Accordo sul Trattamento dei Dati Personali (DPA)
Il presente Accordo sul Trattamento dei Dati Personali (di seguito "DPA") integra i Termini e Condizioni di Servizio di SeedNote e disciplina il trattamento dei dati personali effettuato dal Responsabile per conto del Titolare nell'ambito dell'utilizzo della piattaforma SeedNote.
Il presente DPA si considera accettato dal Titolare al momento dell'accettazione dei Termini e Condizioni di Servizio di SeedNote, di cui costituisce parte integrante.
- Titolare
- Lo psicologo o psicoterapeuta iscritto all'Albo che utilizza la piattaforma SeedNote nell'esercizio della propria attività professionale. Il Titolare determina le finalità e i mezzi del trattamento dei dati personali dei propri pazienti.
- Responsabile
- Inari Creative Studio S.r.l., in qualità di fornitore della piattaforma SeedNote. Il Responsabile tratta i dati personali dei pazienti esclusivamente per conto e su istruzione del Titolare.
- Interessati
- I pazienti del Titolare i cui dati personali vengono trattati attraverso la piattaforma SeedNote.
- Dati personali trattati
- I dati anagrafici dei pazienti (nome, cognome, email, telefono, data di nascita), le note cliniche inserite dal Titolare, la registrazione audio della voce del Titolare durante le sedute (che può contenere riferimenti indiretti alla condizione del paziente), la trascrizione testuale della registrazione, la restituzione scritta generata dall'intelligenza artificiale e rivista dal Titolare.
- Dati relativi alla salute
- I dati trattati attraverso la piattaforma costituiscono dati relativi alla salute ai sensi dell'art. 9 GDPR, in quanto riferiti, anche indirettamente, alla condizione psicologica dei pazienti.
Il Responsabile tratta i dati personali dei pazienti del Titolare esclusivamente per le seguenti finalità, strettamente connesse all'erogazione del servizio SeedNote:
- la trascrizione automatica della registrazione audio della voce del Titolare;
- la generazione di una bozza di restituzione scritta della seduta mediante intelligenza artificiale;
- la conservazione delle trascrizioni e delle restituzioni approvate dal Titolare;
- l'invio della restituzione approvata al paziente via email per conto del Titolare;
- l'invio di notifiche WhatsApp al paziente per conto del Titolare, limitatamente a un avviso di disponibilità della restituzione, senza alcun contenuto clinico;
- la gestione dell'anagrafica dei pazienti e dello storico delle sedute.
Il Responsabile non tratta i dati personali per finalità proprie diverse da quelle sopra indicate.
Il presente DPA ha efficacia per tutta la durata del rapporto contrattuale tra il Titolare e il Responsabile, ovvero fino alla cancellazione dell'account del Titolare.
Alla cessazione del rapporto, il Responsabile cancella tutti i dati personali trattati per conto del Titolare entro 30 giorni, fatte salve le conservazioni imposte dalla legge (dati di fatturazione, copie dei consensi informati).
Il Responsabile si impegna a:
- trattare i dati personali esclusivamente sulla base delle istruzioni documentate del Titolare, incluse le istruzioni impartite attraverso l'utilizzo della piattaforma (ad esempio, l'invio di una restituzione al paziente costituisce un'istruzione di trattamento);
- garantire che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
- adottare tutte le misure di sicurezza richieste dall'art. 32 GDPR, come dettagliate all'art. 6 del presente DPA;
- non ricorrere a un altro responsabile del trattamento senza la preventiva autorizzazione generale scritta del Titolare, come disciplinato all'art. 5 del presente DPA;
- assistere il Titolare nel garantire il rispetto degli obblighi di cui agli artt. 32-36 GDPR, tenendo conto della natura del trattamento e delle informazioni a disposizione del Responsabile;
- su scelta del Titolare, cancellare o restituire tutti i dati personali al termine della prestazione dei servizi e cancellare le copie esistenti, salvo che il diritto dell'Unione o degli Stati membri preveda la conservazione dei dati;
- mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e contribuire alle attività di revisione, comprese le ispezioni;
- informare immediatamente il Titolare qualora, a suo parere, un'istruzione violi il GDPR o altre disposizioni dell'Unione o degli Stati membri in materia di protezione dei dati.
Il Titolare autorizza in via generale il Responsabile a ricorrere ai sub-responsabili indicati nella tabella seguente, necessari per l'erogazione del servizio SeedNote:
| Sub-responsabile | Servizio | Dati trattati | Localizzazione |
|---|---|---|---|
| AWS S3 | Storage temporaneo audio | Audio (cancellato dopo elaborazione) |
Francoforte 🇩🇪 eu-central-1 |
| AWS Bedrock | Generazione testo AI (Claude) | Trascrizione, restituzione |
Francoforte 🇩🇪 eu-central-1 |
| Modal Labs | Trascrizione audio (Whisper) | Audio (temporaneo), trascrizione |
Regione UE |
| Brevo | Invio email restituzioni | Nome paziente, email, contenuto restituzione |
UE |
| Besked | Notifica WhatsApp Business | Nome paziente, numero di telefono |
UE |
| Base44 | Piattaforma applicativa | Dati anagrafici, sessioni, restituzioni |
UE |
Modifiche alla lista dei sub-responsabili
Il Responsabile si impegna a informare il Titolare di eventuali modifiche alla lista dei sub-responsabili (aggiunta o sostituzione) con un preavviso di almeno 30 giorni, mediante comunicazione email. Il Titolare ha la facoltà di opporsi alla modifica entro 15 giorni dalla ricezione della comunicazione. In caso di opposizione, le parti si impegnano a trovare una soluzione ragionevole. Qualora non si raggiunga un accordo, il Titolare ha diritto di recedere dal contratto.
Catena di responsabilità
Il Responsabile impone a ciascun sub-responsabile, mediante contratto o altro atto giuridico, gli stessi obblighi in materia di protezione dei dati contenuti nel presente DPA. Il Responsabile resta pienamente responsabile nei confronti del Titolare per l'adempimento degli obblighi del sub-responsabile.
Nessun dato clinico transita attraverso il canale WhatsApp. La notifica contiene esclusivamente un avviso che la restituzione è disponibile nella casella email del paziente.
Il Responsabile adotta le seguenti misure di sicurezza tecniche e organizzative, adeguate al rischio e alla natura dei dati trattati:
TLS e a riposo su AWS S3 tramite SSE-S3 (Server-Side Encryption).
Row-Level Security.
In caso di violazione dei dati personali (data breach) ai sensi dell'art. 33 GDPR, il Responsabile si impegna a notificare il Titolare senza ingiustificato ritardo:
La notifica include le seguenti informazioni:
- la natura della violazione, includendo ove possibile le categorie e il numero approssimativo di interessati coinvolti;
- il nome e i dati di contatto del punto di riferimento presso il Responsabile per ottenere maggiori informazioni;
- una descrizione delle probabili conseguenze della violazione;
- una descrizione delle misure adottate o di cui si propone l'adozione per porre rimedio alla violazione e per attenuarne i possibili effetti negativi.
Il Responsabile collabora con il Titolare per consentirgli di adempiere ai propri obblighi di notifica al Garante (art. 33 GDPR) e di comunicazione agli interessati (art. 34 GDPR), ove necessario.
Il Responsabile assiste il Titolare, nella misura in cui ciò sia possibile, nel soddisfare le richieste di esercizio dei diritti degli interessati previsti dagli artt. 15-22 GDPR: accesso, rettifica, cancellazione, limitazione, portabilità, opposizione.
Qualora un interessato (paziente) si rivolga direttamente al Responsabile per esercitare i propri diritti, il Responsabile ne informerà tempestivamente il Titolare e non darà seguito alla richiesta autonomamente, salvo diversa istruzione del Titolare o obbligo di legge.
Funzionalità messe a disposizione dalla piattaforma
La piattaforma consente al Titolare di esercitare direttamente i seguenti diritti per conto dei propri pazienti:
- accesso ai dati e alle restituzioni;
- rettifica dei dati anagrafici;
- cancellazione dei dati del paziente e di tutte le sessioni e restituzioni associate.
Il Responsabile non trasferisce dati personali dei pazienti verso paesi terzi al di fuori dello Spazio Economico Europeo. Tutti i dati clinici, le trascrizioni e le restituzioni sono conservati ed elaborati su server situati nell'Unione Europea.
L'utilizzo di cookie analitici e di marketing sul sito web della piattaforma (Google Analytics, Meta Pixel) può comportare il trasferimento di dati pseudonimizzati di navigazione verso gli Stati Uniti, sulla base del EU-US Data Privacy Framework. Riguarda esclusivamente la navigazione del Titolare — non dei pazienti — e solo previo consenso espresso tramite il banner cookie.
Il Titolare ha il diritto di verificare, direttamente o tramite un soggetto terzo da esso incaricato, il rispetto degli obblighi derivanti dal presente DPA, previo ragionevole preavviso scritto di almeno 30 giorni.
Il Responsabile si impegna a collaborare ragionevolmente con il Titolare ai fini della verifica, mettendo a disposizione le informazioni e la documentazione necessarie. Le verifiche devono essere condotte in modo da non interferire irragionevolmente con le attività del Responsabile e nel rispetto degli obblighi di riservatezza del Responsabile nei confronti degli altri Titolari.
Ciascuna parte è responsabile nei confronti dell'altra per i danni causati dal trattamento dei dati personali in violazione del presente DPA, del GDPR o delle istruzioni documentate dell'altra parte, nei limiti e secondo le condizioni previste dall'art. 82 GDPR.
La limitazione di responsabilità prevista nei Termini e Condizioni di Servizio si applica anche al presente DPA, nei limiti consentiti dalla legge applicabile.
Il Responsabile si riserva il diritto di aggiornare il presente DPA per adeguarlo a modifiche normative o a variazioni nell'erogazione del servizio. In caso di modifiche sostanziali, il Titolare sarà informato tramite email con un preavviso di almeno 30 giorni.
Il presente DPA è regolato dalla legge italiana. Per qualsiasi controversia derivante dall'interpretazione, esecuzione o risoluzione del presente DPA, sarà competente in via esclusiva il Foro di Macerata.
Per qualsiasi questione relativa al presente DPA, il Titolare può contattare il Responsabile all'indirizzo PEC inaricreativestudio.srl@legalmail.it oppure scrivendo all'indirizzo della sede legale:
02073790434
PEC: inaricreativestudio.srl@legalmail.it