DPA - Accordo Titolare-Responsabile
Art. 28 GDPR · Versione 1.1 · in vigore dal 2026-05-23. Documento vincolante al momento dell'attivazione dell'account Pediatra. Revisione da counsel esterno specializzato healthcare programmata entro Q3 2026.
Premessa
Il presente accordo regola il rapporto tra il Pediatra di libera scelta (qui di seguito "Titolare", secondo l'Art. 24 GDPR rispetto ai dati dei propri pazienti) e neonatae. (qui di seguito "Responsabile", ex Art. 28 GDPR) ai fini del trattamento dei dati personali dei pazienti attraverso la piattaforma neonatae.
1. Oggetto e durata
Il Responsabile fornisce al Titolare i servizi di comunicazione asincrona strutturata con le famiglie del suo panel. Il presente accordo entra in vigore al momento dell'accettazione e dura per tutta la durata del contratto di servizio.
2. Tipologia di dati e categorie di interessati
- Dati comuni: nome bambino, data nascita, sesso, nome genitore, contatti.
- Dati di categoria particolare (Art. 9 GDPR): dati relativi alla salute del minore - qualsiasi contenuto delle conversazioni che riguardi sintomi, terapie, diagnosi, immagini cliniche, ecc.
- Interessati: bambini 0-36 mesi del panel del Pediatra; genitori esercenti la responsabilità genitoriale.
3. Finalità del trattamento
Il Responsabile tratta i dati esclusivamente per: (a) eseguire il servizio commissionato dal Titolare (chat strutturata, storage allegati, scheduling, audit log); (b) garantire la sicurezza della piattaforma; (c) fornire supporto tecnico. Non utilizza i dati clinici per finalità autonome (es. marketing, profilazione, training AI senza consenso esplicito).
4. Obblighi del Responsabile
Il Responsabile si impegna a:
- Trattare i dati solo su istruzione documentata del Titolare (incluso quanto previsto dal presente DPA).
- Garantire che il personale autorizzato abbia sottoscritto impegno di riservatezza.
- Adottare misure tecniche e organizzative adeguate (Art. 32 GDPR): cifratura a riposo + in transito, RLS, audit log medico-legale 10 anni, backup giornalieri, autenticazione robusta con OTP email confirmation.
- Applicare il gate di verifica iscrizione albo: nessun account pediatra accede a dati clinici finché il team neonatae. non verifica manualmente l'iscrizione FNOMCeO. Ogni atto di verifica registrato in tabella audit dedicata.
- Mantenere un kill switch dell'intelligenza artificiale system-wide: in caso di safety incident clinico Neo viene disabilitata per tutti i pediatri in secondi (non in giorni). Conforme MDR Art. 5.
- Monitorare 5 endpoint di sicurezza pre-registrati (CE Class I): tassi di mancata red flag, falsa rassicurazione, tempo di risposta, edit ratio del riepilogo e del suggerimento. Cron automatico notturno, sforamento triplo consecutivo notifica al fabbricante.
- Ancorare la versione del modello AI (Mistral) a versioni specifiche (non "-latest"), in modo che il fabbricante controlli ogni cambio nel comportamento di Neo. MDCG 2025-6 § 4.
- Notificare al Titolare qualsiasi data breach senza ingiustificato ritardo (entro 72h, ex Art. 33 GDPR).
- Assistere il Titolare nell'evasione delle richieste degli interessati (artt. 15-22 GDPR).
- Assistere il Titolare nella conduzione di DPIA (Art. 35 GDPR) se richiesto.
- Restituire o cancellare i dati al termine del rapporto, salvo obblighi di conservazione legale.
- Mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi.
5. Sub-responsabili autorizzati
L'elenco completo e sempre aggiornato dei sub-responsabili autorizzati è pubblicato all'indirizzo /legal/subprocessors e costituisce parte integrante del presente DPA.
Eventuali nuovi sub-responsabili saranno comunicati con preavviso di 30 giorni; il Titolare ha facoltà di opporsi entro tale termine per giustificato motivo.
6. Audit e ispezioni
Il Titolare può, una volta l'anno e con preavviso di 30 giorni, richiedere copia delle policy di sicurezza, dei certificati di conformità (eventuali ISO 27001/SOC 2) e dei log di accesso ai dati del proprio panel.
7. Responsabilità e indennizzo
Ai sensi dell'Art. 82 GDPR, ciascuna parte è responsabile per il danno cagionato da trattamento non conforme ad essa imputabile. Il Responsabile risponde solo se ha agito in modo difforme dalle istruzioni del Titolare o ha omesso le misure di sicurezza adeguate.
8. Foro e legge applicabile
Si applica la legge italiana. Foro competente: Milano.
Versione 1.1 in vigore dal 2026-05-23. Vincolante al momento dell'attivazione dell'account Pediatra (firma elettronica avanzata ai sensi del Regolamento eIDAS UE 910/2014). Revisione da counsel esterno specializzato healthcare programmata entro Q3 2026; le modifiche verranno comunicate con preavviso di 30 giorni come previsto dall'Art. 13.2.f GDPR. Su richiesta scritta a privacy@neonatae.it il Responsabile fornisce copia controfirmata in PDF.