Data Processing Agreement

1. Premesse

Il presente Data Processing Agreement ("DPA") costituisce parte integrante dei Termini di Servizio di Artiko S.L. e disciplina il trattamento dei dati personali effettuato da Artiko S.L. ("Responsabile del trattamento") per conto dello studio dentistico ("Titolare del trattamento") ai sensi dell'Art. 28 del Regolamento (UE) 2016/679 ("GDPR").

Il Titolare, utilizzando i servizi di Artiko S.L., nomina Artiko S.L. quale Responsabile del trattamento dei dati personali dei pazienti e degli utenti che interagiscono con la piattaforma.

2. Oggetto del Trattamento

Il Responsabile tratta i seguenti dati personali per conto del Titolare:

• Dati anagrafici dei pazienti: nome, cognome, numero di telefono, indirizzo email.
• Dati di prenotazione: date, orari, tipologia di trattamento, professionista assegnato.
• Contenuto delle conversazioni: messaggi scambiati tramite il chatbot AI, WhatsApp e altri canali integrati.
• Dati tecnici: indirizzi IP, user agent, timestamp delle interazioni.

3. Finalita del Trattamento

Il trattamento e effettuato esclusivamente per le seguenti finalita:

• Gestione delle prenotazioni e degli appuntamenti.
• Invio di promemoria, conferme e comunicazioni relative agli appuntamenti.
• Funzionamento dell'assistente AI per rispondere alle richieste dei pazienti.
• Gestione dei richiami periodici (recall).
• Reportistica e analisi aggregate per il Titolare.

4. Obblighi del Responsabile

Il Responsabile si impegna a:

• Trattare i dati personali soltanto su istruzione documentata del Titolare.
• Garantire che le persone autorizzate al trattamento si siano impegnate alla riservatezza.
• Adottare tutte le misure di sicurezza richieste dall'Art. 32 GDPR.
• Rispettare le condizioni per ricorrere a sub-responsabili (Art. 28, par. 2 e 4).
• Assistere il Titolare nel dare seguito alle richieste degli interessati.
• Assistere il Titolare nella gestione delle violazioni dei dati (data breach) notificando entro 48 ore.
• Al termine del rapporto, cancellare o restituire tutti i dati personali trattati.
• Mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi.

5. Sub-responsabili

Il Titolare autorizza il Responsabile a ricorrere ai sub-responsabili elencati nella pagina dedicata. Il Responsabile informera il Titolare di eventuali modifiche all'elenco dei sub-responsabili con un preavviso di almeno 30 giorni.

L'elenco aggiornato dei sub-responsabili e disponibile alla pagina Sub-responsabili.

6. Misure di Sicurezza

Il Responsabile adotta le seguenti misure tecniche e organizzative:

• Crittografia AES-256 per i dati a riposo.
• Trasmissione dei dati esclusivamente tramite protocollo TLS 1.2+.
• Infrastruttura server situata nell'Unione Europea (AWS Frankfurt).
• Controlli di accesso basati su ruoli (RBAC) con autenticazione multi-fattore.
• Backup giornalieri con crittografia e retention di 30 giorni.
• Monitoraggio continuo della sicurezza e test di penetrazione periodici.
• Formazione periodica del personale sulla protezione dei dati.

7. Trasferimenti Internazionali

I dati personali sono trattati e conservati nell'Unione Europea. Qualora sia necessario un trasferimento verso paesi terzi (ad esempio per l'utilizzo di servizi AI), il Responsabile garantisce l'adozione di garanzie adeguate ai sensi degli Artt. 46-49 GDPR, incluse le Clausole Contrattuali Standard della Commissione Europea e, ove applicabile, la verifica dell'adeguatezza del livello di protezione del paese terzo.

8. Durata e Cessazione

Il presente DPA ha la stessa durata dei Termini di Servizio. Alla cessazione del rapporto:

• Il Titolare puo richiedere l'esportazione dei propri dati in formato strutturato.
• Trascorsi 90 giorni dalla cessazione, tutti i dati personali saranno cancellati in modo sicuro.
• I dati necessari per obblighi legali saranno conservati per il periodo previsto dalla normativa.

9. Contatti

Per qualsiasi richiesta relativa al presente DPA, e possibile contattarci a:

• Email: dpo@artikodental.ai
• Sede: Milano, Italia