Data Processing Agreement (DPA)
1. Parti
Il presente Data Processing Agreement (DPA) è concluso tra:
- Titolare del trattamento: l'utente professionista sanitario titolare dell'account NeuroLens (di seguito "il Titolare");
- Responsabile del trattamento: NeuroLens — [RAGIONE SOCIALE], P.IVA [DATI], sede [INDIRIZZO] (di seguito "il Responsabile" o "NeuroLens").
L'accettazione del DPA avviene mediante spunta esplicita in fase di registrazione o, per successivi aggiornamenti, al primo accesso utile.
2. Oggetto e durata
Il presente DPA disciplina il trattamento di dati personali (inclusi dati relativi alla salute, art. 9 GDPR) che il Responsabile effettua per conto del Titolare nell'ambito della fornitura del Servizio NeuroLens. La durata del DPA è coincidente con quella del contratto principale (vedi Termini di Servizio) e sopravvive in relazione agli obblighi di restituzione/cancellazione e riservatezza.
3. Natura e finalità del trattamento
- Natura: archiviazione, trascrizione vocale automatica, diarizzazione, sintesi clinica generata da IA, gestione e consultazione delle trascrizioni.
- Finalità: fornire al Titolare strumenti di supporto alla pratica clinica relativi a colloqui terapeutici e psicologici.
- Categorie di interessati: pazienti del Titolare e altri soggetti eventualmente menzionati nei colloqui.
- Categorie di dati: dati identificativi (se inseriti dal Titolare), registrazioni audio, trascrizioni, dati sanitari (art. 9.1 GDPR).
4. Istruzioni del Titolare
Il Responsabile tratta i dati esclusivamente sulla base delle istruzioni del Titolare, quali derivanti:
- dal presente DPA;
- dalle funzionalità del Servizio configurate dal Titolare nel proprio account (es. periodo di retention);
- da eventuali istruzioni specifiche aggiuntive, da fornire per iscritto a privacy@yourdreamhub.com.
Il Responsabile informerà tempestivamente il Titolare qualora un'istruzione gli appaia in contrasto con la normativa applicabile.
5. Obblighi e dichiarazioni del Titolare
Il Titolare dichiara e garantisce:
- di essere un professionista sanitario abilitato e iscritto al rispettivo albo;
- di aver fornito ai propri pazienti l'informativa di cui all'art. 13 GDPR;
- di aver raccolto il consenso esplicito di ciascun paziente (art. 9.2.a GDPR), o di disporre di altra base giuridica idonea, prima di caricare dati su NeuroLens;
- di operare in conformità ai provvedimenti del Garante Privacy in materia sanitaria (in particolare i provvedimenti sui dati genetici e biometrici, sull'AI in sanità, sull'uso del cloud);
- di rispondere in via principale verso i propri pazienti per ogni aspetto del trattamento, restando NeuroLens un mero esecutore tecnico delle istruzioni ricevute.
Il Titolare manleva e tiene indenne NeuroLens da ogni pretesa, costo o danno derivante dalla violazione di tali obblighi.
6. Riservatezza
Il personale autorizzato del Responsabile è vincolato a un obbligo di riservatezza contrattualmente equivalente al segreto professionale.
7. Misure di sicurezza (art. 32 GDPR)
Il Responsabile mette in atto le misure tecniche e organizzative descritte nella Privacy Policy, sezione 10, e in particolare:
- Cifratura del trasporto (TLS 1.2+) e dei backup (AES-256); la cifratura dell'intero disco non è adottata sulla VM cloud (scelta basata sul rischio, art. 32) e la cifratura dei campi clinici è pianificata
- Mascheramento degli identificativi di contatto nel testo prima della sintesi (i nomi restano per la coerenza clinica); l'audio per la trascrizione è inviato non mascherato a un sub-responsabile nell'UE
- Cancellazione dei file audio originali al termine della trascrizione
- Controllo accessi (autenticazione + autorizzazione + audit log)
- Backup cifrati con conservazione separata
- Procedura di gestione data breach con notifica entro 72 ore
8. Sub-responsabili
Il Titolare autorizza il Responsabile a utilizzare i sub-responsabili elencati alla pagina Sub-responsabili (autorizzazione generale ex art. 28.2). NeuroLens darà comunicazione al Titolare di ogni modifica all'elenco con almeno 30 giorni di preavviso via email; il Titolare può opporsi alla modifica entro tale termine, restando inteso che — in caso di opposizione — il rapporto contrattuale potrà essere risolto.
Tutti i sub-responsabili sono vincolati da accordi ex art. 28.4 equivalenti a quelli qui previsti.
9. Trasferimenti extra-UE
Vedi Privacy Policy, sezione 7. Eventuali trasferimenti saranno effettuati nel rispetto degli artt. 44-49 GDPR.
10. Assistenza al Titolare
Il Responsabile fornisce al Titolare ragionevole assistenza per:
- rispondere a richieste degli interessati (artt. 15–22) attraverso le funzionalità di export e cancellazione disponibili nel pannello;
- adempiere agli obblighi degli artt. 32–36 (sicurezza, data breach, DPIA);
- fornire tutte le informazioni necessarie a dimostrare la conformità.
11. Data breach
In caso di violazione dei dati personali, il Responsabile informa il Titolare senza ingiustificato ritardo, e in ogni caso entro 48 ore dalla conoscenza, fornendo le informazioni di cui all'art. 33.3. La notifica al Garante (entro 72 ore) e agli interessati resta in capo al Titolare, salvo specifico accordo scritto.
12. Restituzione e cancellazione dei dati
Prima della cessazione, il Titolare può ottenere i propri dati tramite la funzione di export nel pannello. Alla eliminazione dell'account (o al termine dell'abbonamento senza riattivazione), i dati clinici sono cancellati dai sistemi di produzione senza ingiustificato ritardo e dai backup cifrati entro il ciclo di rotazione (massimo 14 giorni). Restano conservati esclusivamente i dati che NeuroLens (o i suoi sub-responsabili, es. il fornitore di pagamento) debba mantenere per obbligo di legge, in particolare i documenti fiscali (art. 17.3.b GDPR).
13. Audit
Il Titolare può richiedere, con preavviso ragionevole, evidenza documentale delle misure di sicurezza in atto. Audit on-site possono essere richiesti in casi straordinari, con costi a carico del Titolare salvo difetti gravi imputabili al Responsabile.
14. Limitazione di responsabilità
Si applicano le limitazioni di cui ai Termini di Servizio, sezione 7. In aggiunta, il Responsabile non risponde verso terzi (pazienti compresi) per il contenuto, l'accuratezza o la liceità dei dati caricati dal Titolare.
15. Legge e foro
Si rinvia ai Termini di Servizio.