← Torna alla home

DPA — Accordo sul trattamento dei dati

Sintesi del Data Processing Agreement (Art. 28 GDPR). La versione firmabile in PDF è inviata via email su richiesta a privacy@segretaria-ai.com. Versione provvisoria — soggetta a revisione legale.

Ruoli

  • Titolare del trattamento: il Cliente (lo studio dentistico).
  • Responsabile del trattamento: SegretarIA.
  • Sub-responsabili: Twilio (telefonia), OpenAI (modello vocale), Supabase (database UE), Vercel (hosting), Google (calendario), Resend (email), ElevenLabs/Deepgram (in fallback). Lista aggiornata su richiesta.

Categorie di dati trattati

  • Numero di telefono e nome del chiamante.
  • Trascrizioni delle chiamate e registrazioni audio (categoria 9 GDPR — dati relativi alla salute, in quanto possono includere riferimenti a condizioni odontoiatriche).
  • Dettagli appuntamento: data, ora, servizio richiesto, medico assegnato.
  • Dati anagrafici dello studio (nome, indirizzo, recapiti).

Localizzazione e conservazione

  • Tutti i dati sono archiviati nell'Unione Europea (data center Francoforte).
  • Conservazione predefinita: 24 mesi. Configurabile dal Cliente fino a un minimo di 30 giorni. Cancellazione automatica al termine.
  • OpenAI Realtime API processa l'audio in tempo reale ma non addestra modelli sui dati del Cliente (Zero Data Retention attivato per le API Enterprise).

Misure di sicurezza (Art. 32 GDPR)

  • Cifratura in transito (TLS 1.2+) e a riposo (AES-256).
  • Token OAuth e credenziali Twilio cifrati a livello di colonna.
  • Autenticazione multi-fattore disponibile per la dashboard.
  • Isolamento multi-tenant: ogni query SQL è filtrata per clinic_id.
  • Audit log delle azioni amministrative (impersonificazione, export, cancellazioni).

Diritti degli interessati

SegretarIA assiste il Cliente nell'adempimento delle richieste degli interessati (Art. 15–22 GDPR). Le funzioni di esportazione (Art. 20) e cancellazione account (Art. 17) sono disponibili in dashboard nelle Impostazioni. Per cancellazione immediata senza periodo di retention scrivere a privacy@segretaria-ai.com.

Notifica violazioni

In caso di data breach SegretarIA notifica il Cliente entro 24 ore dalla scoperta, consentendo al Cliente di rispettare il termine di 72 ore previsto dall'Art. 33 GDPR per la notifica al Garante.

Per ricevere il DPA firmabile in PDF scrivi a privacy@segretaria-ai.com.