Termini di Servizio
& Sicurezza

ZenGest e una piattaforma di supporto alla documentazione clinica e alla gestione dello studio. Non e un dispositivo medico, non fornisce diagnosi e non prescrive o raccomanda trattamenti.

• ZenGest affianca, senza sostituire, il giudizio clinico del professionista
• Tutti gli output generati dall'AI sono indicativi e devono essere revisionati dal professionista prima di essere inseriti nella cartella clinica o utilizzati per decisioni cliniche
• ZenGest non e un servizio di emergenza. In caso di crisi acuta, il paziente deve essere indirizzato ai servizi di emergenza competenti (numero unico 112)

I pazienti non interagiscono direttamente con ZenGest. La piattaforma e uno strumento ad uso esclusivo del professionista.

3.1 Responsabilita Clinica e Deontologica

• Il Cliente deve essere regolarmente iscritto all'Ordine degli Psicologi competente e in possesso di tutti i titoli necessari per l'esercizio della professione
• Il Cliente mantiene piena responsabilita clinica e deontologica per tutte le decisioni relative alla cura dei propri pazienti, indipendentemente dagli output generati da ZenGest
• Il Cliente deve assicurarsi che il proprio utilizzo di ZenGest sia conforme al Codice Deontologico degli Psicologi Italiani e alla normativa vigente

3.2 Consenso del Paziente

• Il Cliente e responsabile dell'ottenimento del consenso informato dei propri pazienti al trattamento dei loro dati tramite ZenGest, incluso l'utilizzo di strumenti AI
• Il consenso deve includere: informazione sull'uso di strumenti AI per la generazione di note cliniche; finalita del trattamento; diritto di opposizione e cancellazione
• Per i pazienti minorenni o privi di capacita, il consenso deve essere ottenuto dal rappresentante legale

3.3 Uso Appropriato

• ZenGest puo essere utilizzato esclusivamente per scopi clinici e professionali legittimi
• E vietato utilizzare ZenGest per finalita di marketing, profilazione commerciale o comunicazioni non cliniche
• Il Cliente deve implementare adeguate misure di sicurezza per l'accesso al proprio account ZenGest (credenziali riservate, dispositivi sicuri)
• Il Cliente deve notificare immediatamente ZenGest in caso di accesso non autorizzato o violazione della sicurezza del proprio account

Il Cliente puo cancellare il proprio account in qualsiasi momento dall'interno della piattaforma. La cancellazione comporta la cessazione dell'accesso al servizio al termine del periodo di abbonamento in corso.

• Prima della cancellazione e possibile esportare tutti i propri dati clinici in formato leggibile
• I dati vengono conservati per 90 giorni dalla cancellazione, dopodiche vengono eliminati in modo sicuro, salvo obblighi di conservazione previsti dalla legge
• Le richieste di esercizio dei diritti GDPR (accesso, rettifica, cancellazione, portabilita) possono essere inviate a hello@zengest.it

Il Cliente deve comprendere i seguenti limiti dei sistemi AI di ZenGest:

• I sistemi AI possono produrre output incompleti, imprecisi o insufficientemente sfumati: la revisione clinica e sempre necessaria
• La qualita delle note generate dipende dalla qualita e chiarezza della registrazione audio o del testo inserito
• ZenGest non garantisce la conformita degli output alle specifiche esigenze di ogni singolo orientamento terapeutico o sistema nosografico
• I dati del paziente non vengono mai utilizzati per addestrare modelli AI di terzi: questa e una garanzia contrattuale inclusa in tutti i piani

• La piattaforma ZenGest, inclusi tutti i modelli AI, i protocolli clinici, le interfacce, le API e la documentazione, e di proprieta esclusiva di Unozen Srl
• I dati clinici, le note generate e le cartelle dei pazienti inseriti dal Cliente appartengono al Cliente e ai suoi pazienti, nel rispetto del DPA
• Unozen Srl si riserva il diritto di utilizzare dati anonimizzati e aggregati non identificabili per migliorare le prestazioni della piattaforma, nel rispetto della normativa applicabile
• E vietato reverse-engineering, rivendita, sub-licenza o replica della piattaforma ZenGest senza previo consenso scritto di Unozen Srl

La responsabilita di Unozen Srl nei confronti dei Clienti e limitata al totale dei corrispettivi pagati dal Cliente nei 12 mesi precedenti il sinistro, salvo i casi di dolo, colpa grave o violazione degli obblighi in materia di protezione dei dati.

8.1 ZenGest non e responsabile per:

• Decisioni cliniche adottate dal Cliente, indipendentemente dagli output AI consultati
• Danni derivanti da un utilizzo improprio della piattaforma o dal mancato rispetto delle presenti condizioni
• Interruzioni del servizio causate da guasti di infrastrutture terze (cloud provider, connettivita), purche ZenGest abbia rispettato i propri obblighi SLA

8.2 Manleva del Cliente

Il Cliente si impegna a manlevare Unozen Srl da qualsiasi pretesa derivante da: esercizio non autorizzato della professione; mancato ottenimento del consenso del paziente; violazione delle presenti Condizioni; utilizzo della piattaforma per scopi non clinici.

• I piani mensili si rinnovano automaticamente ogni mese; i piani annuali si rinnovano ogni 12 mesi, salvo disdetta
• Il downgrade o la cancellazione dell'abbonamento e disponibile al rinnovo del periodo in corso
• In caso di violazione grave delle presenti condizioni, ZenGest si riserva il diritto di sospendere o terminare l'account con preavviso di 14 giorni
• A seguito della cancellazione, ZenGest fornira un export completo dei dati entro 30 giorni ed eliminera in modo sicuro tutti i dati entro 90 giorni, salvo obblighi di conservazione legale

Le presenti Condizioni sono disciplinate dalla legge italiana. Per qualsiasi controversia relativa all'interpretazione o all'esecuzione delle presenti Condizioni, le parti si impegnano a ricercare una soluzione bonaria. In mancanza di accordo, la controversia sara deferita al Foro di Torino, che avra competenza esclusiva, fatta salva la competenza obbligatoria del foro del consumatore ove applicabile. Il Regolamento (UE) 2016/679 (GDPR) e il D.lgs. 196/2003 (Codice Privacy) si applicano integralmente al trattamento dei dati personali.

Unozen Srl mantiene un sistema di gestione della sicurezza delle informazioni allineato ai principi ISO 27001. La governance della sicurezza e responsabilita congiunta del CTO e del Responsabile della Protezione dei Dati (RPD), con revisioni periodiche.

Quadro di Conformita

• Controllo degli accessi basato su ruoli (RBAC) applicato a tutti i componenti della piattaforma
• Ogni professionista accede esclusivamente ai dati dei propri pazienti; l'isolamento tra account e garantito a livello infrastrutturale
• Autenticazione a due fattori (2FA) disponibile e raccomandata per tutti gli account
• Log di accesso conservati per 24 mesi; rilevamento anomalie con alert giornalieri
• I diritti di accesso dei dipendenti Unozen Srl sono rivisti trimestralmente e revocati immediatamente al termine del rapporto di lavoro

• Scansione automatica delle vulnerabilita: giornaliera su tutta l'infrastruttura di produzione
• Penetration testing: annuale da parte di terzi esterni; risultati revisionati entro 5 giorni lavorativi
• Patch management: vulnerabilita critiche risolte entro 48 ore; alte entro 7 giorni; medie entro 30 giorni
• Monitoraggio delle dipendenze: tutte le librerie di terzi sono monitorate tramite strumenti automatici (tracciamento CVE)
• Responsible disclosure: per segnalare vulnerabilita contattare hello@zengest.it con oggetto "Security Disclosure"

Tutti i sub-responsabili con accesso a dati personali o sanitari devono soddisfare i seguenti requisiti minimi prima dell'ingaggio:

• Accordo per il Trattamento dei Dati (DPA) firmato, con Clausole Contrattuali Standard GDPR ove richiesto
• Server e infrastruttura di elaborazione localizzati nell'Unione Europea
• Nessun utilizzo dei dati dei pazienti per l'addestramento di modelli AI
• Valutazione della sicurezza annuale da parte del team tecnico di Unozen Srl

L'elenco aggiornato dei sub-responsabili attivi e disponibile su richiesta scrivendo a hello@zengest.it. I Clienti saranno informati con 30 giorni di anticipo di qualsiasi nuovo sub-responsabile e potranno opporsi.

• Recovery Time Objective (RTO): 4 ore in caso di guasto critico della piattaforma
• Recovery Point Objective (RPO): 1 ora (replica continua; ripristino point-in-time disponibile)
• Infrastruttura di standby mantenuta in una regione cloud secondaria all'interno dell'UE
• Test di Disaster Recovery condotti semestralmente; risultati revisionati dal team di leadership

Data l'architettura AI di ZenGest, si applicano i seguenti controlli aggiuntivi:

• Prevenzione del prompt injection: tutti gli input sono sanificati e validati prima di raggiungere i modelli AI
• Filtraggio degli output: le risposte AI sono sottoposte a classificatori di sicurezza prima della consegna
• Pseudonimizzazione automatica: i dati identificativi del paziente vengono pseudonimizzati prima di qualsiasi elaborazione AI
• Isolamento dei dati tra account: l'inferenza del modello AI e stateless; non vi e contaminazione di dati tra account diversi
• Nessun dato clinico trasmesso a provider di modelli terzi per l'addestramento
• Log di audit AI: tutte le richieste di inferenza e i relativi output sono registrati con piena tracciabilita

• ZenGest e una piattaforma cloud-native; nessun dato del paziente e elaborato su dispositivi dei dipendenti
• Tutti i dipendenti e collaboratori di Unozen Srl completano una formazione obbligatoria sulla sicurezza informatica all'assunzione e annualmente
• Policy di scrivania pulita e schermo bloccato per tutti i lavoratori da remoto e in ufficio
• Accesso fisico ai datacenter gestito dal provider cloud certificato ISO 27001 con infrastruttura in UE