Data Processing Agreement

Il presente Accordo sul Trattamento dei Dati (DPA) è stipulato tra:

Responsabile del trattamento: Psicoo
Gestito da [Alessandro Muraglia] — P.IVA [04142511205]
Email: [amuraglia@protonmail.com]

e lo psicologo/psicoterapeuta che accetta i presenti termini in fase di registrazione (Titolare del trattamento).

Psicoo tratta i dati personali dei pazienti dello psicologo esclusivamente per erogare i servizi della piattaforma, tra cui:

• Gestione degli appuntamenti e del calendario
• Elaborazione dei pagamenti online
• Videoconsulti in telemedicina
• Archiviazione di note cliniche e documenti
• Trascrizione automatica delle sedute (funzione AI)

Il trattamento avviene unicamente su istruzione del Titolare e non per finalità proprie di Psicoo.

I dati trattati per conto del Titolare includono:

• Dati anagrafici dei pazienti (nome, cognome, email, telefono, data di nascita)
• Dati relativi agli appuntamenti e ai pagamenti
• Note cliniche e contenuti delle sedute
• Documenti caricati dai pazienti
• Trascrizioni audio/video delle sedute (se attivata la funzione)

Tali dati possono includere categorie particolari ai sensi dell'art. 9 GDPR (dati relativi alla salute). Il Titolare è responsabile di raccogliere il consenso esplicito dei pazienti prima di inserire tali dati nella piattaforma.

Psicoo si impegna a:

• Trattare i dati esclusivamente su istruzione documentata del Titolare
• Garantire la riservatezza dei dati tramite misure tecniche e organizzative adeguate
• Non divulgare i dati a terzi, salvo i sub-responsabili autorizzati
• Assistere il Titolare nell'esercizio dei diritti degli interessati
• Notificare eventuali violazioni dei dati (data breach) entro 72 ore dalla scoperta
• Cancellare i dati nei tempi previsti dalla piattaforma o su richiesta del Titolare
• Mettere a disposizione le informazioni necessarie a dimostrare la conformità al GDPR

Lo psicologo, in qualità di Titolare del trattamento, si impegna a:

• Raccogliere il consenso informato dei propri pazienti prima di inserirne i dati
• Fornire ai pazienti un'adeguata informativa privacy ai sensi dell'art. 13 GDPR
• Garantire che il trattamento dei dati tramite Psicoo sia lecito
• Esportare e conservare autonomamente i dati clinici prima della loro scadenza automatica
• Notificare tempestivamente Psicoo in caso di richieste di esercizio dei diritti da parte dei pazienti

Psicoo si avvale dei seguenti sub-responsabili autorizzati per l'erogazione del servizio:

Tutti i fornitori extra-UE dispongono di Standard Contractual Clauses (SCC) approvate dalla Commissione Europea.

Psicoo adotta le seguenti misure tecniche e organizzative per proteggere i dati:

• Crittografia dei dati in transito (TLS 1.2+) e a riposo
• Autenticazione sicura e gestione dei token di sessione
• Row Level Security (RLS) su Supabase per isolamento dei dati tra professionisti
• Accesso ai dati limitato al solo personale autorizzato
• Backup automatici con retention configurata
• Monitoraggio delle anomalie e degli accessi non autorizzati

I dati clinici sono archiviati su Supabase con datacenter in Irlanda (UE) e non vengono trasferiti al di fuori dello Spazio Economico Europeo.

Per i sub-responsabili con sede extra-UE (Cloudflare, Stripe, Daily.co, Resend), il trasferimento avviene sulla base di Standard Contractual Clauses (SCC) approvate dalla Commissione Europea ai sensi dell'art. 46 GDPR.

Al termine del rapporto contrattuale o su richiesta del Titolare, Psicoo:

• Cancella tutti i dati personali dei pazienti entro 30 giorni dalla cessazione del servizio
• Non conserva copie dei dati, salvo obblighi di legge

I dati soggetti a cancellazione automatica (trascrizioni dopo 30 giorni, documenti pazienti dopo 10 giorni) vengono eliminati secondo le tempistiche indicate nella Privacy Policy.

In caso di violazione dei dati personali (data breach), Psicoo notificherà il Titolare senza ingiustificato ritardo e comunque entro 72 ore dalla scoperta, fornendo:

• Natura della violazione e categorie di dati coinvolti
• Misure adottate o proposte per rimediare alla violazione
• Contatti del referente per ulteriori informazioni

Il Titolare è responsabile di valutare se notificare l'evento al Garante e/o agli interessati ai sensi degli artt. 33-34 GDPR.

Il presente DPA ha la stessa durata del contratto di abbonamento a Psicoo. Cessa automaticamente al termine del rapporto contrattuale, fermo restando che gli obblighi relativi alla cancellazione e alla riservatezza dei dati rimangono in vigore successivamente.

Per qualsiasi questione relativa al presente DPA o all'esercizio dei diritti GDPR: Email: [email] — P.IVA: [P.IVA]