Accordo sul Trattamento dei Dati

Il presente Accordo sul Trattamento dei Dati (“Accordo” o “DPA”) costituisce parte integrante dei Termini e Condizioni del servizio notaMente AI e disciplina il trattamento dei dati personali dei pazienti che il professionista (di seguito “Titolare”) inserisce nel servizio e che notaMente AI tratta per suo conto in qualità di Responsabile del trattamento.

Accettando i Termini in fase di registrazione, il Titolare accetta integralmente il presente Accordo. In caso di conflitto tra il presente Accordo e i Termini, relativamente al trattamento dei dati personali dei pazienti prevale il presente Accordo.

I termini “dati personali”, “trattamento”, “Titolare del trattamento”, “Responsabile del trattamento”, “sub-responsabile”, “interessato” e “violazione dei dati personali” hanno il significato loro attribuito dal GDPR. Ai fini del presente Accordo, il Titolare è l'utente professionista, il Responsabile è Walter Peluso (titolare del servizio notaMente AI).

Rispetto ai dati dei propri pazienti, il professionista è Titolare autonomo del trattamento: determina le finalità e i mezzi, ed è tenuto a disporre di un'idonea base giuridica (es. consenso al trattamento dei dati relativi alla salute, art. 9 GDPR) e a fornire le opportune informative ai propri pazienti. notaMente AI tratta tali dati esclusivamente per conto del Titolare, in qualità di Responsabile ai sensi dell'art. 28 GDPR, nei limiti e per le finalità del presente Accordo.

• Oggetto: il trattamento dei dati personali necessario all'erogazione del servizio notaMente AI.
• Natura: raccolta, registrazione, organizzazione, conservazione, elaborazione (inclusa la generazione assistita di documenti tramite intelligenza artificiale), consultazione e cancellazione.
• Finalità: consentire al Titolare di gestire le cartelle dei propri pazienti, gli appunti di seduta e la produzione di documentazione clinica.
• Durata: per tutta la durata del rapporto contrattuale e fino alla cancellazione dei dati secondo la successiva sezione 11.

Nell'ambito del servizio possono essere trattati, per conto del Titolare:

• Categorie di interessati: i pazienti del professionista.
• Tipi di dati: dati anagrafici e di contatto, appunti di seduta, note cliniche e contenuti dei documenti generati, che possono includere categorie particolari di dati (dati relativi alla salute, art. 9 GDPR), inseriti a esclusiva discrezione del Titolare.

• Disporre di una valida base giuridica per il trattamento dei dati dei propri pazienti, comprese le categorie particolari di dati.
• Fornire ai propri pazienti le informative previste dagli artt. 13–14 GDPR.
• Inserire nel servizio solo i dati necessari e pertinenti, nel rispetto del principio di minimizzazione.
• Impartire al Responsabile istruzioni lecite e documentate (le istruzioni di base coincidono con l'uso ordinario delle funzionalità del servizio).

notaMente AI, in qualità di Responsabile, si impegna a:

• Trattare i dati personali solo su istruzione documentata del Titolare, salvo obblighi di legge;
• Garantire che le persone autorizzate al trattamento siano vincolate a un obbligo di riservatezza;
• Adottare le misure di sicurezza adeguate di cui alla sezione 7 (art. 32 GDPR);
• Rispettare le condizioni per il ricorso a sub-responsabili (sezione 8);
• Assistere il Titolare nel dare seguito alle richieste degli interessati (sezione 9);
• Assistere il Titolare nel garantire il rispetto degli obblighi di sicurezza, notifica delle violazioni, valutazione d'impatto e consultazione preventiva (artt. 32–36 GDPR);
• Cancellare o restituire i dati al termine del trattamento (sezione 11);
• Mettere a disposizione del Titolare le informazioni necessarie a dimostrare il rispetto dei propri obblighi (sezione 12);
• Non utilizzare i dati dei pazienti per finalità proprie, né cederli o venderli a terzi.

Il Responsabile adotta misure tecniche e organizzative adeguate, tra cui:

• Isolamento dei dati a livello di riga (Row Level Security): ogni professionista può accedere esclusivamente ai dati dei propri pazienti e mai a quelli altrui;
• Cifratura in transito (TLS/HTTPS) e cifratura a riposo fornita dall'infrastruttura;
• Autenticazione degli utenti e gestione sicura delle credenziali (password sottoposte ad hashing);
• Accesso ai file sensibili (es. firma) tramite URL firmati a scadenza su bucket privato;
• Principio del privilegio minimo negli accessi amministrativi e adozione di intestazioni di sicurezza applicative;
• Procedure di cancellazione dei dati su richiesta dell'interessato o del Titolare.

Il Titolare autorizza in via generale il Responsabile a ricorrere ai sub-responsabili elencati di seguito, ciascuno vincolato da obblighi di protezione dei dati equivalenti a quelli del presente Accordo:

• Supabase — hosting del database e autenticazione;
• Vercel — hosting e distribuzione dell'applicazione;
• OpenAI — elaborazione dei testi tramite intelligenza artificiale per la generazione dei documenti; i contenuti inviati non vengono utilizzati per l'addestramento dei modelli secondo le condizioni API in vigore;
• Stripe — gestione dei pagamenti e degli abbonamenti;
• Resend — invio delle email di servizio.

Il Responsabile informerà il Titolare di eventuali modifiche relative all'aggiunta o alla sostituzione di sub-responsabili, dando al Titolare la possibilità di opporsi per giustificati motivi legati alla protezione dei dati. In caso di opposizione fondata e non superabile, il Titolare potrà recedere dal servizio.

Tenuto conto della natura del trattamento, il Responsabile assiste il Titolare con misure tecniche e organizzative adeguate affinché il Titolare possa dare seguito alle richieste degli interessati che esercitano i diritti di cui agli artt. 15–22 GDPR (accesso, rettifica, cancellazione, limitazione, portabilità, opposizione). Il servizio mette a disposizione del Titolare gli strumenti per consultare, modificare ed eliminare in autonomia i dati dei propri pazienti.

Il Responsabile informa il Titolare senza ingiustificato ritardo dopo essere venuto a conoscenza di una violazione dei dati personali che riguardi i dati trattati per conto del Titolare, fornendo le informazioni ragionevolmente disponibili per consentire al Titolare di adempiere agli eventuali obblighi di notifica al Garante e di comunicazione agli interessati (artt. 33–34 GDPR).

Alla cessazione del rapporto, o su richiesta del Titolare, il Responsabile provvede — a scelta del Titolare — alla cancellazione o alla restituzione dei dati personali trattati per suo conto, salvo che la conservazione sia richiesta dal diritto dell'Unione o nazionale (es. obblighi di natura fiscale relativi ai pagamenti). In caso di eliminazione dell'account, i dati clinici associati vengono cancellati in modo permanente.

Il Responsabile mette a disposizione del Titolare le informazioni necessarie a dimostrare il rispetto degli obblighi previsti dall'art. 28 GDPR e consente, con ragionevole preavviso e nel rispetto della riservatezza e della sicurezza degli altri utenti, le verifiche (anche tramite audit) sul trattamento svolto per conto del Titolare.

Alcuni sub-responsabili possono trattare dati al di fuori dello Spazio Economico Europeo. In tali casi il trasferimento è garantito da Clausole Contrattuali Standard approvate dalla Commissione europea o da altre garanzie adeguate ai sensi del Capo V del GDPR.

Ciascuna parte risponde dei danni causati dal proprio inadempimento agli obblighi che il GDPR pone specificamente a carico, rispettivamente, del Titolare e del Responsabile. Il presente Accordo può essere aggiornato nel tempo con le modalità previste per i Termini; la data di ultimo aggiornamento è indicata in cima a questa pagina.

Per qualsiasi richiesta relativa al presente Accordo è possibile scrivere a notamenteassistenza@outlook.com.