Data Processing Agreement (DPA)

Ultimo aggiornamento: 28 giugno 2026

Il presente Accordo sul trattamento dei dati (di seguito "DPA") è stipulato ai sensi dell'art. 28 del Regolamento (UE) 2016/679 ("GDPR") tra l'utente professionista del Servizio Nutri Clinic Pro, in qualità di Titolare del trattamento dei dati dei propri pazienti, e FRANCESCO PIRAS, fornitore della piattaforma, in qualità di Responsabile del trattamento per quanto concerne le operazioni effettuate per conto del Titolare.

1. Oggetto

Il DPA disciplina i trattamenti di dati personali e di categorie particolari (dati sanitari, art. 9 GDPR) effettuati dal Responsabile per conto del Titolare nell'ambito dell'erogazione del Servizio: archiviazione, elaborazione, backup, trasmissione e supporto tecnico relativi alle cartelle cliniche nutrizionali dei pazienti gestiti dal Titolare.

2. Durata

Il DPA è efficace per tutta la durata del contratto di sottoscrizione del Servizio e cessa contestualmente alla chiusura dell'account, fatti salvi gli obblighi di conservazione di legge.

3. Natura e finalità del trattamento

  • Natura: hosting cloud, archiviazione cifrata, elaborazione di funzioni applicative, generazione di report, invio di notifiche, supporto tecnico.
  • Finalità: consentire al Titolare la gestione clinica nutrizionale dei propri pazienti.
  • Tipologie di dati: identificativi, di contatto, anamnestici, antropometrici, clinici, fotografici, alimentari, di integrazione, comunicazioni paziente-professionista.
  • Categorie di interessati: pazienti, assistenti, contatti professionali del Titolare.

4. Obblighi del Responsabile

Il Responsabile si impegna a:

  • trattare i dati esclusivamente su istruzione documentata del Titolare, salvo obblighi di legge;
  • garantire la riservatezza delle persone autorizzate al trattamento;
  • adottare misure tecniche e organizzative adeguate ai sensi dell'art. 32 GDPR (cifratura, RLS, controllo accessi, audit log, backup, isolamento ambienti);
  • assistere il Titolare nel riscontro alle richieste degli interessati (artt. 15-22 GDPR);
  • assistere il Titolare negli adempimenti di cui agli artt. 32-36 GDPR (sicurezza, data breach, DPIA);
  • notificare al Titolare ogni violazione di dati personali senza ingiustificato ritardo e comunque entro 48 ore dalla conoscenza;
  • cancellare o restituire i dati al termine del contratto, su scelta del Titolare;
  • mettere a disposizione la documentazione necessaria a dimostrare il rispetto degli obblighi e consentire audit ragionevoli.

5. Sub-Responsabili autorizzati

Il Titolare autorizza il Responsabile a ricorrere ai seguenti sub-Responsabili, vincolati da accordi conformi all'art. 28 GDPR:

  • Supabase Inc. / Lovable Cloud — hosting database, autenticazione, storage (UE).
  • Cloudflare Inc. — CDN, edge computing, protezione DDoS (UE/global con SCC).
  • Provider AI (es. OpenAI, Anthropic, Google) — elaborazione AI di testi e immagini, con configurazione no-training e ritenzione minima.
  • Resend / provider email transazionale — invio email di sistema.
  • Paddle.com Market Ltd — esclusivamente per i dati di fatturazione (in qualità di autonomo titolare).

Eventuali modifiche all'elenco saranno comunicate con preavviso di 30 giorni; il Titolare potrà opporsi e, in caso di disaccordo, recedere dal contratto.

6. Trasferimenti extra-SEE

I dati sono archiviati nello Spazio Economico Europeo. Eventuali trasferimenti extra-SEE avvengono solo verso Paesi con decisione di adeguatezza o sulla base di Clausole Contrattuali Standard (SCC) della Commissione UE 2021/914.

7. Responsabilità

Ciascuna parte risponde delle proprie obbligazioni nei limiti di quanto previsto dagli artt. 82 GDPR e dal contratto principale. Restano salve le limitazioni di responsabilità previste nei Termini del Servizio.

8. Accettazione

La sottoscrizione del Servizio da parte del professionista vale come accettazione del presente DPA. Una copia firmata digitalmente può essere richiesta a francescopiraslab@gmail.com.