Il presente Accordo sul trattamento dei dati (“DPA”) è stipulato ai sensi dell’art. 28 del Regolamento (UE) 2016/679 (“GDPR”) tra lo studio dentistico Cliente, in qualità di Titolare del trattamento, e AstraK srl (sede in Via del Conero 20, 60129 Ancona — P.IVA IT03053690420 — PEC AstraK@pec.it), in qualità di Responsabile del trattamento (“Responsabile”), per i dati trattati tramite il servizio Astra WA.
1. Oggetto e ruoli
Il Cliente è Titolare dei dati dei propri pazienti. Il Responsabile tratta tali dati esclusivamente per conto e su istruzione documentata del Titolare, al solo fine di erogare il Servizio (invio di reminder, recall, follow-up e gestione delle conversazioni WhatsApp).
2. Durata
Il DPA ha efficacia per tutta la durata del contratto di servizio e cessa con esso.
3. Natura e finalità del trattamento
Raccolta, registrazione, organizzazione, conservazione, consultazione e comunicazione dei messaggi necessari alla gestione degli appuntamenti e delle comunicazioni con i pazienti.
4. Categorie di dati e di interessati
- Interessati: pazienti e potenziali pazienti dello studio Cliente.
- Dati: nome, numero di telefono, contenuto dei messaggi, dati relativi agli appuntamenti. Eventuali dati relativi alla salute sono trattati solo se inseriti dal paziente o dal Titolare; il Responsabile non li richiede né li utilizza per finalità proprie.
5. Obblighi del Responsabile
- Trattare i dati solo su istruzione documentata del Titolare;
- Garantire la riservatezza del personale autorizzato;
- Adottare misure di sicurezza adeguate ai sensi dell’art. 32 GDPR (cifratura in transito, controllo accessi, log);
- Assistere il Titolare nel riscontro alle richieste degli interessati e negli adempimenti ex artt. 32-36;
- Notificare al Titolare ogni violazione dei dati (data breach) senza ingiustificato ritardo;
- A scelta del Titolare, cancellare o restituire i dati al termine del rapporto, salvo obblighi di conservazione di legge.
6. Sub-responsabili
Il Titolare autorizza il Responsabile a ricorrere a sub-responsabili, garantendo per essi i medesimi obblighi. Sub-responsabili principali:
- Meta Platforms Ireland Ltd. — infrastruttura WhatsApp Business Cloud API;
- Hostinger — hosting del sito web;
- Supabase — database e infrastruttura backend, con server nell’Unione Europea;
- Eventuale fornitore del gestionale, ove integrato su richiesta del Titolare.
Il Responsabile informa il Titolare di eventuali modifiche, consentendogli di opporsi.
7. Trasferimenti extra-UE
I dati sono ospitati nell’Unione Europea. Eventuali trasferimenti verso paesi terzi avvengono solo con garanzie adeguate (es. clausole contrattuali standard della Commissione UE).
8. Audit
Il Responsabile mette a disposizione del Titolare le informazioni necessarie a dimostrare il rispetto degli obblighi e consente, con ragionevole preavviso, attività di verifica.
9. Contatti
Per ogni richiesta relativa al presente DPA: info@astrak.it — PEC AstraK@pec.it.