Data Processing Agreement

1. Premessa e parti

Il presente Data Processing Agreement (di seguito "DPA") è stipulato tra:

• Cliente: lo studio odontoiatrico (persona fisica o giuridica) che sottoscrive il Servizio DentaLog, identificato dai dati forniti in fase di registrazione e fatturazione (di seguito anche "Titolare");
• Fornitore: Simulation Project s.r.l., con sede legale in Italia (di seguito anche "Responsabile").

Il presente DPA costituisce parte integrante e sostanziale dei Termini di Servizio DentaLog e si intende sottoscritto dal Cliente al momento dell'attivazione del Servizio. In caso di conflitto tra le clausole del DPA e quelle dei Termini di Servizio, in materia di protezione dei dati personali prevalgono le clausole del DPA.

2. Definizioni

I termini "dati personali", "trattamento", "Titolare", "Responsabile", "sub-responsabile", "interessato", "categorie particolari di dati", "violazione dei dati personali", "autorità di controllo" hanno il significato loro attribuito dal Regolamento UE 2016/679 (GDPR).

Per "Servizio" si intende DentaLog, software SaaS di tracciabilità della sterilizzazione descritto nei Termini di Servizio.

3. Oggetto, natura e durata del trattamento

Oggetto. Il trattamento ha ad oggetto i dati personali dei pazienti caricati dal Cliente nel Servizio nell'ambito dell'esecuzione del contratto di abbonamento.

Natura del trattamento. Raccolta, registrazione, organizzazione, strutturazione, conservazione, consultazione, estrazione, esportazione, blocco, cancellazione di dati personali, finalizzati alla tracciabilità dei processi di sterilizzazione e all'associazione ciclo↔dispositivo↔paziente per finalità medico-legali e di compliance sanitaria.

Finalità. Esecuzione del Servizio DentaLog, ivi compresa la conservazione obbligatoria decennale dei dati di sterilizzazione ai sensi del D.Lgs. 81/2008 e delle linee guida ATS regionali.

Durata. Il trattamento ha durata pari a quella del contratto di abbonamento, esteso per il periodo di conservazione obbligatoria di 10 anni per i dati di sterilizzazione (anche oltre la cessazione del contratto), come dettagliato nei Termini di Servizio art. 8.

4. Tipologie di dati e categorie di interessati

Categorie di interessati: pazienti dello studio Cliente.

Tipologie di dati personali trattati:

• Dati identificativi e di contatto: nome, cognome, codice fiscale (cifrato AES-256-GCM), data di nascita, telefono, email;
• Dati relativi alla salute (Categoria particolare ex Art. 9 GDPR): associazione tra il paziente e il ciclo di sterilizzazione subito dagli strumenti utilizzati nelle prestazioni odontoiatriche, lista dispositivi medici riutilizzabili (UDI) impiegati, eventuali note cliniche libere inserite dallo studio.

Il Cliente garantisce di avere una valida base giuridica ai sensi degli Artt. 6 e 9 GDPR per il trattamento di tali dati e di aver fornito agli interessati l'informativa prevista dagli Artt. 13-14 GDPR.

5. Obblighi del Responsabile (Art. 28(3) GDPR)

Il Responsabile si obbliga a:

1. Trattamento su istruzioni documentate. Trattare i dati personali esclusivamente sulla base di istruzioni documentate del Titolare, anche per i trasferimenti verso paesi terzi, salvo che ciò sia richiesto dal diritto dell'Unione o dello Stato membro applicabile (in tal caso, ne informa il Titolare prima del trattamento, salvo divieto legale). I Termini di Servizio, l'Informativa Privacy e il presente DPA costituiscono le istruzioni iniziali del Titolare; istruzioni successive devono essere comunicate per iscritto.
2. Riservatezza. Garantire che le persone autorizzate al trattamento si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza.
3. Misure di sicurezza (Art. 32). Adottare tutte le misure tecniche e organizzative adeguate descritte nell'Allegato A.
4. Sub-responsabili. Ricorrere a sub-responsabili solo nel rispetto dell'art. 7 del presente DPA.
5. Assistenza per diritti degli interessati. Assistere il Titolare con misure tecniche e organizzative adeguate, nella misura del possibile, per soddisfare le richieste degli interessati Artt. 15-22 GDPR. Le richieste ricevute direttamente dal Responsabile vengono inoltrate al Titolare entro 48 ore lavorative.
6. Assistenza per obblighi del Titolare. Assistere il Titolare nel garantire il rispetto degli Artt. 32-36 GDPR (sicurezza, notifica violazioni, valutazione d'impatto, consultazione preventiva).
7. Restituzione o cancellazione al termine. Su scelta del Titolare, restituire o cancellare i dati personali al termine del trattamento, salvo gli obblighi di conservazione decennale di cui all'art. 8 dei Termini di Servizio.
8. Audit. Mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo, e consentire e contribuire ad audit da parte del Titolare o di un revisore incaricato (vedi art. 11).

6. Obblighi del Titolare

Il Titolare si obbliga a:

• Trattare i dati personali in conformità al GDPR e alla normativa nazionale applicabile;
• Fornire al Responsabile istruzioni lecite, documentate e coerenti con le finalità del Servizio;
• Garantire di avere una base giuridica idonea per il trattamento (Artt. 6 e 9 GDPR), tipicamente Art. 6(1)(c) e Art. 9(2)(h);
• Aver fornito agli interessati (pazienti) l'informativa Artt. 13-14 GDPR e raccolto eventuali consensi richiesti;
• Esercitare verifiche di accuratezza periodiche sui dati caricati nel Servizio;
• Configurare correttamente i propri Utenti (operatori), assegnando i ruoli minimi necessari;
• Segnalare prontamente al Responsabile ogni anomalia o sospetta violazione.

7. Sub-responsabili (sub-processor)

Autorizzazione generale. Il Titolare autorizza il Responsabile a ricorrere a sub-responsabili per l'erogazione del Servizio. La lista aggiornata dei sub-responsabili è disponibile nell'Allegato B.

Notifica nuovi sub-responsabili. In caso di aggiunta o sostituzione di sub-responsabili, il Responsabile notifica al Titolare almeno 30 giorni prima dell'efficacia, via email o tramite area cliente. Il Titolare ha diritto di opporsi per ragioni motivate e specifiche relative alla protezione dei dati. In caso di opposizione fondata, il Responsabile valuta in buona fede misure alternative; in mancanza di accordo, ciascuna parte può recedere dal contratto senza penali, fermo l'obbligo di conservazione decennale.

Vincoli sui sub-responsabili. Ogni sub-responsabile è vincolato da contratto scritto a obblighi di protezione dei dati equivalenti a quelli del presente DPA. Il Responsabile resta pienamente responsabile dell'adempimento da parte dei sub-responsabili.

8. Trasferimenti extra-UE

I dati sono trattati esclusivamente nel territorio dell'Unione Europea / Spazio Economico Europeo. Non sono attualmente previsti trasferimenti verso paesi terzi.

Qualora trasferimenti extra-UE divenissero necessari per l'evoluzione del Servizio o per intervento di un sub-responsabile, il Responsabile adotterà uno dei meccanismi di garanzia previsti dal Capo V del GDPR (decisione di adeguatezza, Standard Contractual Clauses 2021, BCR), eseguirà ove richiesto una Transfer Impact Assessment e informerà preventivamente il Titolare.

9. Notifica violazioni di dati personali

In caso di violazione dei dati personali ai sensi dell'Art. 4(12) GDPR, il Responsabile:

• Notifica al Titolare senza ingiustificato ritardo e comunque entro 24 ore lavorative dall'accertamento, fornendo: descrizione natura violazione, categorie e numero approssimativo di interessati e record coinvolti, conseguenze probabili, misure adottate o proposte per mitigare gli effetti;
• Coopera con il Titolare per consentirgli di adempiere gli obblighi di notifica al Garante (entro 72 ore dalla conoscenza ex Art. 33) e agli interessati (in caso di rischio elevato ex Art. 34);
• Documenta la violazione nel registro interno e fornisce al Titolare ogni informazione utile per il proprio registro.

Il canale prioritario di notifica è l'indirizzo email del referente privacy del Cliente comunicato in fase di registrazione.

10. Restituzione e cancellazione al termine

Alla cessazione del contratto:

• Per 30 giorni il Cliente conserva l'accesso completo per esportare i dati (CSV / PDF / JSON);
• I dati amministrativi non soggetti a obblighi legali sono cancellati entro 90 giorni dalla cessazione, salvo richiesta scritta di restituzione anticipata;
• I dati di sterilizzazione e tracciabilità ciclo↔paziente↔dispositivo sono conservati per la durata residua dell'obbligo decennale (D.Lgs. 81/2008 e linee guida ATS), in modalità di sola lettura e con esportabilità garantita al Cliente;
• I backup contenenti dati personali vengono ruotati entro la finestra di retention dichiarata (rolling 30 giorni).

11. Audit

Il Titolare ha diritto di verificare il rispetto del presente DPA mediante:

• Richiesta di documentazione comprovante l'adozione delle misure di sicurezza (politiche, log di audit log immutabile, esito di test di sicurezza, eventuali certificazioni ottenute);
• Su giustificato motivo, audit in loco con preavviso di almeno 15 giorni lavorativi, una volta all'anno, durante l'orario lavorativo, senza interferenze con l'operatività del Responsabile, a cura e spese del Titolare;
• In alternativa, accettazione di rapporti di audit di terze parti indipendenti (es. ISO 27001, SOC 2) ove disponibili.

L'audit è limitato a quanto strettamente necessario per verificare la conformità al presente DPA e al GDPR. Le informazioni acquisite sono coperte da obbligo di riservatezza.

12. Responsabilità e indennizzo

La responsabilità del Responsabile verso il Titolare è regolata dalle pattuizioni economiche dei Termini di Servizio. Resta fermo che ciascuna parte è responsabile delle sanzioni amministrative pecuniarie irrogate dall'autorità di controllo per propria condotta in violazione del GDPR. Il Responsabile non è responsabile per le istruzioni illecite o per la mancata base giuridica del trattamento da parte del Titolare.

13. Modifiche del DPA

Il presente DPA può essere modificato per esigenze normative o evoluzione del Servizio. Le modifiche sostanziali sono comunicate al Titolare con preavviso di almeno 30 giorni. In caso di disaccordo motivato, il Titolare può recedere senza penali, fermi gli obblighi di conservazione decennale.

14. Legge applicabile e foro competente

Il presente DPA è regolato dalla legge italiana e dal Regolamento UE 2016/679. Per ogni controversia è competente in via esclusiva il Foro della sede legale di Simulation Project s.r.l., salva diversa norma inderogabile applicabile.

Allegato A — Misure tecniche e organizzative (TOMs)

Le misure di sicurezza adottate dal Responsabile ai sensi dell'Art. 32 GDPR includono:

A.1 Riservatezza

• Crittografia in transito: TLS 1.3, HSTS preload, redirect HTTPS forzato
• Crittografia at-rest: AES-256-GCM per dati sensibili (codici fiscali pazienti, secret 2FA)
• Hash password: bcrypt con 12 round; nessuna password mai memorizzata in chiaro
• Autenticazione a due fattori (TOTP RFC 6238) disponibile per gli account; obbligatoria per super-admin
• Controllo accessi multi-tenant: ogni query DB filtrata per tenantId, isolamento logico verificato
• Token JWT con TTL breve + refresh token rotation
• Rate limiting e account lockout escalante anti brute-force
• CSP, X-Frame-Options DENY, Permissions-Policy restrittiva, X-Content-Type-Options nosniff

A.2 Integrità

• Audit log immutabile con timestamp, utente, IP, azione (registrazione di tutte le modifiche)
• Hash SHA-256 di integrità sui report mensili pre-formattati per audit ATS
• Validazione input lato server con Zod su tutti gli endpoint
• Protezione CSRF su sessioni cookie-based

A.3 Disponibilità e resilienza

• Backup automatici giornalieri, crittografati, retention rolling 30 giorni
• Hosting su provider con SLA infrastrutturale (IONOS Cloud, Germania)
• Monitoring uptime e alerting su anomalie
• SLA applicativo 99,5% mensile (vedi Termini di Servizio art. 9)

A.4 Procedure organizzative

• Accesso ai dati di produzione limitato a personale autorizzato e tracciato
• Vincolo di riservatezza scritto per tutti i collaboratori
• Procedura formale di gestione delle violazioni dati (incident response)
• Aggiornamenti di sicurezza applicati con priorità (security patches, dependency updates)
• Privacy by Design e Privacy by Default nello sviluppo del Servizio

A.5 Pseudonimizzazione e minimizzazione

• Identificativi tenant separati per ogni studio cliente
• Dati raccolti limitati al necessario per la finalità (no tracking, no profilazione)
• Conservazione differenziata per categoria (account vs sterilizzazione vs log)

A.6 Test e verifiche

• Code review interno su modifiche di sicurezza
• Audit di sicurezza periodici sulle componenti critiche (auth, multi-tenant, crypto)
• Programma di vulnerability disclosure (responsible disclosure) verso ricercatori esterni

Allegato B — Lista sub-responsabili

Ogni sub-responsabile è vincolato da contratto scritto a obblighi di protezione equivalenti a quelli del presente DPA. Il Responsabile resta pienamente responsabile dell'adempimento dei sub-responsabili. Modifiche alla presente lista sono notificate con 30 giorni di preavviso.

Sottoscrizione

Il Cliente sottoscrive il presente DPA mediante l'accettazione dei Termini di Servizio in fase di registrazione e/o di attivazione di un piano a pagamento. Il presente documento è firmato dal Fornitore in via elettronica e reso pubblicamente disponibile in versione consultabile e scaricabile.

Per richiedere una copia firmata del DPA, scrivere a privacy@simulationproject.it.