================================================================ DATA PROCESSING AGREEMENT (DPA) Ai sensi dell'art. 28 del Regolamento UE 2016/679 (GDPR) ================================================================ Tra: [NOMINATIVO E P.IVA DEL CLIENTE] (di seguito "Titolare del trattamento") e DiMo Software, P.IVA [P.IVA del fornitore SaaS], con sede legale in [Indirizzo legale], [CAP] [Comune (PR)], in persona del legale rappresentante pro tempore (di seguito "Responsabile del trattamento") (congiuntamente, "le Parti") ================================================================ PREMESSE ================================================================ a) Il Titolare ha sottoscritto con il Responsabile un contratto per l'utilizzo del servizio software-as-a-service "DiMo" (di seguito "Servizio"), descritto nei Termini di Servizio pubblicati su [dominio del portale]/legale. b) Tale Servizio prevede il trattamento di dati personali da parte del Responsabile per conto del Titolare. c) Le Parti intendono regolare i reciproci obblighi in materia di trattamento dei dati personali in conformità all'art. 28 GDPR. ================================================================ ARTICOLO 1 — OGGETTO, DURATA E TIPOLOGIA DEI TRATTAMENTI ================================================================ 1.1 Oggetto Il Responsabile tratta dati personali per conto del Titolare al solo fine di erogare il Servizio DiMo come specificato nel contratto principale. 1.2 Durata Il presente DPA ha la stessa durata del contratto principale. Cesserà di produrre effetti unitamente a quest'ultimo, salvo per quanto riguarda gli obblighi che per loro natura sopravvivono. 1.3 Natura e finalità del trattamento - Raccolta, archiviazione, organizzazione, strutturazione - Consultazione, uso, trasmissione, allineamento - Cancellazione o distruzione Finalità: erogazione del Servizio e adempimenti di legge connessi. 1.4 Tipologia di dati personali - Dati anagrafici e di contatto di personale del Titolare - Dati anagrafici e di contatto di clienti del Titolare - Dati pseudonimizzati di pazienti (codici alfanumerici) - Dati contabili e fiscali - Dati tecnici di log e accesso 1.5 Categorie di interessati - Dipendenti e collaboratori del Titolare - Clienti del Titolare (studi dentistici, altri laboratori) - Pazienti (esclusivamente sotto pseudonimo) ================================================================ ARTICOLO 2 — OBBLIGHI DEL RESPONSABILE ================================================================ Il Responsabile si impegna a: 2.1 Trattare i dati personali esclusivamente su istruzione documentata del Titolare. Le presenti istruzioni costituiscono l'istruzione documentata di base. 2.2 Garantire che le persone autorizzate al trattamento si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza. 2.3 Adottare tutte le misure tecniche e organizzative richieste dall'art. 32 GDPR, in particolare: - Cifratura at-rest (AES-256) e in-transit (TLS 1.3) - Pseudonimizzazione dei dati paziente per design - Controllo degli accessi basato su ruoli (RBAC) - Audit log completo di tutte le modifiche ai dati - Backup automatici crittografati con ritenzione di 30 giorni - Procedure di disaster recovery testate - Aggiornamenti di sicurezza entro 48 ore dalla disponibilità - Penetration test periodici (a richiesta del Titolare con preavviso) 2.4 Assistere il Titolare con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, per soddisfare l'obbligo del Titolare di dare seguito alle richieste degli interessati che esercitano i diritti di cui agli artt. 15-22 GDPR. 2.5 Assistere il Titolare nel garantire il rispetto degli obblighi di cui agli artt. 32-36 GDPR, tenendo conto della natura del trattamento e delle informazioni a sua disposizione. 2.6 Su scelta del Titolare, cancellare o restituire tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancellare le copie esistenti, salvo che il diritto dell'Unione o degli Stati membri imponga di conservare i dati (esempio: 10 anni per documentazione MDR Reg. UE 2017/745 e per documenti contabili e fiscali ex art. 2220 c.c.). 2.7 Mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui all'art. 28 GDPR, consentire e contribuire alle attività di revisione, comprese le ispezioni, realizzate dal Titolare o da un altro soggetto da questi incaricato. ================================================================ ARTICOLO 3 — NOTIFICA DI VIOLAZIONI (DATA BREACH) ================================================================ 3.1 In caso di violazione dei dati personali, il Responsabile notifica il Titolare senza ingiustificato ritardo e in ogni caso entro 24 ore dalla scoperta dell'evento. 3.2 La notifica contiene almeno: a) La descrizione della natura della violazione, comprese, ove possibile, le categorie e il numero approssimativo di interessati e di registrazioni interessate b) Le probabili conseguenze della violazione c) Le misure adottate o di cui si propone l'adozione per porvi rimedio d) I dati di contatto del Responsabile per ottenere ulteriori informazioni ================================================================ ARTICOLO 4 — SUB-RESPONSABILI ================================================================ 4.1 Il Titolare autorizza in via generale il ricorso da parte del Responsabile ai seguenti sub-responsabili per le finalità del Servizio: - VERCEL INC. (USA, ma servizio in regione EU) — hosting applicativo - SUPABASE INC. (USA, ma servizio in regione EU eu-central-1) — database PostgreSQL e file storage - TELEGRAM FZ-LLC — recapito notifiche operative 4.2 Il Responsabile informa il Titolare con almeno 30 giorni di preavviso di eventuali modifiche all'elenco dei sub-responsabili. Entro 30 giorni dalla comunicazione il Titolare può opporsi alla modifica. In caso di opposizione il Responsabile potrà: a) Mantenere il sub-responsabile precedente, oppure b) Recedere dal contratto principale con preavviso di 30 giorni. 4.3 Quando il Responsabile ricorre a un sub-responsabile per l'esecuzione di specifiche attività di trattamento per conto del Titolare, su tale sub-responsabile sono imposti i medesimi obblighi in materia di protezione dei dati. ================================================================ ARTICOLO 5 — TRASFERIMENTI EXTRA-UE ================================================================ 5.1 Il Responsabile non trasferisce dati personali al di fuori dello Spazio Economico Europeo (SEE). 5.2 Qualora dovesse rendersi necessario un trasferimento extra-SEE, questo avverrà esclusivamente: a) Verso Paesi che hanno ricevuto una decisione di adeguatezza dalla Commissione Europea, oppure b) Previa adozione delle Standard Contractual Clauses 2021/914 o di altro strumento equivalente. ================================================================ ARTICOLO 6 — AUDIT ================================================================ 6.1 Il Titolare può verificare il rispetto del presente DPA da parte del Responsabile. 6.2 La verifica può essere effettuata mediante: a) Richiesta documentale (questionario, dichiarazioni) b) Audit in loco, previa motivata richiesta scritta con preavviso di almeno 30 giorni e a carico economico del Titolare c) Esame di report di audit di terze parti (ISO 27001, SOC 2) qualora disponibili presso il Responsabile 6.3 L'audit dovrà essere svolto in orari di ufficio e con modalità tali da non pregiudicare l'attività del Responsabile. ================================================================ ARTICOLO 7 — RESPONSABILITÀ ================================================================ 7.1 La responsabilità complessiva del Responsabile derivante o connessa al presente DPA è limitata al massimo annuale dei canoni corrisposti dal Titolare nei 12 mesi antecedenti l'evento. 7.2 La limitazione non si applica in caso di dolo o colpa grave del Responsabile. ================================================================ ARTICOLO 8 — DISPOSIZIONI FINALI ================================================================ 8.1 Modifiche al presente DPA richiedono forma scritta concordata tra le Parti. 8.2 In caso di conflitto tra il presente DPA e il contratto principale, prevarranno le disposizioni del DPA per le materie da esso disciplinate. 8.3 Legge applicabile: italiana. 8.4 Foro competente: in via esclusiva [Foro competente]. ================================================================ SOTTOSCRIZIONE ================================================================ Luogo e data: _______________________________ Il Titolare del trattamento [NOME E COGNOME] [Qualifica] Firma: _______________________________ Il Responsabile del trattamento DiMo Software [NOME E COGNOME del legale rappresentante] Firma: _______________________________ ================================================================ FINE DEL DOCUMENTO Versione: 1.0 Data: [Giugno 2026] Aggiornamenti: si veda /legale del portale ================================================================