HaiAria

Accordo sul Trattamento dei Dati (DPA)

Versione bozza v1.0 · ultimo aggiornamento: 23/06/2026 · revisionato dal legale, in attesa dei dati societari definitivi

⚠️ Testo provvisorio. Questo accordo è una bozza la cui impostazione generale è stata validata da un legale esterno. I dati societari del Responsabile (ragione sociale, sede, P.IVA, PEC) e la firma/accettazione elettronica con versioning saranno completati prima della pubblicazione definitiva.

Ai sensi dell'art. 28 del Regolamento (UE) 2016/679 ("GDPR"), il presente Accordo regola il trattamento dei dati personali tra il cliente che utilizza la piattaforma ARIA (il "Tenant", Titolare del trattamento) e HaiAria (il "Responsabile del trattamento"), quale allegato ai Termini di Servizio.

1. Oggetto e durata

Il Responsabile tratta dati personali per conto del Titolare esclusivamente per l'erogazione dei servizi ARIA sottoscritti, per tutta la durata del contratto.

2. Natura, finalità e categorie

3. Istruzioni del Titolare

Il Responsabile tratta i dati solo su istruzione documentata del Titolare (le configurazioni effettuate dal Titolare nel portale costituiscono istruzioni). Il Responsabile informa il Titolare se un'istruzione viola, a suo avviso, il GDPR.

4. Riservatezza

Le persone autorizzate al trattamento sono vincolate da obblighi di riservatezza.

5. Misure di sicurezza (art. 32 GDPR)

Il Responsabile adotta, tra l'altro: cifratura in transito (TLS) su tutti i canali; isolamento logico dei dati per tenant (row-level security); controllo accessi con autenticazione e sessioni a scadenza; backup giornalieri cifrati con rotazione 14 giorni e test di ripristino; monitoraggio continuo dei servizi; registrazione degli accessi amministrativi; ambienti separati per i sistemi di terze parti.

6. Sub-responsabili

Il Titolare autorizza in via generale il ricorso ai sub-responsabili elencati nell'Allegato 2. Il Responsabile informa il Titolare di ogni modifica con 15 giorni di anticipo; il Titolare può opporsi per motivi legittimi (con facoltà di recesso). Il Responsabile impone ai sub-responsabili gli stessi obblighi del presente Accordo. Per i trasferimenti extra-UE si applicano le Clausole Contrattuali Standard (SCC) della Commissione Europea.

7. Assistenza al Titolare

Il Responsabile assiste il Titolare: (a) nell'evasione delle richieste degli interessati (accesso, rettifica, cancellazione, opposizione) tramite le funzioni del portale o su richiesta; (b) negli obblighi ex artt. 32-36 GDPR (sicurezza, notifica violazioni, DPIA), tenuto conto delle informazioni disponibili.

8. Violazioni dei dati (data breach)

Il Responsabile notifica al Titolare senza ingiustificato ritardo, e comunque entro 48 ore dalla scoperta, ogni violazione dei dati personali, fornendo le informazioni di cui all'art. 33.3 GDPR man mano disponibili.

9. Cancellazione e restituzione

Alla cessazione del contratto, su scelta del Titolare: esportazione dei dati in formato strutturato (CSV/JSON) e/o cancellazione entro 30 giorni, salvo obblighi di legge. I backup sono sovrascritti secondo il ciclo di rotazione (massimo 14 giorni successivi).

10. Audit

Il Responsabile mette a disposizione le informazioni necessarie a dimostrare la conformità e consente audit documentali, con preavviso di 15 giorni, massimo una volta l'anno, a spese del Titolare e senza accesso a dati di altri tenant.

Allegato 1 — Clausole per Titolari del settore sanitario

  1. Il trattamento svolto dal Responsabile è limitato a dati di agenda e contatto; il Titolare si impegna a non inserire nei campi liberi dati relativi alla salute non necessari (anamnesi, diagnosi, referti, terapie).
  2. Il Titolare conferma che il trattamento per finalità di cura avviene sotto la propria responsabilità di professionista sanitario soggetto a segreto (art. 9.2.h GDPR).
  3. Il Responsabile non utilizza in alcun caso i dati dei pazienti per finalità proprie.

Allegato 2 — Elenco sub-responsabili (alla data della v1.0)

Sub-responsabileServizioSede / trasferimento
Contabo GmbHHosting infrastrutturaGermania (UE)
Telnyx LLCConnettività telefonicaUSA — SCC
Groq Inc.Elaborazione linguistica (LLM)USA — SCC
Google LLC (Gemini API)Sintesi/comprensione vocaleUSA — SCC
Meta Platforms (WhatsApp)Canale di messaggisticaUSA/Irlanda — SCC
Brevo (Sendinblue)Invio email transazionaliFrancia (UE)
Aruba S.p.A.Storage di backupItalia (UE)

Campi da completare prima della pubblicazione definitiva: dati societari delle parti, firma/accettazione elettronica con versioning.