti da SEE e Svizzera in conformità alle clausole contrattuali standard dell'UE (a volte chiamate anche “Clausole di modello”). Si tratta di termini per l'esportazione dei dati con moduli standard che sono stati pre-approvati dalla Commissione europea e, firmandoli, Butterfly si impegna a tutelare i dati personali (compresi i Dati del paziente) che riceve dai suoi clienti dell'UE secondo gli standard di protezione dei dati dell'UE.

Cosa dire riguardo alle terze parti che lavorano con Butterfly?

Quando Butterfly stipula un contratto con una terza parte che in qualche modo interagisce con i Dati del paziente, Butterfly richiede innanzitutto che tale terza parte superi una valutazione della sicurezza e del rischio per garantire che rispetti gli stessi standard di Butterfly in relazioni ai dati personali. Inoltre, Butterfly si assicura che queste aziende siano contrattualmente obbligate a implementare e rispettare misure di sicurezza equivalenti per proteggere i Dati del paziente. 

Il nostro attuale elenco di sottoresponsabili dell'elaborazione è il seguente. Mentre la nostra attività cresce e si evolve, anche i sottoresponsabili che assumiamo possono cambiare. Controlla di frequente per verificare la presenza di eventuali aggiornamenti.

Nome dell’entità

Azienda
Posizione
Amazon Web Services, Inc. (AWS)
Stati Uniti
Asana
Stati Uniti
Aptible, Inc.
Stati Uniti
Auth0, Inc.
Stati Uniti
Avalara, Inc.
Stati Uniti
Celigo, Inc.
Stati Uniti
DHL
Globale
Google LLC (in realtà G-Suite, Google Cloud Platform)
Stati Uniti
Heap, Inc
Stati Uniti
Hotjar, Ltd.
Stati Uniti
LaunchDarkly
Stati Uniti
New Relic, Inc.
Stati Uniti
Oracle
Stati Uniti
Stitch Data
Stati Uniti
Saleforce.com, Inc.
Stati Uniti
Segment
Stati Uniti
Slack Technologies, Inc.
Stati Uniti
Splunk Inc.
Stati Uniti
Stripe
Stati Uniti
Webflow
Stati Uniti
Zapier Inc.
Stati Uniti
Zendesk, Inc.
Stati Uniti

Dobbiamo informare i Pazienti del trattamento dei dati da parte di Butterfly? 

In alcuni paesi, le leggi sulla protezione dei dati e della privacy richiedono che i pazienti ricevano informazioni su come saranno utilizzati e divulgati i loro dati (ivi comprese informazioni sui destinatari previsti di tali dati e informazioni sull'agenzia che ne è in possesso). In alcuni casi, questo procedimento richiede un avviso sul trattamento dei dati intrapreso da Butterfly. Se si tratta di un requisito necessario per la Sua giurisdizione, fornisca ai pazienti l'accesso all'Informativa sulla privacy del paziente di Butterfly, per accertarsi che i pazienti comprendano come Butterfly può elaborare e utilizzare i loro dati personali in relazione ai Servizi Butterfly. 

Cosa accade se uno dei miei pazienti richiede i suoi Dati del paziente?

Alcune leggi sulla privacy (incluso il GDPR) conferiscono ai pazienti il diritto di richiedere una copia dei dati che li riguardano. Potrebbe essere denominata “richiesta di accesso ai dati del soggetto”. Se un paziente effettua una richiesta di accesso ai dati del soggetto direttamente a Butterfly, noi, in qualità di responsabili del trattamento, Le inoltreremo la richiesta non appena possibile e, laddove Butterfly detenga i dati richiesti, Le fornirà i dati del paziente in conformità ai termini del contratto. 

I pazienti possono chiedere qualcos’altro?

I pazienti, oltre ad avere diritto ad accedere ai propri dati in Suo possesso, possono disporre anche di altri diritti ai sensi delle leggi applicabili in materia di protezione di dati e privacy (come il GDPR nell'UE), ivi compresi i diritti a rettificare i dati inesatti o incompleti, eliminarli o chiederLe di interromperne il trattamento. I pazienti potrebbero inoltre richiederLe di trasferire i dati che Le hanno fornito a un altro professionista del settore sanitario. Se un paziente desidera esercitare uno dei suoi diritti in relazione ai suoi Dati del paziente, noi Le forniremo una ragionevole assistenza per facilitarLe la risposta a tali richieste.  Se un paziente ci contatta direttamente per esercitare tali diritti, Le trasmetteremo la richiesta al più presto.  

Cosa dire dei dati che Butterfly mantiene riguardo ai professionisti del settore sanitario?

Butterfly raccoglie anche dati personali su clienti/professionisti del settore sanitario allo scopo di promuovere i prodotti di Butterfly, configurarli con un account di Butterfly, elaborare gli ordini e rispondere alle richieste di chiarimento. Questi dati sono protetti dalle stesse misure di sicurezza. La nostra Informativa sulla privacy contiene dettagli su come Butterfly tratta i dati personali dei professionisti del settore sanitario e sui diritti che hanno rispetto a tali informazioni.

Dove posso ottenere maggiori informazioni?

Per eventuali domande o per ricevere assistenza, contatti dpo@butterflynetinc.com