Accordo sul Trattamento dei Dati (DPA)
Data Processing Agreement ai sensi dell'art. 28 del Regolamento UE 2016/679 (GDPR).
Questo accordo è parte integrante dei Termini di Servizio di medico legale OS e si
intende accettato al momento della registrazione al Servizio.
Ultimo aggiornamento: [DATA]
1. Parti dell'accordo
Titolare del trattamento
Il professionista utente
CTU / CTP / Perito fiduciario registrato al Servizio
I dati identificativi del Titolare sono quelli forniti in fase di registrazione e conservati nel profilo account.
Responsabile del trattamento
[RAGIONE SOCIALE]
P.IVA: [PIVA]
[INDIRIZZO]
Email: [EMAIL]
2. Oggetto, natura e finalità del trattamento
Il Responsabile tratta dati personali per conto del Titolare al fine di erogare il Servizio medico legale OS, consistente in una piattaforma SaaS per la gestione di fascicoli peritali, redazione di perizie medico-legali, fatturazione e gestione documentale nell'ambito dell'attività professionale del Titolare.
Il trattamento avviene mediante sistemi informatici automatizzati. Non viene effettuato alcun trattamento manuale dei dati da parte del Responsabile, salvo operazioni di supporto tecnico esplicitamente richieste dal Titolare.
3. Tipologie di dati e categorie di interessati
3.1 Categorie di interessati
- Soggetti periziandi (parti civili, danneggiati, convenuti) nell'ambito di procedimenti giudiziari civili e penali
- Controparti e parti processuali
- Testimoni e soggetti citati negli atti processuali
3.2 Tipologie di dati trattati
| Categoria | Tipo di dato | Classificazione GDPR |
|---|---|---|
| Dati anagrafici | Nome, cognome, data e luogo di nascita, codice fiscale, contatti | Dati comuni (art. 6) |
| Dati giudiziari | Numero R.G., tribunale, tipo procedimento, esito | Dati giudiziari (art. 10) |
| Dati sanitari | Anamnesi, diagnosi, esami strumentali, valutazione danno biologico, percentuali di invalidità | Dati particolari (art. 9) |
| Documenti allegati | Referti, cartelle cliniche, atti processuali, immagini diagnostiche in formato digitale | Dati particolari / comuni |
| Perizie e valutazioni | Perizie redatte, versioni storiche, quesiti, conclusioni tecniche | Dati comuni / particolari |
4. Durata del trattamento
Il presente DPA rimane in vigore per tutta la durata del contratto di abbonamento tra il Titolare e il Responsabile. Alla cessazione del contratto, il Responsabile conserva i dati per un periodo massimo di 12 mesi per consentire al Titolare l'esportazione, dopodiché provvede alla cancellazione definitiva e irreversibile.
5. Obblighi del Responsabile del trattamento
5.1 Istruzioni documentate
Il Responsabile tratta i dati personali esclusivamente sulla base delle istruzioni documentate del Titolare, come definite dai presenti Termini e dall'utilizzo del Servizio. Il Responsabile informa immediatamente il Titolare qualora ritenga che un'istruzione violi il GDPR o altre disposizioni in materia di protezione dei dati.
5.2 Riservatezza
Il Responsabile assicura che le persone autorizzate a trattare i dati personali si siano impegnate alla riservatezza o siano soggette a un adeguato obbligo di riservatezza di natura legale.
5.3 Misure di sicurezza (art. 32 GDPR)
Il Responsabile ha implementato le seguenti misure tecniche e organizzative:
- Cifratura in transito: TLS 1.3 su tutte le comunicazioni
- Cifratura a riposo: AES-256 per tutti i dati conservati
- Controllo degli accessi: Row Level Security (RLS) su database — ogni Titolare accede esclusivamente ai propri dati
- Autenticazione forte: password hashata con bcrypt, token JWT a scadenza
- Audit trail: registro immutabile di tutte le operazioni (INSERT, UPDATE, DELETE) con timestamp UTC
- Backup: backup automatici giornalieri con retention 30 giorni, archiviati nella stessa area geografica EU
- Gestione delle vulnerabilità: aggiornamenti di sicurezza applicati entro 72 ore dalla disponibilità della patch
- Accesso ai sistemi di produzione: limitato al personale tecnico autorizzato con autenticazione multi-fattore
5.4 Sub-responsabili del trattamento
| Sub-responsabile | Sede / Server | Ruolo | Garanzie GDPR |
|---|---|---|---|
| Supabase Inc. | USA (HQ) / Frankfurt, DE (server dati) | Database PostgreSQL, autenticazione, storage file | DPA Supabase + SCC approvate CE; server dati esclusivamente in EU |
| Vercel Inc. | USA (HQ) / EU (CDN) | Hosting applicativo frontend (no accesso ai dati del database) | DPA Vercel + SCC; nessun dato personale dei periziandi transita su Vercel |
| Google Cloud Vision (opzionale) | EU region quando disponibile | OCR su documenti PDF caricati dall'Utente | Attivato solo su richiesta esplicita; dati non conservati post-elaborazione |
Il Responsabile notifica al Titolare qualsiasi modifica prevista riguardante l'aggiunta o la sostituzione di sub-responsabili del trattamento, dando al Titolare l'opportunità di opporsi a tali modifiche tramite comunicazione scritta entro 15 giorni dalla notifica.
5.5 Assistenza al Titolare
Il Responsabile assiste il Titolare nel garantire il rispetto degli obblighi GDPR:
- Risposta alle richieste degli interessati: il Responsabile, tramite le funzionalità del Servizio, consente l'esportazione completa dei dati e la cancellazione degli stessi
- Data breach: il Responsabile notifica al Titolare qualsiasi violazione dei dati personali entro 72 ore dalla scoperta, fornendo le informazioni necessarie per l'eventuale notifica al Garante
- DPIA: il Responsabile fornisce tutta la documentazione tecnica necessaria per la Valutazione d'Impatto sulla Protezione dei Dati, qualora richiesta
5.6 Cancellazione e restituzione dei dati
Alla cessazione del contratto, su richiesta del Titolare, il Responsabile:
- Fornisce un'esportazione completa di tutti i Contenuti in formato JSON, CSV e PDF entro 15 giorni lavorativi dalla richiesta
- Cancella definitivamente tutti i dati dai sistemi di produzione e dai backup entro 30 giorni dalla scadenza del periodo di conservazione post-contrattuale (12 mesi), salvo obblighi di conservazione legale
- Fornisce attestazione scritta dell'avvenuta cancellazione su richiesta
5.7 Audit e verifiche
Il Responsabile mette a disposizione del Titolare tutte le informazioni necessarie a dimostrare il rispetto degli obblighi del presente DPA e contribuisce alle attività di verifica, comprese le ispezioni, realizzate dal Titolare o da un soggetto da questi incaricato, previo accordo sulla tempistica e le modalità con un preavviso di almeno 30 giorni.
6. Localizzazione dei dati e trasferimenti internazionali
Tutti i dati dei periziandi sono conservati su server fisicamente localizzati nella Regione UE di Frankfurt (Germania), nel pieno rispetto del GDPR senza necessità di meccanismi aggiuntivi di trasferimento.
Per le funzionalità opzionali che coinvolgono sub-responsabili con sede extra-UE (Google Cloud Vision, Whisper API), il trasferimento avviene esclusivamente su attivazione esplicita da parte del Titolare, nel pieno rispetto delle clausole contrattuali tipo (SCC) approvate dalla Commissione Europea.
7. Modifiche al DPA
Il presente DPA potrà essere aggiornato per recepire modifiche normative o tecniche. Le modifiche sostanziali saranno notificate al Titolare con almeno 30 giorni di preavviso. Il Titolare che non intende accettare le modifiche può risolvere il contratto di abbonamento senza penali.
8. Legge applicabile
Il presente DPA è disciplinato dalla legge italiana e dal Regolamento UE 2016/679 (GDPR). Per qualsiasi controversia si applica il foro di [CITTÀ].