Documento Legale

Accordo sul Trattamento dei Dati (DPA)

Data Processing Agreement – ai sensi dell'art. 28 GDPR
Servizio: OdontoiatryCRM – https://www.odontoiatry.com

Nota: questo documento viene compilato automaticamente con i dati del Medico al momento della registrazione e accettato digitalmente con registrazione di IP, data, ora e versione documento.

Dati del Medico compilati automaticamente:

  • [Nome del Medico / Studio]
  • [Indirizzo dello studio]
  • [P.IVA – C.F.]
  • [Numero iscrizione Albo]
  • [Email dello studio]
  • [Timestamp accettazione]

Il presente Accordo (DPA) costituisce parte integrante del contratto di abbonamento a OdontoiatryCRM e disciplina il trattamento dei dati personali dei pazienti che il Medico inserisce e gestisce all'interno della piattaforma.

Tra le Parti

Il Responsabile del trattamento – Giorgio Carrozzini, Via Umberto Giordano, 70 – 00124 Roma, P.IVA 11280041002, C.F. CRRGRG72L05H501C.

Il Titolare del trattamento – il Medico / la struttura sanitaria sottoscrittore dell'abbonamento, come identificato nei dati di registrazione.

1. Definizioni

I termini utilizzati hanno il significato attribuito dal GDPR.

  • "GDPR": Regolamento (UE) 2016/679 e normativa nazionale applicabile.
  • "Dati Personali": i dati personali dei pazienti del Medico trattati tramite la piattaforma.
  • "Interessati": i pazienti del Medico e, ove applicabile, i loro caregiver, genitori, tutori o amministratori di sostegno.

2. Oggetto dell'accordo e ruoli delle Parti

2.1 Il DPA disciplina il trattamento dei Dati Personali dei pazienti inseriti dal Medico nella piattaforma OdontoiatryCRM.

2.2 Il Medico agisce in qualità di Titolare del trattamento.

2.3 OdontoiatryCRM agisce in qualità di Responsabile del trattamento: tratta i Dati Personali esclusivamente per conto del Titolare e su sua istruzione documentata, nei limiti necessari all'erogazione del servizio, e non li utilizza per finalità proprie.

3. Durata del trattamento

Il DPA ha efficacia dalla data di accettazione e rimane valido per tutta la durata del contratto di abbonamento.

4. Natura, finalità e categorie di dati

4.1 Natura e finalità: hosting, conservazione, organizzazione ed elaborazione dei Dati Personali per consentire al Medico la gestione clinica e amministrativa dei propri pazienti.

4.2 Categorie di Interessati: pazienti del Medico; caregiver, genitori, tutori o amministratori di sostegno.

4.3 Categorie di Dati Personali: dati anagrafici e di contatto; dati relativi alla salute (anamnesi, diagnosi, piano di trattamento, referti, radiografie – categorie particolari ex art. 9 GDPR); dati amministrativi e di pagamento; dati dei consensi e dei tracciamenti.

5. Obblighi del Responsabile del trattamento

OdontoiatryCRM si impegna a:

  • trattare i Dati Personali soltanto su istruzione documentata del Titolare
  • garantire che le persone autorizzate si siano impegnate alla riservatezza
  • adottare le misure tecniche e organizzative adeguate (art. 32 GDPR)
  • rispettare le condizioni per il ricorso a Sub-responsabili
  • assistere il Titolare nel dare seguito alle richieste degli Interessati
  • informare il Titolare di eventuali violazioni dei dati senza ritardo

6. Obblighi del Titolare del trattamento

Il Medico si impegna a:

  • trattare i dati nel rispetto del GDPR e della normativa sanitaria
  • fornire ai pazienti l'informativa sul trattamento citando OdontoiatryCRM quale responsabile del trattamento
  • non inserire dati eccedenti rispetto alle finalità di cura
  • gestire correttamente le credenziali di accesso

7. Sub-responsabili

Sub-responsabili autorizzati:

  • Fornitore di hosting (infrastruttura UE): hosting e conservazione dati
  • Stripe: gestione pagamenti e abbonamenti (UE/USA – SCC e/o EU-U.S. DPF)
  • Resend: invio e-mail transazionali (UE/USA – SCC e/o EU-U.S. DPF)

8. Trasferimenti verso paesi terzi

I Dati Personali sono trattati su infrastruttura ubicata nello SEE. Eventuali trasferimenti verso paesi terzi avvengono con le garanzie previste dagli artt. 44 e ss. GDPR.

9. Misure di sicurezza

Il Responsabile adotta le misure descritte nell'Allegato A, tra cui: cifratura dei dati a riposo; accesso ai file clinici solo tramite viste autenticate; architettura multi-tenant; backup giornaliero; infrastruttura europea; registro immutabile delle azioni cliniche rilevanti.

10. Violazione dei dati personali

Il Responsabile informa il Titolare senza ritardo di qualsiasi violazione dei dati, fornendo le informazioni necessarie per gli adempimenti di legge.

11. Restituzione e cancellazione dei dati

Alla cessazione del contratto, il Titolare può esportare i dati per 90 giorni. Decorso tale termine, il Responsabile procede alla cancellazione, salvo obblighi di conservazione di legge.

12. Registro delle attività e tracciabilità

Le accettazioni della Privacy Policy e del DPA sono registrate in un log immutabile con timestamp, IP e versione del documento. In caso di aggiornamento sostanziale, il Medico deve ri-accettare il DPA.

13. Responsabilità e foro competente

Ciascuna Parte risponde dei danni secondo l'art. 82 GDPR. Il DPA è regolato dalla legge italiana. Foro competente: Roma.

14. Disposizioni finali

Il DPA è accettato elettronicamente nel flusso di registrazione e può essere scaricato in PDF dall'area account.

Allegato A – Misure tecniche e organizzative (art. 32 GDPR)

  • cifratura dei dati dei pazienti a riposo
  • file clinici accessibili solo tramite viste protette autenticate
  • architettura multi-tenant con isolamento dei dati
  • autenticazione con secondo fattore (2FA)
  • backup giornaliero dei dati
  • infrastruttura su territorio europeo
  • registro immutabile delle accettazioni e delle azioni cliniche
  • log tecnici e di accesso per sicurezza e tracciabilità
  • accessi limitati secondo il principio del minimo privilegio

Versione 1.0 – Ultimo aggiornamento: 9 Giugno 2026