Documento legale
Contratto di Designazione a Responsabile del Trattamento
Data Processing Agreement (DPA) · art. 28 GDPR · Versione 1.0 — 2026-03-22
Parti
Titolare del Trattamento
Lo psicologo registrato sulla piattaforma MindSession, identificato dalle credenziali dell'account e dal profilo professionale inserito al momento della registrazione.
Responsabile del Trattamento
Creattica di Carbone Domenico
Via 24 Maggio 9, 97018 Scicli (RG) — Italia
P.IVA: 01423720885
Email: privacy@mindsession.app
1. Oggetto e Durata
Il presente Accordo disciplina le condizioni alle quali il Responsabile tratta dati personali per conto del Titolare nell'ambito dell'erogazione del servizio MindSession. La durata coincide con quella del contratto di servizio.
2. Natura e Finalità del Trattamento
Il Responsabile tratta i dati personali esclusivamente per le seguenti finalità:
- Archiviazione e gestione dei dati dei pazienti inseriti dal Titolare
- Archiviazione e gestione degli appuntamenti e delle sedute cliniche
- Invio di comunicazioni automatiche ai pazienti per conto del Titolare
- Backup e ripristino dei dati per garantire la continuità del servizio
Il Responsabile non tratta i dati per finalità proprie.
3. Tipologie di Dati Trattati
Dati personali comuni (art. 4 GDPR): dati identificativi dei pazienti (nome, cognome, email, telefono, data di nascita), dati di prenotazione.
Dati particolari (art. 9 GDPR — dati sanitari): note cliniche relative alle sedute psicologiche (cifrate at-rest), informazioni sullo stato e storico delle sedute, dati relativi a pagamenti per prestazioni sanitarie.
4. Obblighi del Responsabile
4.1 Istruzioni del Titolare — Trattare i dati esclusivamente su istruzione documentata del Titolare.
4.2 Riservatezza — Garantire che le persone autorizzate al trattamento siano vincolate alla riservatezza.
4.3 Misure di sicurezza (art. 32 GDPR) — Cifratura in transito (TLS/HTTPS), cifratura at-rest delle note cliniche, hashing irreversibile delle password, backup periodici cifrati, controllo degli accessi e 2FA.
4.4 Sub-responsabili — I sub-responsabili attualmente autorizzati:
| Sub-responsabile | Ruolo | Paese |
|---|---|---|
| OVH SAS | Hosting e infrastruttura server | Francia (UE) |
4.5 Assistenza al Titolare — Supporto tecnico per soddisfare le richieste degli interessati.
4.6 Notifica Data Breach — Notifica entro 72 ore dalla scoperta di qualsiasi violazione dei dati personali.
4.7 Audit — Messa a disposizione di tutte le informazioni necessarie per verificare il rispetto del presente Accordo.
5. Obblighi del Titolare
- Fornire istruzioni documentate e lecite per il trattamento dei dati
- Garantire la liceità del trattamento dei dati dei propri pazienti
- Notificare tempestivamente eventuali modifiche alle istruzioni
- Assicurarsi che i dati inseriti siano pertinenti e trattati nel rispetto delle norme deontologiche
6. Trasferimento verso Paesi Terzi
Il Responsabile non effettua trasferimenti verso paesi al di fuori dello SEE senza adeguate garanzie. I dati sono conservati su server nell'UE (OVH, Francia).
7. Diritti degli Interessati
Il Responsabile assiste il Titolare nel dare seguito alle richieste degli interessati ai sensi degli artt. 15-22 GDPR. Il Titolare rimane l'unico interlocutore dei pazienti per l'esercizio dei loro diritti.
8. Restituzione o Cancellazione dei Dati
Alla cessazione del contratto, il Responsabile — a scelta del Titolare — restituisce o cancella tutti i dati personali entro 30 giorni dalla richiesta, fornendo attestazione scritta dell'avvenuta cancellazione.
9. Legge Applicabile
Il presente Accordo è regolato dalla legge italiana e dal Regolamento UE 2016/679. Per qualsiasi controversia è competente il Foro di Ragusa (RG).
10. Contatti
Per comunicazioni relative al presente Accordo: privacy@mindsession.app
Creattica di Carbone Domenico — DPA v1.0 · Ultimo aggiornamento: 2026-03-22