Accordo per il Trattamento dei Dati
ai sensi dell'Art. 28 del Regolamento (UE) 2016/679 (GDPR)
Art. 1 — Ruoli delle parti
1.1. Ai fini del presente Accordo, l'Utente ("Professionista") agisce in qualità di Titolare del Trattamento. Il Fornitore ("ZenGest" / Unozen) agisce in qualità di Responsabile del Trattamento ai sensi dell'Art. 28 GDPR.
1.2. Il presente Accordo disciplina gli obblighi reciproci delle parti in relazione al trattamento dei dati personali nell'ambito dell'erogazione del Servizio.
Art. 2 — Oggetto e finalità del trattamento
2.1. Il Responsabile tratta i dati personali esclusivamente per le seguenti finalità:
- trascrizione di registrazioni audio di sedute cliniche;
- generazione di bozze di documentazione clinica (appunti di seduta, schede CBT/DBT, piani terapeutici);
- pseudonimizzazione e strutturazione dei dati clinici;
- archiviazione sicura della documentazione generata.
2.2. Il Responsabile non tratterà i dati per finalità diverse da quelle sopra indicate, salvo diversa istruzione documentata del Titolare o obbligo di legge.
Art. 3 — Categorie di dati trattati
3.1. Dati personali comuni dell'Utente: nome, cognome, email, dati di fatturazione.
3.2. Categorie particolari di dati (Art. 9 GDPR) relativi ai Pazienti dell'Utente:
- dati relativi alla salute mentale e fisica;
- trascrizioni di sedute psicoterapeutiche;
- valutazioni cliniche e anamnesi;
- piani terapeutici e annotazioni cliniche.
3.3. Categorie di interessati: Utenti (professionisti) e Pazienti degli Utenti.
Art. 4 — Durata del trattamento
Il trattamento dei dati ha inizio con l'attivazione del Servizio e prosegue per tutta la durata del rapporto contrattuale. Al termine, si applicano le disposizioni dell'Art. 11 del presente Accordo.
Art. 5 — Obblighi del Responsabile
Il Responsabile si impegna a:
- trattare i dati personali esclusivamente sulla base delle istruzioni documentate del Titolare, salvo obblighi di legge;
- garantire che le persone autorizzate al trattamento dei dati si siano impegnate alla riservatezza o siano soggette a un obbligo legale di riservatezza;
- adottare tutte le misure di sicurezza tecniche e organizzative richieste dall'Art. 32 GDPR;
- non ricorrere a un altro responsabile del trattamento (sub-responsabile) senza previa autorizzazione generale scritta del Titolare. Il Titolare autorizza sin d'ora il ricorso a HANA Health Inc. come sub-responsabile principale per l'infrastruttura tecnologica del Servizio;
- assistere il Titolare nel dare seguito alle richieste di esercizio dei diritti degli interessati (Artt. 15–22 GDPR);
- assistere il Titolare nel garantire il rispetto degli obblighi di cui agli Artt. 32–36 GDPR;
- cancellare o restituire tutti i dati personali al termine del Servizio, su scelta del Titolare;
- mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare la conformità agli obblighi di cui all'Art. 28 GDPR e consentire audit e ispezioni.
Art. 6 — Misure di sicurezza
6.1. Il Responsabile, anche tramite il sub-responsabile HANA Health Inc., adotta le seguenti misure tecniche e organizzative:
- crittografia dei dati in transito (TLS 1.2+) e a riposo (AES-256);
- pseudonimizzazione dei dati clinici prima dell'invio ai servizi di elaborazione AI;
- hosting su infrastruttura AWS nell'Unione Europea (regione eu-west-1), gestita tramite HANA Health;
- trascrizione audio su server HANA Health nell'UE tramite modelli open-source;
- eliminazione automatica e definitiva dei file audio al completamento della trascrizione;
- controllo degli accessi basato su ruoli e autenticazione sicura;
- backup crittografati con retention definita;
- monitoraggio continuo e logging degli accessi ai dati.
Art. 7 — Sub-responsabili del trattamento
7.1. Il Titolare autorizza in via generale il ricorso ai seguenti sub-responsabili:
| Fornitore | Funzione | Località dati | DPA |
|---|---|---|---|
| HANA Health Inc. | Infrastruttura voice AI, elaborazione dati, orchestrazione servizi | UE / US con garanzie contrattuali | Sì |
| Amazon Web Services | Hosting, storage, database (tramite HANA Health) | UE (eu-west-1) SEE | Sì (HANA ↔ AWS) |
| Anthropic (API Claude) | Elaborazione AI (tramite HANA Health) | API con garanzie zero-training | Sì (HANA ↔ Anthropic) |
| Trascrizione (self-hosted) | Speech-to-text (tramite HANA Health, modello open-source) | UE — infrastruttura HANA SEE | N/A (server HANA) |
7.2. HANA Health Inc. agisce come sub-responsabile principale del trattamento. I servizi di infrastruttura (AWS), elaborazione AI (Anthropic) e trascrizione sono erogati tramite HANA Health, che ha sottoscritto DPA con ciascun sub-responsabile ulteriore.
7.3. Il Responsabile informerà il Titolare di qualsiasi modifica relativa all'aggiunta o sostituzione di sub-responsabili con un preavviso di 30 giorni, dando al Titolare la possibilità di opporsi.
7.4. Il Responsabile garantisce che i sub-responsabili siano vincolati da obblighi di protezione dei dati equivalenti a quelli stabiliti nel presente Accordo.
Art. 8 — Trasferimenti internazionali
8.1. I dati clinici dei Pazienti sono trattati su infrastruttura situata nell'Unione Europea (AWS eu-west-1), gestita tramite HANA Health Inc.
8.2. HANA Health Inc. è una società incorporata nel Delaware (USA). Il trasferimento di dati verso HANA Health avviene sulla base delle Clausole Contrattuali Standard della Commissione Europea (SCCs) e/o dell'EU-US Data Privacy Framework, ove applicabile. L'infrastruttura di elaborazione dei dati clinici resta nell'UE.
8.3. L'utilizzo dell'API di Anthropic avviene tramite HANA Health con garanzie contrattuali che assicurano il non utilizzo dei dati per l'addestramento dei modelli AI (zero-training policy).
8.4. Qualora si rendesse necessario un ulteriore trasferimento di dati verso paesi terzi, il Responsabile applicherà le garanzie previste dal Capo V del GDPR.
Art. 9 — Notifica di violazione dei dati
9.1. Il Responsabile notificherà al Titolare qualsiasi violazione dei dati personali (data breach) senza ingiustificato ritardo e, ove possibile, entro 48 ore dal momento in cui ne sia venuto a conoscenza.
9.2. La notifica includerà: la natura della violazione, le categorie e il numero approssimativo di interessati coinvolti, le probabili conseguenze e le misure adottate o proposte per porvi rimedio.
9.3. Il Responsabile assisterà il Titolare nell'adempimento degli obblighi di notifica al Garante (Art. 33 GDPR) e di comunicazione agli interessati (Art. 34 GDPR).
Art. 10 — Audit e ispezioni
10.1. Il Responsabile mette a disposizione del Titolare tutte le informazioni necessarie per dimostrare la conformità al presente Accordo e all'Art. 28 GDPR.
10.2. Il Titolare ha diritto di effettuare audit e ispezioni, direttamente o tramite un revisore incaricato, con preavviso ragionevole di almeno 15 giorni lavorativi.
10.3. Il Responsabile collaborerà pienamente durante tali audit, garantendo l'accesso alle informazioni e ai sistemi pertinenti.
Art. 11 — Restituzione e cancellazione dei dati
11.1. Al termine del rapporto contrattuale, il Responsabile, su istruzione del Titolare:
- restituirà tutti i dati personali in formato strutturato e leggibile; oppure
- cancellerà tutti i dati personali e le copie esistenti, salvo obblighi di conservazione previsti dalla legge.
11.2. L'Utente può richiedere l'esportazione dei propri dati in qualsiasi momento durante la durata del Servizio.
11.3. La cancellazione sarà completata entro 30 giorni dalla richiesta, salvo obblighi legali di conservazione.
Art. 12 — Garanzia di non utilizzo per addestramento
12.1. Il Responsabile garantisce che i dati personali trattati nell'ambito del Servizio non vengono in alcun caso utilizzati per l'addestramento, il fine-tuning o il miglioramento di modelli di intelligenza artificiale.
12.2. Tale garanzia si estende ai sub-responsabili del trattamento. In particolare, l'utilizzo dell'API di Anthropic (Claude) avviene con garanzia contrattuale di non utilizzo dei dati per il training.