Data Processing Agreement (DPA)
Versione 1.0 — 22 marzo 2026
Accordo sul trattamento dei dati personali ai sensi dell'Art. 28 del Regolamento (UE) 2016/679 (GDPR) tra il Cliente (Titolare del trattamento) e Synaptica Solution (Responsabile del trattamento).
Questo DPA si applica automaticamente a tutti i servizi erogati da Synaptica Solution e integra le condizioni dei Termini di Servizio.
1. Parti
| Ruolo | Soggetto |
|---|---|
| Titolare del trattamento | Il Cliente che sottoscrive i Termini di Servizio di Synaptica Solution |
| Responsabile del trattamento |
Synaptica Solution di Matteo Molin Viale Bartolomeo d'Alviano 38, 31100 Treviso (TV), Italia P.IVA: IT04649320266 Email: Clicca per vedere email PEC: Clicca per vedere PEC |
2. Definizioni
Ai fini del presente DPA, i termini hanno il significato attribuito dal Regolamento (UE) 2016/679 (GDPR), in particolare:
- Dati personali: qualsiasi informazione riguardante una persona fisica identificata o identificabile (Art. 4, par. 1)
- Trattamento: qualsiasi operazione compiuta su dati personali (Art. 4, par. 2)
- Titolare: il soggetto che determina finalita e mezzi del trattamento (Art. 4, par. 7)
- Responsabile: il soggetto che tratta dati personali per conto del Titolare (Art. 4, par. 8)
- Servizi: i prodotti SaaS e servizi di sviluppo software erogati da Synaptica Solution
3. Oggetto e durata del trattamento
Il presente DPA disciplina il trattamento dei dati personali effettuato da Synaptica Solution in qualita di Responsabile del trattamento, nell'ambito dell'erogazione dei seguenti servizi:
| Servizio | Finalita del trattamento | Base giuridica |
|---|---|---|
| SEPA Manager | Elaborazione dati di fatturazione e pagamento per generazione file XML SEPA | Esecuzione contratto (Art. 6.1.b) |
| ClinicFlow | Gestione appuntamenti, promemoria WhatsApp e comunicazioni paziente-studio | Esecuzione contratto (Art. 6.1.b) |
| SideMindBot | Gestione conversazioni multicanale, customer service automatizzato, elaborazione AI | Esecuzione contratto (Art. 6.1.b) |
| Sviluppo custom | Progettazione e realizzazione software su misura con eventuale accesso a dati del Cliente | Esecuzione contratto (Art. 6.1.b) |
Durata: il trattamento ha durata pari al contratto di servizio sottostante. Alla cessazione del contratto, si applicano le disposizioni della Sezione 12.
4. Categorie di dati e interessati
4.1 Categorie di dati personali
| Categoria | Esempi | Servizi coinvolti |
|---|---|---|
| Dati identificativi | Nome, cognome, ragione sociale, codice fiscale | Tutti |
| Dati di contatto | Email, telefono, indirizzo | Tutti |
| Dati finanziari | IBAN, importi fatture, coordinate bancarie | SEPA Manager |
| Dati sanitari | Appuntamenti medici, preferenze orarie, storico prenotazioni | ClinicFlow |
| Contenuto conversazioni | Messaggi, richieste, risposte AI e operatore | SideMindBot |
| Dati tecnici | IP, user agent, log di accesso | Tutti |
4.2 Categorie di interessati
- Dipendenti e collaboratori del Cliente
- Clienti e fornitori del Cliente
- Pazienti (per ClinicFlow)
- Utenti finali che interagiscono con chatbot/voicebot (per SideMindBot)
4.3 Dati particolari (Art. 9 GDPR)
I servizi non sono progettati per trattare categorie particolari di dati (dati sanitari in senso stretto, dati biometrici, ecc.). Nel caso di ClinicFlow, i dati trattati riguardano la gestione amministrativa degli appuntamenti, non informazioni cliniche o diagnosi. Qualora il Cliente inserisca dati particolari nei campi liberi, ne assume la responsabilita come Titolare e deve garantire una base giuridica appropriata (Art. 9.2 GDPR).
5. Obblighi del Responsabile del trattamento
Synaptica Solution, in qualita di Responsabile, si impegna a (Art. 28.3 GDPR):
- Trattare i dati solo su istruzioni documentate del Titolare, salvo obblighi di legge UE o nazionale (Art. 28.3.a)
- Garantire la riservatezza: tutto il personale autorizzato al trattamento e vincolato da obblighi di riservatezza (Art. 28.3.b)
- Adottare le misure di sicurezza descritte nella Sezione 7 (Art. 28.3.c, Art. 32)
- Rispettare le condizioni per ricorrere a sub-responsabili di cui alla Sezione 6 (Art. 28.3.d)
- Assistere il Titolare nell'evasione delle richieste degli interessati (Art. 28.3.e)
- Assistere il Titolare negli obblighi di sicurezza, notifica breach, DPIA e consultazione preventiva (Art. 28.3.f)
- Restituire o cancellare i dati al termine del servizio, secondo la Sezione 12 (Art. 28.3.g)
- Mettere a disposizione le informazioni necessarie per dimostrare il rispetto degli obblighi e consentire audit (Art. 28.3.h)
6. Sub-responsabili del trattamento
Il Titolare autorizza Synaptica Solution a ricorrere ai seguenti sub-responsabili (Art. 28.2 GDPR). Ciascun sub-responsabile e vincolato contrattualmente agli stessi obblighi del presente DPA.
| Sub-responsabile | Servizio | Sede dati | Garanzie |
|---|---|---|---|
| Amazon Web Services EMEA SARL | Cloud infrastructure (EC2, RDS, S3) | Frankfurt, Germania (eu-central-1) | AWS GDPR Center, ISO 27001, SOC 2 |
| OpenAI, LLC | Elaborazione linguaggio naturale (API) | UE (EU Data Residency) | Enterprise Privacy, DPA, zero data retention su API |
| Anthropic, PBC | Elaborazione linguaggio naturale (API fallback) | UE (EU Data Processing) | Privacy Policy, DPA, zero training su dati API |
| Google LLC | Analytics (GA4), Tag Manager | UE | Google GDPR Compliance, anonimizzazione IP |
| Formspree, Inc. | Elaborazione form contatti | USA | Standard Contractual Clauses (SCCs) Art. 46.2.c |
Notifica modifiche: Synaptica Solution informera il Titolare con almeno 30 giorni di preavviso in caso di aggiunta o sostituzione di sub-responsabili. Il Titolare potra opporsi entro 15 giorni dalla notifica; in assenza di obiezioni, la modifica si intendera accettata.
Lista aggiornata al 22 marzo 2026.
7. Misure di sicurezza tecniche e organizzative (Art. 32 GDPR)
Synaptica Solution implementa le seguenti misure di sicurezza adeguate al rischio:
7.1 Misure tecniche
| Misura | Implementazione |
|---|---|
| Cifratura a riposo | AES-256 su tutti i volumi di storage (AWS EBS, S3, RDS) |
| Cifratura in transito | TLS 1.3 su tutte le connessioni (HTTPS, API, database) |
| Gestione chiavi | AWS Key Management Service (KMS) con rotazione automatica |
| Autenticazione | 2FA obbligatorio per tutti gli accessi amministrativi |
| Controllo accessi | RBAC (Role-Based Access Control) con principio del minimo privilegio |
| Backup | Giornaliero automatico, retention 30 giorni, replica cross-region EU (eu-west-1) |
| Pseudonimizzazione | PII tokenizzato prima dell'elaborazione AI (12 tipi di dato, reversibile con chiave) |
| Monitoraggio | 24/7, alerting real-time, log retention 90 giorni |
| Vulnerability management | Scan settimanale, patch critici entro 48h, dependency audit mensile |
7.2 Misure organizzative
- Tutto il personale e vincolato da accordi di riservatezza
- Accesso ai dati limitato al personale strettamente necessario
- Incident Response Plan documentato con escalation definite
- Business Continuity Plan con RTO < 4 ore e RPO < 24 ore
- Revisione periodica delle misure di sicurezza (almeno annuale)
8. Trasferimenti internazionali di dati
Tutti i dati sono ospitati e trattati su infrastruttura AWS Europe (Frankfurt, Germania). I dati non lasciano il territorio dell'Unione Europea, in conformita con il Capo V del GDPR.
Eccezioni: il solo sub-responsabile con sede extra-UE e Formspree (USA), utilizzato esclusivamente per l'elaborazione dei form di contatto sul sito web. Il trasferimento e regolato da Standard Contractual Clauses (SCCs) ai sensi dell'Art. 46.2.c GDPR, adottate con Decisione di esecuzione (UE) 2021/914.
Per i servizi AI (OpenAI, Anthropic), i dati sono elaborati tramite API con data residency EU e zero data retention: i dati non vengono memorizzati ne utilizzati per l'addestramento dei modelli.
9. Notifica di violazione dei dati (Art. 33-34 GDPR)
In caso di violazione dei dati personali, Synaptica Solution si impegna a:
- Notificare il Titolare entro 48 ore dalla scoperta della violazione, fornendo:
- Descrizione della natura della violazione
- Categorie e numero approssimativo di interessati coinvolti
- Probabili conseguenze della violazione
- Misure adottate o proposte per porvi rimedio
- Cooperare con il Titolare nella notifica al Garante Privacy (entro 72 ore dalla scoperta, Art. 33) e, se necessario, nella comunicazione agli interessati (Art. 34)
- Documentare qualsiasi violazione, le relative conseguenze e i provvedimenti adottati
Canale di notifica: le comunicazioni di violazione saranno inviate via email all'indirizzo del referente privacy indicato dal Titolare nel contratto di servizio, con conferma via PEC se disponibile.
10. Assistenza per i diritti degli interessati
Synaptica Solution assistera il Titolare nel rispondere alle richieste degli interessati relative ai seguenti diritti (Art. 15-22 GDPR):
| Diritto | Articolo GDPR | Tempo di risposta |
|---|---|---|
| Accesso ai dati | Art. 15 | 5 giorni lavorativi |
| Rettifica | Art. 16 | 5 giorni lavorativi |
| Cancellazione | Art. 17 | 10 giorni lavorativi |
| Limitazione del trattamento | Art. 18 | 5 giorni lavorativi |
| Portabilita dei dati | Art. 20 | 10 giorni lavorativi (formato CSV/JSON) |
| Opposizione | Art. 21 | 5 giorni lavorativi |
Le richieste devono essere inoltrate dal Titolare a email Synaptica. Synaptica Solution non risponde direttamente agli interessati, salvo diverso accordo scritto.
11. Audit e verifiche (Art. 28.3.h GDPR)
Il Titolare ha il diritto di verificare la conformita di Synaptica Solution agli obblighi del presente DPA, nei seguenti modi:
- Questionario di sicurezza: su richiesta, Synaptica Solution fornira un questionario compilato sulle misure di sicurezza implementate (entro 15 giorni lavorativi)
- Audit documentale: il Titolare puo richiedere evidenze documentali delle misure di sicurezza, delle policy interne e dei log di accesso (entro 20 giorni lavorativi)
- Audit in loco: previo accordo scritto con almeno 30 giorni di preavviso, a spese del Titolare, durante l'orario lavorativo e senza interferire con l'operativita dei servizi
Synaptica Solution si riserva di aggregare le richieste di audit di piu clienti per ragioni di efficienza e sicurezza, garantendo la riservatezza delle informazioni di ciascun Titolare.
12. Restituzione e cancellazione dei dati
Alla cessazione del contratto di servizio, Synaptica Solution:
- Su richiesta del Titolare (entro 30 giorni dalla cessazione): restituira tutti i dati personali in formato elettronico standard (CSV, JSON o formato concordato)
- In assenza di richiesta: cancellera tutti i dati personali entro 90 giorni dalla cessazione del contratto
- Backup: i dati presenti nei backup verranno eliminati secondo il normale ciclo di rotazione (max 30 giorni dalla cancellazione dei dati principali)
- Eccezioni: potranno essere conservati i dati la cui retention e richiesta da obblighi di legge (es. documentazione fiscale), con indicazione della base giuridica
La cancellazione sara confermata per iscritto al Titolare.
13. Responsabilita
Le responsabilita delle parti sono regolate dall'Art. 82 GDPR e dai Termini di Servizio. Ciascuna parte e responsabile dei danni causati da un trattamento non conforme al GDPR, nella misura in cui non ha rispettato gli obblighi specificamente diretti ai responsabili del trattamento o ha agito in modo difforme rispetto alle istruzioni del Titolare.
14. Legge applicabile e foro competente
Il presente DPA e regolato dalla legge italiana e dal Regolamento (UE) 2016/679. Per qualsiasi controversia e competente in via esclusiva il Foro di Treviso.
L'autorita di controllo competente e il Garante per la protezione dei dati personali (Piazza Venezia 11, 00187 Roma).
Contatti per la protezione dei dati
Per questioni relative al presente DPA o al trattamento dei dati personali:
| Responsabile del trattamento | Synaptica Solution di Matteo Molin |
| Referente privacy | Matteo Molin |
| Clicca per vedere email | |
| Sede | Viale Bartolomeo d'Alviano 38, 31100 Treviso (TV), Italia |
| P.IVA | IT04649320266 |