Accordo sul Trattamento dei Dati Personali (DPA) - gennaio 2026

Tra: il Cliente, utente dei servizi , che agisce in qualità di Titolare del trattamento.
E: Dupraz Informatique Sàrl, Place de la Gare 9, 1260 Nyon, che agisce in qualità di Subappaltatore (di seguito l'Editore).

1. Scopo e campo di applicazione

Il presente contratto definisce le condizioni in base alle quali l'Editore si impegna a effettuare, per conto del Cliente, le operazioni di trattamento dei dati personali necessarie per la fornitura del servizio SaaS .

2. Natura e finalità del trattamento

I dati sono trattati esclusivamente per le seguenti finalità:

  • Gestione della cartella clinica dei pazienti.
  • Gestione della fatturazione medica e/o dei servizi.
  • Prenotazione appuntamenti online e gestione dell'agenda professionale.
  • Manutenzione e ottimizzazione : Elaborazione tecnica dei dati per il miglioramento dell'affidabilità del servizio, l'ottimizzazione dei processi di elaborazione automatizzata (es. indicizzazione e smistamento documentale) e lo sviluppo di nuove funzionalità.

3. Categorie di dati trattati

L'Editore è chiamato a conservare e trattare le seguenti categorie di dati:

  • Dati del professionista sanitario

    Genere, nome, cognome, numeri di identificazione federali (IDI, GLN), coordinate bancarie, numero di contratto con terzi.

  • Dati dei pazienti

    Genere, cognome, nome, recapiti, assicurazione, dati sanitari altamente sensibili (diagnosi, referti, imaging).

4. Obblighi dell'Editore (Responsabile del trattamento)

L'Editore si impegna a:

  • Assistenza

    L'Editore assiste il Cliente, per quanto possibile, nel rispondere alle richieste di esercizio dei diritti dei pazienti (accesso, rettifica, portabilità).

  • Istruzioni

    Trattare i dati esclusivamente su istruzione del Cliente e per la corretta esecuzione del servizio, incluse le fasi di test tecnici necessari a garantire le prestazioni e la sicurezza del software.

  • Privacy

    Garantire che tutto il personale autorizzato a trattare i dati sia soggetto al segreto professionale rigoroso (Art. 321 del Codice penale svizzero).

  • Sovranità

    L'hosting dell'infrastruttura software e dei database medici è assicurato esclusivamente dall'Editore sui propri server in Svizzera.

  • Localizzazione e Trasferimenti

    L'intero archiviazione dei dati si trova in Svizzera.
    Per l'esecuzione di funzioni opzionali attivate dal Cliente (ad es. SMS, fatturazione elettronica, pagamenti), l'Editore può avvalersi di subfornitori specializzati. L'elenco di questi partner è mantenuto aggiornato nella Dichiarazione sulla protezione dei dati (DPD).

  • Protezione dei trasferimenti

    L'Editore non effettua alcun trasferimento di dati sanitari al di fuori della Svizzera.
    I trasferimenti limitati di dati amministrativi (es. fatturazione SaaS, notifiche tecniche) verso i partner citati al punto 8 della DPD sono regolati da adeguate garanzie di riservatezza.

5. Misure Tecniche e Organizzative (MTO)

Ai sensi dell'art. 8 nLPD, l'Editore implementa le seguenti misure:

  • Cifratura

    Flussi sicuri (HTTPS/TLS) e dati cifrati a riposo (Encryption at rest).

  • Compartimentazione degli accessi

    Meccanismi applicativi che garantiscono la rigorosa separazione dei dati tra i singoli studi. Nessun utente può accedere ai dati di un altro cliente, in conformità con le regole di sicurezza del software.

  • Disponibilità

    Politica di backup giornaliero replicata su tre siti geografici distinti in Svizzera.

  • Sicurezza degli accessi

    Autenticazione a due fattori (2FA) e registrazione degli accessi tecnici.

  • Fine vita dell'hardware

    Accesso ai server riservato al personale autorizzato.
    Ogni supporto di memoria (hard disk, SSD) che contiene o ha contenuto dati sanitari viene distrutto fisicamente non appena esce dall'infrastruttura attiva, sia per guasto tecnico, obsolescenza che per sostituzione preventiva. Nessun supporto viene restituito al produttore (garanzia "Non-Returnable Disk") né rivenduto sul mercato dell'usato.

6. Notifica delle violazioni dei dati

L'Editore si impegna a notificare al Cliente per iscritto qualsiasi violazione della sicurezza dei dati (accesso non autorizzato, perdita o fuga) entro un termine massimo di 48 ore lavorative dopo averne preso conoscenza. Questa notifica deve consentire al Cliente di adempiere ai propri obblighi di notifica presso l'Incaricato federale (IFPDT).

7. Destinazione e conservazione dei dati

Periodo di attività
I dati vengono conservati finché l'abbonamento è attivo.

Fine contratto
In caso di disdetta, i dati dei pazienti vengono conservati in modo sicuro per 10 anni (periodo legale di conservazione delle cartelle mediche in Svizzera), salvo diversa istruzione scritta del Cliente che ne richieda l'immediata cancellazione sotto la propria responsabilità.

Restituzione
Il Cliente può esportare i propri dati in qualsiasi momento tramite gli strumenti messi a disposizione nell'interfaccia dell'applicazione.

8. Diritto di audit

L'Editore consente l'esecuzione di audit di sicurezza da parte del Cliente o di un Terzo incaricato (limitatamente a un audit annuale, previo preavviso di 30 giorni e a carico esclusivo del Cliente). L'audit deve essere effettuato durante l'orario d'ufficio e non deve disturbare la continuità del servizio per gli altri utenti.

9. Diritto applicabile e foro competente

Il presente contratto è regolato dal diritto svizzero. In caso di controversia, il foro giuridico esclusivo è Nyon, Svizzera.

Cerca una consulenza medica? Clicca qui per accedere all'elenco.
Copyrights © 2016 - 2026 All Rights Reserved by Dupraz Informatique Sàrl.
CGU/CGV / Protezione dei dati / Contratto di subfornitura (DPA)