1. Parti

Il presente Data Processing Agreement (DPA) è concluso tra:

L'accettazione del DPA avviene mediante spunta esplicita in fase di registrazione o, per successivi aggiornamenti, al primo accesso utile.

2. Oggetto e durata

Il presente DPA disciplina il trattamento di dati personali (inclusi dati relativi alla salute, art. 9 GDPR) che il Responsabile effettua per conto del Titolare nell'ambito della fornitura del Servizio NeuroLens. La durata del DPA è coincidente con quella del contratto principale (vedi Termini di Servizio) e sopravvive in relazione agli obblighi di restituzione/cancellazione e riservatezza.

3. Natura e finalità del trattamento

4. Istruzioni del Titolare

Il Responsabile tratta i dati esclusivamente sulla base delle istruzioni del Titolare, quali derivanti:

Il Responsabile informerà tempestivamente il Titolare qualora un'istruzione gli appaia in contrasto con la normativa applicabile.

5. Obblighi e dichiarazioni del Titolare

Il Titolare dichiara e garantisce:

Il Titolare manleva e tiene indenne NeuroLens da ogni pretesa, costo o danno derivante dalla violazione di tali obblighi.

6. Riservatezza

Il personale autorizzato del Responsabile è vincolato a un obbligo di riservatezza contrattualmente equivalente al segreto professionale.

7. Misure di sicurezza (art. 32 GDPR)

Il Responsabile mette in atto le misure tecniche e organizzative descritte nella Privacy Policy, sezione 10, e in particolare:

8. Sub-responsabili

Il Titolare autorizza il Responsabile a utilizzare i sub-responsabili elencati alla pagina Sub-responsabili (autorizzazione generale ex art. 28.2). NeuroLens darà comunicazione al Titolare di ogni modifica all'elenco con almeno 30 giorni di preavviso via email; il Titolare può opporsi alla modifica entro tale termine, restando inteso che — in caso di opposizione — il rapporto contrattuale potrà essere risolto.

Tutti i sub-responsabili sono vincolati da accordi ex art. 28.4 equivalenti a quelli qui previsti.

9. Trasferimenti extra-UE

Vedi Privacy Policy, sezione 7. Eventuali trasferimenti saranno effettuati nel rispetto degli artt. 44-49 GDPR.

10. Assistenza al Titolare

Il Responsabile fornisce al Titolare ragionevole assistenza per:

11. Data breach

In caso di violazione dei dati personali, il Responsabile informa il Titolare senza ingiustificato ritardo, e in ogni caso entro 48 ore dalla conoscenza, fornendo le informazioni di cui all'art. 33.3. La notifica al Garante (entro 72 ore) e agli interessati resta in capo al Titolare, salvo specifico accordo scritto.

12. Restituzione e cancellazione dei dati

Prima della cessazione, il Titolare può ottenere i propri dati tramite la funzione di export nel pannello. Alla eliminazione dell'account (o al termine dell'abbonamento senza riattivazione), i dati clinici sono cancellati dai sistemi di produzione senza ingiustificato ritardo e dai backup cifrati entro il ciclo di rotazione (massimo 14 giorni). Restano conservati esclusivamente i dati che NeuroLens (o i suoi sub-responsabili, es. il fornitore di pagamento) debba mantenere per obbligo di legge, in particolare i documenti fiscali (art. 17.3.b GDPR).

13. Audit

Il Titolare può richiedere, con preavviso ragionevole, evidenza documentale delle misure di sicurezza in atto. Audit on-site possono essere richiesti in casi straordinari, con costi a carico del Titolare salvo difetti gravi imputabili al Responsabile.

14. Limitazione di responsabilità

Si applicano le limitazioni di cui ai Termini di Servizio, sezione 7. In aggiunta, il Responsabile non risponde verso terzi (pazienti compresi) per il contenuto, l'accuratezza o la liceità dei dati caricati dal Titolare.

15. Legge e foro

Si rinvia ai Termini di Servizio.