Accordo per il Trattamento dei Dati
secondo l’articolo 28 del GDPR

Il presente accordo per il trattamento dei dati (in seguito  “Accordo”) per l’utente finale (in seguito “Titolare”) deve essere integralmente letto e accettato prima di utilizzare qualsiasi servizio (in seguito “Servizio”)  fruibile attraverso il Sito. Si noti che l’Accordo costituisce un accordo legalmente vincolante tra il Titolare e OpenStudio.Cloud ovvero OPEN S.R.L.,  P. Iva IT12179040964 e REA MI-2645111 (in seguito riportato come “Responsabile”), che possiede e gestisce i Servizi erogati attraverso il Sito.

1. Oggetto e durata dell’Accordo

1.1 Oggetto del Accordo

L’oggetto del mandato si evince dal Contratto definito nei  Termini e Condizioni di utilizzo dei servizi riportati sul sito Web del Responsabile. La data della registrazione sul sito Web del  responsabile (https://app.openstudio.cloud) , a cui si rimanda con la presente, è la data di  registrazione di sottoscrizione ad un abbonamento, ivi compreso il piano gratuito.

Il Responsabile tratta i dati personali per il Titolare secondo le modalità dell’Art. 4 n. 2 e Art. 28 del GDPR sulla base di questo contratto.

1.2 Durata dell’Accordo

La durata del Accordo (Durata) corrisponde alla durata del Contratto, così come definito nell’Art. 4 dei Termini e Condizioni.

In particolare, l’inosservanza degli obblighi concordati nel presente contratto o di quanto previsto dall’Art. 28 del GDPR costituisce una violazione grave.

2. Termini relativi al Trattamento dei Dati

2.1 Tipo di trattamento (secondo la definizione di Art. 4 par. 2 del GDPR):

Il Responsabile fornisce un software come servizio per la gestione dell’attività del Titolare. Tale software offre in generale funzioni per l’organizzazione e la gestione degli appuntamenti, dei piani di cura, preventivi e pagamenti, del diario clinico dei pazienti, funzioni per l’amministrazione dei dipendenti e/o collaboratori esterni, gestione di contatti e fornitori, contabilità, strumenti di marketing e di analisi.

2.2 Tipo di Dati personali (secondo la definizione dell’Art. 4 par. 1, 13, 14 e 15 del GDPR):

  • dati personali di base
  • dati di comunicazione (ad esempio  numero di  telefono, e-mail)
  • dati contrattuali di base (rapporto contrattuale, interesse per il prodotto o per il contratto)
  • cronologia cliente
  • dati contabili relativi al contratto e dati di pagamento
  • dati di report (di terzi, ad esempio agenzie di credito o derivanti da registri pubblici)
  • dati di pazienti o clienti in genere

2.3 Categorie di soggetti interessati (secondo la definizione dell’Art. 4 par.1 GDPR)

Le categorie di persone interessate dal trattamento includono:

  • medici, paramedici e affini
  • clienti (o pazienti)
  • fornitori
  • consulenti fiscali
  • odontotecnici o laboratori di analisi
  • assistenti e collaboratori esterni
  • interlocutori abituali o occasionali per lo svolgimento della attività del Titolare

3. Trattamento dei Dati personali del Titolare

3.1 Il Responsabile  tratta i Dati personali del Titolare solo per le finalità previste nel Contratto di erogazione dei servizi. Il Responsabile non deve trattare, trasferire, modificare, correggere o alterare i Dati personali del  Titolare o divulgare o consentire la divulgazione dei dati personali del Titolare a terzi se  non in conformità alle istruzioni documentate del Titolare, a meno che il trattamento non sia richiesto dall’UE o dalle leggi dello Stato Membro a cui è soggetto il Titolare.

3.2 Ai fini illustrati nella sezione precedente, il Titolare autorizza il Responsabile a trasferire i suoi Dati personali a destinatari di Paesi Terzi elencati nell’Allegato A, sempre a condizione che il Responsabile soddisfi i requisiti della sezione del punto 7 Rapporti di Subappalto.

4. Destinatari delle direttive dalla parte del Responsabile

4.1 L’autorizzato dal Titolare a dare le direttive è: ciascun utente registrato con diritti di amministratore nel sito OpenStudio.Cloud.

4.2 L’autorizzato a ricevere le direttive è l’amministratore protempore di Open SRL, Email: [email protected].

4.3 Canali di comunicazione del Responsabile: [email protected], [email protected]

5. I Diritti degli Interessati

5.1 Tenuto conto della natura del Trattamento , il Responsabile assisterà il Titolare implementando le misure tecniche e organizzative appropriate, se e quando possibile, per l’adempimento  dell’obbligo del Titolare di rispondere alle richieste degli interessati di esercitare i propri  diritti.

5.2 Il Responsabile tratta i Dati personali solo in conformità con gli accordi e le istruzioni del Titolare. Può altresì trattare i Dati personali ove obbligato a svolgere un diverso trattamento dal diritto dell’Unione o degli Stati membri cui è soggetto il Responsabile del trattamento (ad esempio indagini delle autorità giudiziarie); in tal caso, il Responsabile del trattamento informa il Titolare del trattamento di tali requisiti legali prima del trattamento, a meno che la legge non vieti tale comunicazione in forza di un importante interesse pubblico (articolo 28, paragrafo 3, frase 2, lettera a), del GDPR).

5.3 Il Responsabile non utilizzerà i Dati personali forniti per il trattamento per nessun altra finalità, in particolare per i propri interessi.  Il Responsabile si impegna a mantenere la riservatezza nel trattamento dei Dati personali del Titolare. Ciò vale anche dopo la fine del contratto.

5.4 Se ad avviso del Responsabile, una direttiva emessa dal Titolare dovesse violare le disposizioni di legge (articolo 28, paragrafo 3, frase 3 GDPR), il Responsabile è autorizzato a sospendere l’esecuzione delle istruzioni corrispondenti fino a quando esse non siano state confermate o modificate dal Titolare dopo la verifica.

5.5 Il Responsabile può fornire informazioni sui Dati personali dal rapporto contrattuale a terzi o all’interessato solo previa istruzione o approvazione da parte del Titolare.

5.6 Il Responsabile accetta che il Titolare abbia il diritto, in linea di massima, di verificare l’osservanza delle disposizioni in materia di protezione e sicurezza dei dati e degli accordi contrattuali in modo appropriato e necessario, direttamente o tramite terzi incaricati dal Titolare, in particolare ottenendo informazioni e accesso ai dati memorizzati e ai programmi di trattamento dei dati, nonché attraverso ispezioni in loco (articolo 28, paragrafo 3, frase 2, lettera h GDPR).

6. Sicurezza dei Dati Personali

6.1 Ai fini dell’attuazione del presente contratto, viene fornito un livello adeguato di protezione dei rischi per i diritti e le libertà delle persone fisiche interessate dal trattamento. A tal fine, gli obiettivi di protezione di cui all’articolo 32, paragrafo 1, del GDPR, quali la riservatezza, l’integrità e la disponibilità dei sistemi e dei servizi e la loro solidità in termini di natura, portata, contesto e finalità del trattamento sono presi in considerazione in modo tale da adottare misure correttive e tecniche organizzative adeguate che riducano permanentemente il rischio:

6.1.1 la pseudonimizzazione e la cifratura dei dati personali;

6.1.2 La capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;

6.1.3  la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali del Titolare in caso di incidente fisico o tecnico;

6.2 Nel valutare l’adeguato livello di sicurezza, il Responsabile tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla  modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

6.3 Il Responsabile garantisce l’osservanza delle misure tecniche e organizzative specificate nell’allegato (Allegato B), che fanno parte del presente accordo.

7. Rapporti di subappalto

7.1 A partire dalla data di validità dell’Accordo, il Titolare autorizza il Responsabile a coinvolgere i Subincaricati di cui all’Allegato A. Il Responsabile non impegna i Subincaricati a trattare i Dati Personali del Titolare  se non dietro consenso scritto del Titolare, che  può rifiutare a sua assoluta discrezione.

7.2 La designazione di subappaltatori di paese terzo, o un’organizzazione internazionale, può essere eseguita solo se sono soddisfatti i requisiti speciali di cui all’articolo 44 e seguenti del GDPR.

7.3 Il Responsabile garantisce per contratto che le disposizioni concordate tra il Titolare e il Responsabile si applichino anche ai subappaltatori. Nel contratto con il subappaltatore, i dettagli devono essere specificati in modo tale che le responsabilità del Responsabile e del subappaltatore siano chiaramente distinte l’una dall’altra.

7.4 Il Responsabile è responsabile nei confronti del Titolare nel garantire che il subappaltatore rispetti gli obblighi di protezione dei dati contrattualmente imposti dal Responsabile, conformemente alla presente sezione del contratto

7.5 Il Responsabile del trattamento informa sempre il Titolare del trattamento di qualsiasi modifica prevista in relazione all’inserimento di nuovi subappaltatori o alla sostituzione di quelli esistenti, dando così al Titolare la possibilità di opporsi a tali modifiche (articolo 28 comma 2 frase 2 GDPR ).

8. Sicurezza dei Dati Personali

8.1 Il Responsabile informa immediatamente il Titolare di eventuali interruzioni, violazioni da parte del Responsabile stesso o di persone da egli impiegate, nonché delle norme sulla protezione dei dati o delle disposizioni adottate nell’incarico, nonché del sospetto di violazioni dei dati o di irregolarità nel trattamento dei dati personali, entro ventiquattro (24) ore dall’essere venuto a conoscenza o aver ragionevolmente sospettato di una violazione dei dati personali.

8.2  La notifica di avvenuta intrusione dovrà contenere almeno le seguenti informazioni:

8.2.1 Descrivere la natura della violazione dei dati personali, le categorie e il numero dei soggetti interessati, nonché le categorie e il numero di registrazioni di dati personali colpite dalla  violazione;

8.2.2 Comunicare il nome e le informazioni di contatto del Responsabile della protezione dei dati del Procuratore, del Responsabile della privacy o di altri contatti rilevanti dai quali possono essere ottenute ulteriori informazioni;

8.2.3 Descrivere il rischio stimato e le probabili conseguenze della Violazione dei Dati Personali;

8.2.4 Descrivere le misure adottate o proposte per gestire la Violazione dei Dati Personali.

8.3.Il Responsabile dovrà cooperare con il Titolare e intraprendere le misure commerciali  ragionevoli come indicate dal Titolare per assistere nelle indagini, nella mitigazione e  risoluzione di ogni Violazione dei Dati Personali.

8.4 .In caso di violazione dei dati personali, il Responsabile non deve informare terzi senza prima ottenere il consenso scritto del Titolare, salvo che lo richieda il diritto dell’Unione o nazionale  cui è soggetto il Responsabile. In tal caso, il Titolare dovrà informare il Titolare circa tale  obbligo giuridico, fornire una copia della notifica proposta e considerare eventuali commenti formulati dal Titolare prima di notificare la Violazione dei dati personali.

9. Cancellazione o restituzione dei Dati Personali del Titolare

9.1 Ai sensi dell’art. 28 comma 3 frase 2 lett. g GDPR, dopo la risoluzione del contratto, il Titolare deve informare il Responsabile se i dati devono continuare a essere detenuti a causa di obblighi legali esistenti del Titolare, o deve essere effettuata una cancellazione immediata.

9.2 Il Responsabile dovrà prontamente e, in ogni caso, entro e non oltre 90 (novanta) giorni solari:

9.2.1 Restituire una copia completa di tutti i Dati personali del Titolare stesso mediante trasferimento sicuro di file e cancellare in modo sicuro tutte le altre copie dei Dati personali del Titolare elaborati dal Responsabile;

9.2.2 Cancellare in modo sicuro tutte le copie dei dati personali del Titolare trattati dal  Responsabile e  fornire una certificazione scritta al Titolare attestante che ha rispettato pienamente i requisiti della sezione Cancellazione o Restituzione dei Dati Personali del Titolare.

9.3. Il Responsabile può conservare i Dati personali del Titolare nella misura richiesta dalle leggi dell’Unione o dello Stato Membro, e solo nella misura e per il periodo richiesto dalla legge  dell’Unione o dello Stato Membro, e sempre a condizione che il Responsabile garantisca la riservatezza di tutti i Dati personali del Titolare.

10. Responsabilità

Si fa riferimento all’articolo 82 del GDPR.

11. Varie

11.1 Gli accordi sulle misure tecniche e organizzative, nonché i documenti di controllo e di esame (compresi i subappaltatori) devono essere conservati da entrambe le parti contraenti per la loro validità e successivamente per tre anni civili completi.

11.2 Per gli accordi accessori, è richiesta la forma scritta o un formato elettronico documentato.

11.3 Le singole parti di questo accordo dovessero essere non valide, ciò non pregiudica in ogni caso la validità dell’accordo.

 

Allegato A: Trasferimenti autorizzati da parte del Titolare in virtù del presente Accordo

Hetzner Online
Sito: https://www.hetzner.com
Incarico: Centri server ad alta sicurezza

Aruba Pec
Sito: https://www.aruba.it
Incarico: Fatturazione elettronica e conservazione sostitutiva a norma di legge dei documenti elettronici

Google
Sito:​ https://gsuite.google.com
Incarico: Soluzione “G Suite” (Analytics, Drive, Documents come Word, ecc.)

Banca Sella
Sito: https://www.sella.it
Incarico: ​ Banca, conto corrente e pagamenti

Invio Email, SMS, Campagne Marketing
Informazione riservate, disponibile solo su richiesta da parte del Titolare.

 

Allegato B: Misure Tecniche Organizzative

Tutti i Dati personali del Titolare sono conservati presso la nostra infrastruttura  hardware (server web, server di back up, server database) ospitati presso i datacenter del nostro partner in Germania. Nessuna copia dei Dati personali del Titolare è conservata in modo permanente in locale, presso i personal computer del Responsabile o dei suoi collaboratori.

Di seguito le misure tecniche organizzative adottare per ottemperare all’articolo 32, par. 1 del GDPR:

a) pseudonimizzazione e la cifratura dei dati personali

Pseudonimizzazione

I Dati personali del Titolare possono essere trattati in modo che non possano più essere attribuiti a un soggetto interessato specifico senza il ricorso a informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano mantenute separate e soggette ad adeguate misure tecniche e organizzative.

Ogni cliente (o paziente) del Titolare potrà essere identificato con un codice univoco che identifica il cliente(paziente). Nei rapporti tra il titolare e i suoi collaboratori esterni (laboratori di analisi, odontotecnici ecc) piuttosto che passare i dati sensibili del cliente (paziente) è sufficiente passare il codice univoco. 

Cifratura dei dati personali
Tutti i dati sensibili del Titolare che sono conservati presso il nostro database utilizzando le più moderne tecniche di crittografia basate sull’algoritmo Advanced Encryption Standard (AES).

Tutti i documenti, o immagini, caricati dal Titolare presso i nostri server sono conservati su File System crittografati basati sullo standard AES.

b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;

Riservatezza
Il controllo degli accessi fisici ai server è soggetti al regolamento del fornitore che ospita i server di OpenStudio.Cloud. Il fornitore è Hetzner Online in possesso della  certificazione  ISO/IEC 27001.

L’accesso da remoto ai server è regolamentato da politiche di sicurezza che prevedono processi di strong authentication basato su Password e Codice OTP (One Time Password) . Ogni accesso ai server è monitorato e registrato.

L’accesso al gestionale è regolamentato dal sistema di User e Passwod univoche. Per aumentare il livello di sicurezza, il titolare può abilitare il processo di di strong authentication basato su User, Password e Codice OTP per accedere nel proprio account del gestionale. Ogni accesso è monitorato e registrato e l’accesso ai Dati personali  del Titolare è tracciato in un apposito registro.

Integrità, disponibilità e resilienza dei sistemi

Recupero rapido della disponibilità dei dati

Sono stati adottati una serie procedure per la protezione da distruzione o perdita accidentali o intenzionali, quali:

  • Strategia di backup: Sistemi di back-up dei dati e dei documenti del Titolare in modo automatico
  • Ripristino del back-up: intervento manuale, in caso di incidente che comporta la perdita, anche parziale, dei dati
  • I Dati Personali (database e documenti caricati nel cloud) risiedono su tre server contemporaneamente. In caso di guasto di un server, gli altri due servers garantiranno sia la continuità del servizio che la disponibilità dei dati Personali
  • Gruppo di continuità: fornito da  Hetzner Online

c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;

Oltre agli interventi di Integrità, disponibilità e resilienza dei sistemi nel caso di incidenti tecnici il fornitore del servizio (Hetzner Online) è in grado di intervenire in tempi rapidi per ripristinare la normale operatività dei sistemi.

d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Non deve essere operato alcun trattamento dei dati senza le corrispondenti istruzioni del Titolare ai sensi dell’articolo 28 GDPR, ad esempio: chiara progettazione del contratto, gestione degli ordini formalizzata, selezione rigorosa del Responsabile di servizi, controlli di follow-up.

Misure adottate:

  • I collaboratori del Responsabile sono soggetti all’obbligo di segretezza dei dati
  • I rapporti di subappalto del Responsabile sono definiti per contratto e le azienda che collaborano con il fornitore (partner o subappalto) sono conforme al GDPR
  • Controllo regolare dell’affidabilità del subappaltatore (deve rispettare il GDPR)