Data Processing Agreement (DPA)

Template contrattuale. Il presente documento è un modello di Data Processing Agreement (DPA) tra lo Studio professionale (Titolare del trattamento) e Digital-Tech Web Agency / Ippocrate Platform (Responsabile del trattamento). La versione vincolante è quella sottoscritta digitalmente o per iscritto tra le parti, eventualmente integrata dal contratto di licenza SaaS.

ACCORDO PER IL TRATTAMENTO DEI DATI PERSONALI

ai sensi dell'art. 28 del Regolamento (UE) 2016/679 (GDPR)

Tra

[RAGIONE SOCIALE STUDIO], con sede in [INDIRIZZO], P.IVA [P.IVA], email [EMAIL], di seguito «Titolare» o «Studio»;

Digital-Tech Web Agency, fornitore della piattaforma Ippocrate, email privacy@ippocrate.cloud, di seguito «Responsabile» o «Ippocrate».

1. Oggetto e durata

1.1. Il presente accordo disciplina il trattamento dei dati personali effettuato dal Responsabile per conto del Titolare nell'ambito dell'erogazione del servizio SaaS Ippocrate (Manager, Console, API, app collegate).

1.2. Il trattamento ha durata coincidente con il contratto di servizio principale, salvo proroghe per export/cancellazione dati.

2. Natura e finalità del trattamento

Hosting, conservazione e backup dei dati dello Studio
Gestione anagrafica pazienti, agenda, documenti clinici e amministrativi
Gestione staff, magazzino, protocolli, ticketing, e-learning (moduli attivati)
Funzionalità opzionali IppocrateAI (sintesi, assistenza redazione, vision)
Supporto tecnico e manutenzione della piattaforma

3. Tipologie di dati e categorie di interessati

Categoria	Esempi	Interessati
Dati identificativi e di contatto	Nome, CF, indirizzo, email, telefono	Pazienti, staff, collaboratori
Dati sanitari (art. 9 GDPR)	Anamnesi, note cliniche, piani di cura, documenti	Pazienti
Dati contrattuali e amministrativi	Preventivi, fatture, pagamenti	Pazienti, fornitori
Dati tecnici	Log accessi, IP, audit trail, consensi	Utenti piattaforma

4. Obblighi del Responsabile (Ippocrate)

Il Responsabile si impegna a:

Trattare i dati solo su istruzioni documentate del Titolare, salvo obblighi di legge UE
Garantire che le persone autorizzate al trattamento siano vincolate a riservatezza
Implementare misure di sicurezza ex art. 32 GDPR (cifratura TLS, AES-256-GCM documenti, RBAC, backup, monitoraggio)
Non coinvolgere altro responsabile (sub-processor) senza autorizzazione generale o specifica del Titolare
Assistere il Titolare nel rispondere alle richieste degli interessati (diritti GDPR)
Assistere il Titolare per DPIA, consultazione Garante, notifica breach ove applicabile
Cancellare o restituire i dati a fine contratto, salvo obblighi di conservazione legale
Mettere a disposizione informazioni necessarie per dimostrare la conformità e consentire audit
Notificare al Titolare senza ingiustificato ritardo violazioni dei dati personali

5. Sub-processors autorizzati

Il Titolare autorizza il Responsabile a avvalersi dei seguenti sub-processors, con obbligo contrattuale equivalente ex art. 28(4):

Sub-processor	Servizio	Sede / trasferimenti
[Provider hosting — es. OVH / AWS / Hetzner]	Infrastruttura cloud, database, storage	UE/SEE preferenziale
OpenAI LLC	API GPT / Vision (IppocrateAI, se attivo)	USA — SCC / DPF
Google LLC (Gemini)	API AI generativa (IppocrateAI, se attivo)	USA/UE — SCC
[Provider email transazionale]	Invio email di servizio, reset password	UE/SEE

Il Responsabile informerà il Titolare con preavviso di 30 giorni per nuovi sub-processors; il Titolare può opporsi per motivi fondati.

6. Trasferimenti extra-UE

Trasferimenti verso paesi terzi avvengono solo con garanzie adeguate (SCC 2021/914, misure supplementari, valutazione impatto trasferimento ove richiesta).

7. Misure tecniche e organizzative (TOMs) — sintesi

Controllo accessi basato su ruoli e studio_id (multi-tenant isolation)
Cifratura in transito (TLS 1.2+) e a riposo per documenti paziente (AES-256-GCM)
Hash password con algoritmi moderni; 2FA e passkey opzionali
Backup cifrati e test di ripristino periodici
Log di audit e tracciamento consensi (gdpr_consensi_log)
Procedure di incident response e patch management
Minimizzazione dati inviati a subprocessors AI

Dettaglio completo nella DPIA: documentazione interna Ippocrate (docs/DPIA_IPPOCRATE.md).

8. Assistenza al Titolare

Il Responsabile fornisce al Titolare strumenti per: export dati, gestione consensi marketing, revoca accessi utenti, disattivazione moduli AI.

9. Audit e ispezioni

Il Titolare può richiedere audit documentali una volta l'anno; ispezioni on-site solo per data breach significativi o obblighi normativi, con preavviso ragionevole.

10. Responsabilità e indennizzo

Le parti rispondono secondo gli artt. 82-83 GDPR e quanto previsto nel contratto SaaS principale. Il Responsabile è responsabile solo per obblighi di legge che non possono essere derogati e per danni causati da inosservanza delle istruzioni del Titolare o del presente DPA.

11. Cessazione del trattamento

Alla cessazione del servizio, entro 30 giorni (salvo diverso accordo):

Export completo dati in formato concordato
Cancellazione sicura da sistemi attivi e backup secondo policy di retention
Certificato di cancellazione su richiesta

12. Legge applicabile

Legge italiana. Foro competente come da contratto SaaS.

13. Firme

Per il Titolare (Studio)

Luogo e data: _______________________

Nome e qualifica: _______________________

Firma: _______________________

Per il Responsabile (Ippocrate / Digital-Tech Web Agency)

Luogo e data: _______________________

Nome e qualifica: _______________________

Firma: _______________________

Documenti correlati: Privacy Policy · Termini di Servizio