DPA_CuraMe_Pro

Accordo di Nomina a Responsabile del Trattamento dei Dati (DPA)

Ultimo aggiornamento: 1 settembre 2025

1. Parti del Contratto

Il Professionista sanitario registrato alla piattaforma CuraMe Pro, identificato dai dati forniti al momento della registrazione.

Titolare del trattamento

CuraMe Ltd, con sede legale in 71–75 Shelton Street, Covent Garden, London WC2H 9JQ (UK), numero di registro 16426579.

Responsabile del trattamento

2. Oggetto e Finalità

2.1 Il presente accordo regola, ai sensi dell'art. 28 del Regolamento (UE) 2016/679 (GDPR), la nomina di CuraMe Ltd a Responsabile del trattamento dei dati personali, limitatamente alle attività tecniche e infrastrutturali necessarie a:

  • ospitare, gestire e trattare i dati personali conferiti dal Titolare attraverso la piattaforma CuraMe Pro;
  • garantire la sicurezza, la disponibilità, l'integrità e la riservatezza dei dati archiviati;
  • fornire supporto tecnico, manutenzione e gestione operativa dei servizi digitali;
  • assicurare il rispetto delle istruzioni del Titolare in ogni fase del trattamento.

2.2 Il Titolare mantiene la piena responsabilità per la liceità del trattamento e le finalità perseguite.

2.3 Tipi di Dati Personali Trattati: Il trattamento coprirà i seguenti tipi di dati personali: dati identificativi (come nome, cognome e codice fiscale), dati relativi alla salute, dati anagrafici, dati di contatto e altri dati pertinenti alla prestazione sanitaria.

2.4 Categorie di Soggetti Interessati: il trattamento include le seguenti categorie di soggetti interessati: pazienti, utenti della piattaforma e personale sanitario.

3. Durata

Il presente accordo ha validità per tutta la durata di utilizzo della piattaforma CuraMe Pro da parte del Professionista e cessa automaticamente al termine di tale rapporto, salvo obblighi di legge che impongano al Responsabile di conservare alcuni dati personali.

4. Obblighi del Responsabile del Trattamento

CuraMe Ltd si impegna a:

  • Trattare i dati personali esclusivamente su istruzioni documentate del Titolare;
  • Garantire che le persone autorizzate al trattamento si impegnino alla riservatezza o siano soggette a un adeguato obbligo legale di riservatezza;
  • Adottare tutte le misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato ai rischi del trattamento, conformemente all'art. 32 GDPR;
  • Assistere il Titolare, per quanto possibile, nell'adempimento degli obblighi relativi ai diritti degli interessati (accesso, rettifica, cancellazione, limitazione, portabilità, opposizione);
  • Notificare senza ingiustificato ritardo al Titolare qualsiasi violazione dei dati personali (data breach);
  • Mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi previsti dal GDPR;
  • Permettere e contribuire alle attività di verifica e ispezione condotte dal Titolare o da auditor da questi incaricati;
  • Cancellare o restituire tutti i dati personali al termine del rapporto, salvo obblighi legali di conservazione;
  • Non trasferire dati personali verso paesi terzi o organizzazioni internazionali senza autorizzazione scritta del Titolare e nel rispetto della normativa applicabile;
  • Assistere il Titolare nel garantire la conformità con l'Articolo 32 del GDPR relativo alla sicurezza del trattamento, fornendo supporto nella valutazione e nell'implementazione delle misure tecniche e organizzative adeguate;
  • Assistere il Titolare nell'adempimento degli obblighi relativi alla valutazione d'impatto sulla protezione dei dati (DPIA) ai sensi dell'articolo 35 del GDPR, fornendo le informazioni necessarie e collaborando attivamente nel processo di valutazione;
  • Assistere il Titolare nel garantire la conformità con l'Articolo 36 del GDPR, relativo alla consultazione preventiva con l'autorità di controllo;
  • Assistere il Titolare nel garantire il rispetto degli obblighi di comunicazione di una violazione dei dati personali agli interessati, come previsto dall'Articolo 34 del GDPR;
  • Garantire che per qualsiasi trasferimento internazionale di dati personali a sub-responsabili siano applicate garanzie adeguate, conformemente al Capitolo V del GDPR, come decisioni di adeguatezza, clausole contrattuali standard (SCC), regole aziendali vincolanti (BCR) o codici di condotta approvati;
  • Notificare immediatamente al Titolare se, a giudizio del Responsabile, un'istruzione ricevuta viola il GDPR o altre disposizioni in materia di protezione dei dati dell'Unione o degli Stati membri;

5. Sub-responsabili (Sub-processor)

CuraMe Ltd è autorizzata a nominare sub-responsabili per lo svolgimento di specifiche attività tecniche (ad esempio, hosting, cloud, manutenzione), fermo restando che:

  • CuraMe Ltd informa preventivamente e documentatamente il Titolare riguardo all'intenzione di nominare o sostituire un sub-responsabile;
  • il Titolare può opporsi alla nomina del sub-responsabile per giustificati motivi entro 10 giorni lavorativi dalla comunicazione;
  • in caso di opposizione, il Titolare avrà facoltà di interrompere l'utilizzo di CuraMe Pro;
  • CuraMe Ltd garantisce che ogni sub-responsabile sia vincolato da obblighi contrattuali equivalenti a quelli previsti dal presente accordo;
  • CuraMe Ltd rimane pienamente responsabile nei confronti del Titolare per l'adempimento degli obblighi dei sub-responsabili.

6. Sicurezza dei Dati e Gestione delle Violazioni

CuraMe Ltd si impegna a implementare e mantenere misure tecniche e organizzative adeguate per proteggere i dati personali da distruzione, perdita, alterazione, divulgazione o accesso non autorizzati. In caso di violazione dei dati personali, CuraMe Ltd notificherà il Titolare senza ingiustificato ritardo e, ove possibile, entro 24 ore dalla scoperta, fornendo tutte le informazioni necessarie per consentire al Titolare di adempiere agli obblighi di comunicazione verso le autorità competenti e gli interessati.

7. Controlli, Audit e Ispezioni

Il Titolare ha il diritto di richiedere documentazione e informazioni ed effettuare audit o ispezioni, anche attraverso terze parti autorizzate, per verificare che CuraMe Ltd rispetti gli obblighi previsti dal presente accordo e dal GDPR. Tali verifiche potranno essere effettuate previo ragionevole preavviso e in orari concordati.

8. Legge Applicabile e Foro Competente

Il presente accordo è regolato dalla legge italiana. Per qualsiasi controversia relativa all'interpretazione o all'esecuzione del presente accordo sarà competente in via esclusiva il Foro di Milano, fatte salve diverse disposizioni inderogabili di legge.

9. Accettazione

L'accettazione del presente accordo avviene digitalmente al momento dell'adesione del Professionista ai servizi CuraMe Pro.