Il presente Data Processing Agreement ("DPA") integra e forma parte inscindibile dei Termini e Condizioni del Servizio Vesalya sottoscritti tra Preload Srl e il Cliente, e disciplina il trattamento dei dati personali effettuato da Preload Srl per conto del Cliente ai sensi dell'art. 28 del Regolamento (UE) 2016/679 ("GDPR").
1. Soggetti e ruoli
1.1 Dati dei pazienti e dati clinici caricati nel Servizio. Per il trattamento dei dati personali dei pazienti e degli altri dati clinici caricati, generati o elaborati tramite il Servizio, il Cliente riveste, di norma, il ruolo di Titolare del trattamento ai sensi dell'art. 4(7) GDPR, e Preload Srl riveste il ruolo di Responsabile del trattamento ai sensi dell'art. 4(8) e dell'art. 28 GDPR, operando esclusivamente su istruzione documentata del Cliente secondo quanto previsto dal presente DPA.
1.2 Dati di account, sicurezza, amministrazione, fatturazione e adempimenti propri di Preload Srl. Per i dati personali relativi alla gestione dell'account del Cliente e dei suoi Utenti Autorizzati (es. credenziali di accesso, log di autenticazione e sicurezza), alla fatturazione e ai rapporti amministrativi/commerciali con il Cliente, nonché per l'adempimento di propri obblighi di legge (es. conservazione fiscale, contabile, antiriciclaggio ove applicabile), Preload Srl agisce quale Titolare autonomo del trattamento, secondo quanto descritto nella Privacy Policy collegata.
1.3 Le Parti riconoscono che i due ruoli descritti ai punti 1.1 e 1.2 riguardano categorie di dati e finalità distinte e non devono essere confusi: il presente DPA disciplina esclusivamente il trattamento di cui al punto 1.1 (Cliente Titolare, Preload Responsabile).
2. Oggetto
2.1 Il presente DPA disciplina il trattamento dei dati personali effettuato da Preload Srl, in qualità di Responsabile del trattamento, per conto e su istruzione del Cliente, in qualità di Titolare del trattamento, nell'ambito dell'erogazione del Servizio Vesalya.
3. Durata
3.1 Il presente DPA ha efficacia per tutta la durata del rapporto contrattuale principale disciplinato dai Termini e Condizioni del Servizio, e resta in vigore fino alla completa restituzione o cancellazione dei dati personali trattati per conto del Cliente, secondo quanto previsto dalla Sezione 16.
4. Natura del trattamento
4.1 Il trattamento ha ad oggetto operazioni di raccolta, registrazione, conservazione, elaborazione tramite algoritmi di intelligenza artificiale, visualizzazione, esportazione (ove disponibile) e cancellazione dei dati personali caricati dal Cliente nel Servizio, effettuate mediante strumenti informatici automatizzati e infrastrutture cloud.
5. Finalità
5.1 Il trattamento è effettuato esclusivamente per le seguenti finalità: (a) erogazione del Servizio SaaS Vesalya, inclusa l'analisi assistita da intelligenza artificiale delle immagini radiografiche caricate dal Cliente; (b) manutenzione, sicurezza e miglioramento tecnico del Servizio; (c) assistenza tecnica e supporto al Cliente; (d) adempimento di obblighi di legge applicabili al Fornitore in qualità di Responsabile del trattamento.
5.2 Preload Srl non utilizza i dati personali dei pazienti o gli altri Dati Cliente per l'addestramento generale (training) di modelli di intelligenza artificiale destinati ad altri clienti o a finalità ulteriori rispetto all'erogazione del Servizio al Cliente, salvo che sia stato stipulato con il Cliente un accordo separato, specifico, documentato per iscritto, che disciplini espressamente tale finalità e le relative garanzie.
6. Categorie di interessati
6.1 Il trattamento riguarda le seguenti categorie di interessati: (a) pazienti del Cliente i cui dati (incluse immagini radiografiche) sono caricati nel Servizio; (b) personale sanitario e amministrativo del Cliente che opera come Utente Autorizzato; (c) altri utenti autorizzati dal Cliente ad accedere al Servizio.
7. Categorie di dati
7.1 Il trattamento può riguardare, a seconda dell'utilizzo effettivo del Servizio da parte del Cliente: dati identificativi e di contatto dei pazienti (ove inseriti dal Cliente), immagini radiografiche odontoiatriche e relativi metadati, referti e annotazioni cliniche, Output AI generati dal Servizio, dati identificativi degli Utenti Autorizzati del Cliente (nome, email, ruolo, credenziali, log di accesso).
7.2 Il Cliente è responsabile di determinare quali dati personali caricare nel Servizio e di assicurarsi di avere una base giuridica adeguata per il relativo trattamento, incluso, ove necessario secondo la normativa applicabile, il consenso informato del paziente.
8. Dati sanitari (categoria particolare ex art. 9 GDPR)
8.1 Le Parti riconoscono che i dati trattati tramite il Servizio possono includere dati relativi alla salute ai sensi dell'art. 9 GDPR (immagini radiografiche, referti, annotazioni cliniche), che costituiscono categoria particolare di dati personali.
8.2 Preload Srl si impegna ad applicare misure di sicurezza rafforzate, proporzionate alla natura particolare di tali dati, secondo quanto descritto nel documento collegato Security Measures, e a limitare l'accesso a tali dati al personale e ai sistemi strettamente necessari all'erogazione del Servizio.
8.3 Resta fermo che la base giuridica per il trattamento dei dati sanitari dei pazienti (es. consenso del paziente, finalità di cura) è responsabilità esclusiva del Cliente in qualità di Titolare del trattamento.
9. Istruzioni documentate del Titolare
9.1 Preload Srl tratta i dati personali di cui al punto 1.1 esclusivamente su istruzione documentata del Cliente, quali risultanti dal presente DPA, dai Termini e Condizioni del Servizio e dalla normale configurazione ed utilizzo del Servizio da parte del Cliente stesso, salvo che il trattamento sia richiesto dal diritto dell'Unione o dello Stato membro cui è soggetto Preload Srl.
9.2 Qualora Preload Srl ritenga che un'istruzione del Cliente violi il GDPR o altre disposizioni sulla protezione dei dati, ne informa immediatamente il Cliente.
10. Riservatezza del personale
10.1 Preload Srl assicura che le persone autorizzate a trattare i dati personali si siano impegnate alla riservatezza o siano soggette a un adeguato obbligo legale di riservatezza, e che l'accesso ai dati sia limitato al personale per cui tale accesso è necessario in ragione delle proprie mansioni.
11. Misure tecniche e organizzative
11.1 Preload Srl adotta misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio, ai sensi dell'art. 32 GDPR, tenuto conto della natura, dell'oggetto, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche.
11.2 Il dettaglio delle misure tecniche e organizzative effettivamente implementate è descritto nel documento collegato Security Measures, che costituisce l'Allegato B al presente DPA e ne forma parte integrante. Il presente DPA non duplica tale contenuto e rimanda integralmente ad esso per la descrizione puntuale delle misure adottate.
11.3 Le misure descritte riflettono l'implementazione tecnica corrente del Servizio.
12. Sub-responsabili
12.1 Il Cliente autorizza in via generale Preload Srl ad avvalersi di sub-responsabili del trattamento per l'erogazione del Servizio, elencati nel documento collegato Subprocessors, che costituisce l'Allegato C al presente DPA.
12.2 Preload Srl si impegna a notificare preventivamente al Cliente ogni modifica prevista all'elenco dei sub-responsabili (aggiunta o sostituzione), concedendo al Cliente un termine ragionevole per opporsi per motivi legittimi legati alla protezione dei dati. 30 giorni di preavviso scritto, con possibilità di opposizione motivata entro 15 giorni.
12.3 Preload Srl impone a ciascun sub-responsabile, mediante accordo scritto, obblighi di protezione dei dati non meno restrittivi di quelli previsti dal presente DPA, e resta responsabile nei confronti del Cliente dell'adempimento degli obblighi dei propri sub-responsabili.
13. Trasferimenti internazionali
13.1 Il Servizio si avvale di infrastrutture cloud e di fornitori terzi la cui localizzazione geografica effettiva è indicata, ove verificata, nel documento Subprocessors.
13.2 I dati strutturati sono ospitati su database Cloudflare D1 in regione WEUR; i file binari su Cloudflare R2 in regione EEUR, entrambe nell'area UE/SEE.
13.3 L'elaborazione AI può avvenire su infrastruttura RunPod nell'area UE/SEE o USA, con trasferimenti regolati da Clausole Contrattuali Standard ove necessario.
13.4 Qualora, a seguito delle verifiche di cui sopra, risultino trasferimenti verso Paesi terzi privi di decisione di adeguatezza, Preload Srl si impegna ad adottare le Clausole Contrattuali Standard approvate dalla Commissione Europea (o altro meccanismo di trasferimento valido ai sensi del GDPR) e, ove necessario, misure supplementari adeguate, previa Transfer Impact Assessment.
14. Assistenza al Titolare
14.1 Preload Srl fornisce al Cliente ragionevole assistenza, tenendo conto della natura del trattamento e delle informazioni a sua disposizione, per: (a) rispondere alle richieste di esercizio dei diritti degli interessati (Sezione 15); (b) garantire il rispetto degli obblighi di cui agli artt. 32-36 GDPR (sicurezza del trattamento, notifica di violazioni, valutazione d'impatto, consultazione preventiva).
14.2 Tramite email a security@vesalya.com o privacy@vesalya.com.
15. Diritti degli interessati
15.1 Nella misura in cui gli interessati (pazienti o Utenti Autorizzati) esercitino direttamente nei confronti di Preload Srl i diritti previsti dagli artt. 15-22 GDPR (accesso, rettifica, cancellazione, limitazione, portabilità, opposizione) relativamente ai dati di cui il Cliente è Titolare, Preload Srl inoltra tempestivamente la richiesta al Cliente e non vi dà seguito autonomamente, salvo istruzione del Cliente o obbligo di legge.
16. Data breach
16.1 Preload Srl notifica al Cliente, senza ingiustificato ritardo dopo esserne venuta a conoscenza, ogni violazione dei dati personali di cui al presente DPA che comporti, anche solo potenzialmente, rischi per i diritti e le libertà degli interessati.
16.2 Entro 72 ore dalla scoperta dell'incidente, salvo impedimenti oggettivi.
16.3 La notifica include, nella misura in cui le informazioni siano disponibili al momento della notifica, la natura della violazione, le categorie e il numero approssimativo di interessati e di record coinvolti, le conseguenze probabili, e le misure adottate o proposte per porvi rimedio.
17. DPIA (Valutazione d'impatto sulla protezione dei dati)
17.1 Preload Srl fornisce al Cliente, su richiesta e nei limiti delle informazioni disponibili, la documentazione tecnica ragionevolmente necessaria a supportare il Cliente nello svolgimento di una valutazione d'impatto sulla protezione dei dati (DPIA) ai sensi dell'art. 35 GDPR, relativa al trattamento effettuato tramite il Servizio.
18. Audit
18.1 Il Cliente ha diritto di verificare il rispetto degli obblighi del presente DPA da parte di Preload Srl, anche mediante audit, con le seguenti modalità: (a) preavviso scritto ragionevole; (b) svolgimento durante l'orario lavorativo ordinario e con modalità che minimizzino l'interferenza con le attività operative di Preload Srl; (c) impegno di riservatezza sulle informazioni acquisite durante l'audit; (d) frequenza ragionevole, salvo che l'audit sia richiesto a seguito di un incidente di sicurezza documentato. Il diritto di audit può essere soddisfatto anche tramite report di sicurezza di terzi o questionari standard, su richiesta scritta.
19. Restituzione e cancellazione dei dati a fine rapporto
19.1 Alla cessazione del rapporto contrattuale principale, Preload Srl, su scelta del Cliente, restituisce o cancella tutti i dati personali trattati per suo conto, e cancella le copie esistenti, salvo che la conservazione sia richiesta dal diritto dell'Unione o dello Stato membro applicabile a Preload Srl.
19.2 Entro 90 giorni dalla cessazione del rapporto, salvo obblighi di conservazione di legge.
20. Conservazione obbligatoria per legge
20.1 Restano fermi gli obblighi di conservazione documentale previsti dalla legge applicabile a Preload Srl in qualità di Titolare autonomo per i propri adempimenti (es. fatturazione, contabilità, obblighi fiscali), secondo i termini di conservazione previsti dalla relativa normativa, indipendentemente dalla cessazione del rapporto contrattuale con il Cliente.
21. Responsabilità
21.1 Ciascuna Parte è responsabile, secondo i principi generali del GDPR e della legge applicabile, dei danni cagionati dal trattamento effettuato in violazione del GDPR o del presente DPA a essa direttamente imputabile.
21.2 Restano ferme le previsioni in materia di limitazione di responsabilità di cui ai Termini e Condizioni del Servizio, nei limiti in cui tali limitazioni siano compatibili con le disposizioni inderogabili del GDPR in materia di responsabilità del Titolare e del Responsabile del trattamento.
Allegato A — Descrizione del trattamento
| Categoria di dati | Finalità | Base giuridica (per il Cliente Titolare) | Durata |
|---|---|---|---|
| Immagini radiografiche odontoiatriche e metadati associati | Erogazione del Servizio, analisi assistita da AI | Determinata dal Cliente titolare (tipicamente cura sanitaria o consenso del paziente). | Secondo Data Retention Policy |
| Referti, annotazioni cliniche, Output AI | Erogazione del Servizio, documentazione clinica | Determinata dal Cliente titolare del trattamento | Secondo Data Retention Policy |
| Dati identificativi/contatto pazienti (ove inseriti) | Gestione cartella/pratica clinica nel Servizio | Determinata dal Cliente titolare del trattamento | Secondo Data Retention Policy |
| Dati identificativi Utenti Autorizzati (nome, email, ruolo, credenziali, log accesso) | Gestione account, sicurezza, autenticazione | Esecuzione del contratto tra Cliente e proprio personale / legittimo interesse alla sicurezza | Secondo Data Retention Policy |
Allegato B — Misure di sicurezza
Le misure tecniche e organizzative adottate da Preload Srl sono descritte integralmente nel documento collegato Security Measures (Misure di Sicurezza), che costituisce parte integrante del presente DPA per relationem. Il presente Allegato non duplica tale contenuto: fa fede esclusivamente la versione più aggiornata del documento Security Measures pubblicata nel Legal Document Registry.
Allegato C — Elenco sub-responsabili
L'elenco aggiornato dei sub-responsabili del trattamento autorizzati, con relativo ruolo tecnico, categorie di dati coinvolte e region di trattamento (ove verificata), è mantenuto nel documento collegato Subprocessors (Elenco Sub-responsabili), che costituisce parte integrante del presente DPA per relationem. Tale elenco è soggetto ad aggiornamento più frequente rispetto al presente DPA; il presente Allegato non duplica tale contenuto e rimanda integralmente alla versione più aggiornata pubblicata nel Legal Document Registry. Vedi documento Subprocessors aggiornato.