Data Processing Agreement (Art. 28 GDPR)

1. Parti e ambito di applicazione

Il presente Data Processing Agreement (di seguito "DPA") forma parte integrante del contratto di servizio tra la Struttura ("Titolare") e CG Medical S.r.l. ("Responsabile") e disciplina i trattamenti di dati personali che il Responsabile effettua per conto del Titolare ai sensi dell'Art. 28 GDPR.

Gli interessati sono, tipicamente, i pazienti e i collaboratori della Struttura. Le categorie di dati trattate, le finalità e le modalità sono descritte alla sezione 2 e nella Informativa privacy pubblicata alla pagina /legale/privacy.

2. Oggetto, durata e tipologia dei trattamenti

• Oggetto: erogazione della piattaforma SaaS CG Medical e dei servizi connessi (cartella clinica elettronica, agenda, fatturazione elettronica, teleconsulto, AI clinica assistita, integrazioni FSE e NRE/DEM).
• Durata: pari alla durata del contratto di servizio, prorogata per il tempo strettamente necessario al rispetto degli obblighi di conservazione ex lege.
• Natura e finalità: esecuzione delle istruzioni del Titolare in ambito sanitario, amministrativo-contabile e di sicurezza.
• Categorie di dati: anagrafici, contatti, dati di pagamento, dati relativi alla salute (Art. 9 GDPR), log tecnici.
• Categorie di interessati: pazienti, collaboratori della Struttura, utenti finali della piattaforma.

3. Istruzioni del Titolare

Il Responsabile tratta i dati unicamente sulla base di istruzioni documentate del Titolare. Si considerano istruzioni documentate:

• le configurazioni operate dal Titolare dalla dashboard;
• gli automatismi del servizio (es. invio fatture, promemoria appuntamenti, sincronizzazione FSE) previsti dal piano attivato;
• le richieste straordinarie trasmesse via canale di supporto tracciato.

Il Responsabile informa tempestivamente il Titolare se ritiene che un'istruzione violi il GDPR o altra normativa applicabile in materia di protezione dei dati.

4. Misure tecniche e organizzative

Il Responsabile adotta misure di sicurezza adeguate ai sensi dell'Art. 32 GDPR, tra cui:

• cifratura dei dati in transito (TLS 1.3) e a riposo (AES-256 sulle basi dati e sugli oggetti blob);
• gestione degli accessi basata sui ruoli (RBAC) con principio del minimo privilegio, autenticazione a più fattori obbligatoria per gli operatori del Responsabile;
• registrazione degli eventi di accesso e delle operazioni sui dati sanitari conforme ai Provvedimenti del Garante in materia di dossier sanitario;
• backup cifrati giornalieri e piano di continuità operativa testato almeno una volta l'anno;
• procedure di sviluppo sicuro (SSDLC), code review, test di sicurezza automatizzati e penetration test annuale;
• formazione del personale su privacy e sicurezza, sottoscrizione di impegni di riservatezza.

Il dettaglio aggiornato è disponibile nel documento Security Overviewfornito alla Struttura nell'area riservata; il Responsabile si riserva di adeguare le misure in linea con l'evoluzione tecnologica, garantendo un livello di sicurezza non inferiore.

5. Sub-responsabili del trattamento

Il Titolare autorizza in via generale l'uso dei sub-responsabili elencati nella informativa privacy e si impegna a ricevere notifica di qualunque variazione (aggiunta o sostituzione) con almeno 30 giorni di preavviso attraverso il canale di comunicazione indicato in contratto. La Struttura può opporsi al nuovo sub-responsabile per giustificato motivo entro il medesimo termine; in tal caso le parti coopereranno in buona fede e, in mancanza di una soluzione tecnica alternativa, la Struttura potrà recedere dal contratto senza penali.

Il Responsabile stipula con ciascun sub-responsabile un contratto che impone obblighi di protezione dei dati non meno rigorosi di quelli del presente DPA, secondo il principio del flow down richiesto dall'Art. 28.4 GDPR.

6. Notifica di violazione dei dati (data breach)

In caso di violazione dei dati personali ai sensi dell'Art. 4 n. 12 GDPR, il Responsabile notifica il Titolare senza ingiustificato ritardo e, quando possibile, entro 72 oredalla rilevazione, fornendo tutte le informazioni necessarie al Titolare per l'assolvimento degli obblighi verso il Garante e verso gli interessati (Artt. 33 e 34 GDPR). La notifica è inviata al referente privacy indicato dalla Struttura e include descrizione della violazione, categorie e numero approssimativo di interessati, possibili conseguenze, misure adottate o proposte.

7. Diritto di audit del Titolare

Il Responsabile mette a disposizione del Titolare le informazioni necessarie a dimostrare il rispetto degli obblighi previsti dall'Art. 28 GDPR. Il Titolare ha il diritto di svolgere audit, anche tramite terze parti reciprocamente concordate e tenute a obblighi di riservatezza, con preavviso minimo di 30 giorni e nei limiti di un audit all'anno (salvo eventi straordinari quali data breach confermato). Il Responsabile può adempiere all'obbligo mettendo a disposizione certificazioni di parte terza (es. ISO/IEC 27001, ISO 13485) e report di audit indipendenti, purché idonei a coprire l'oggetto della verifica.

8. Cessazione e restituzione dei dati

Al termine del contratto, a scelta del Titolare comunicata entro 30 giorni dalla cessazione, il Responsabile restituisce al Titolare in formato strutturato e leggibile tutti i dati personali e cancella le copie esistenti, salvo l'obbligo di conservazione imposto dalla normativa italiana o europea. Decorsi 90 giorni senza indicazione del Titolare, il Responsabile procede alla cancellazione sicura entro 30 giorni, rilasciando attestazione scritta.

9. Modifiche al DPA

Il presente DPA può essere aggiornato per riflettere evoluzioni normative, organizzative o dei sub-responsabili. Le modifiche sostanziali (MAJOR nel versioning) sono notificate al Titolare con preavviso di almeno 30 giorni; in caso di mancata accettazione, il Titolare potrà recedere senza penali entro il medesimo termine. Le modifiche di natura chiarificatrice o tecnica (MINOR/PATCH) sono comunicate a titolo informativo attraverso il changelog pubblicato in testa a questa pagina.