Data Processing Agreement

Accordo sul Trattamento dei Dati — Ultimo aggiornamento: maggio 2026

Il presente Accordo sul Trattamento dei Dati ("DPA") è stipulato tra Caresoul ("Responsabile del Trattamento") e il professionista sanitario che utilizza il servizio ("Titolare del Trattamento"), ai sensi dell'art. 28 del Regolamento UE 2016/679 (GDPR) e del D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018.

Accettando i Termini di Servizio di Caresoul al momento della registrazione, il Titolare del Trattamento accetta integralmente il presente DPA.

1. Definizioni

Titolare del Trattamento: il professionista sanitario (osteopata o altro) che utilizza Caresoul per gestire i dati dei propri pazienti.
Responsabile del Trattamento: Caresoul, che fornisce l'infrastruttura tecnica per il trattamento dei dati per conto del Titolare.
Dati Personali: qualsiasi informazione relativa a una persona fisica identificata o identificabile, inclusi i dati sanitari dei pazienti.
Dati Sanitari: dati personali relativi alla salute fisica o mentale, considerati categorie particolari ai sensi dell'art. 9 GDPR.
Trattamento: qualsiasi operazione eseguita sui dati personali, inclusa la raccolta, conservazione, consultazione e cancellazione.

2. Ruoli e responsabilità

Il Titolare del Trattamento è il professionista che raccoglie e utilizza i dati dei propri pazienti e decide le finalità e le modalità del trattamento. Caresoul agisce esclusivamente in qualità di Responsabile del Trattamento, mettendo a disposizione gli strumenti tecnici per il trattamento dei dati su istruzione del Titolare.

In sintesi: i dati dei tuoi pazienti sono tuoi. Caresoul li tratta solo per fornirti il servizio, non li usa per altri scopi e non li vende a terzi.

3. Finalità e istruzioni del trattamento

Caresoul tratta i dati personali degli utenti del Titolare esclusivamente per:

Archiviare e rendere accessibili le informazioni cliniche dei pazienti
Generare analisi e statistiche dello studio (dashboard)
Supportare la funzione di dettatura AI per la compilazione automatica delle schede
Conservare la documentazione relativa a sedute, fatturazione e consensi

Caresoul non tratta i dati per finalità di marketing, profilazione o cessione a terzi.

4. Categorie di dati trattati

Categoria	Tipologia di dati	Base giuridica
Dati anagrafici	Nome, cognome, data di nascita, contatti	Contratto (art. 6.1.b GDPR)
Dati sanitari	Diagnosi, trattamenti, note cliniche, feedback	Consenso esplicito (art. 9.2.a GDPR) + finalità di cura (art. 9.2.h GDPR)
Dati amministrativi	Importi, fatture, metodi di pagamento	Obbligo legale (art. 6.1.c GDPR)
Dati di utilizzo	Log di accesso, sessioni applicative	Legittimo interesse (art. 6.1.f GDPR)

5. Sub-responsabili del trattamento

Caresoul si avvale dei seguenti sub-responsabili per l'erogazione del servizio:

Fornitore	Servizio	Sede dei server
Supabase Inc.	Database e autenticazione	West EU — Irlanda (eu-west-1)
Vercel Inc.	Hosting dell'applicazione	EU (edge network)
Google LLC	AI (Gemini) — solo se la chiave è configurata dall'utente	Google Cloud EU

Tutti i sub-responsabili trattano i dati in conformità al GDPR e dispongono di Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea.

6. Misure di sicurezza

Caresoul adotta le seguenti misure tecniche e organizzative per proteggere i dati:

Trasmissione dati cifrata via HTTPS/TLS
Autenticazione sicura tramite Supabase Auth (password hashate, sessioni con token)
Accesso ai dati limitato al solo account del Titolare del Trattamento
Infrastruttura database con accesso ristretto e audit log
Nessuna chiave API sensibile esposta nel codice client
Aggiornamenti di sicurezza periodici del codice

7. Data breach — procedura in caso di violazione

In caso di violazione dei dati personali ("data breach"), Caresoul si impegna a:

Notificare il Titolare del Trattamento entro 24 ore dalla scoperta della violazione, via email all'indirizzo registrato
Fornire una descrizione della natura della violazione, le categorie di dati coinvolti e le misure adottate
Supportare il Titolare nell'eventuale notifica al Garante della Privacy (obbligatoria entro 72 ore) e agli interessati
Collaborare con le autorità competenti in caso di indagine

Obbligo del Titolare: il Titolare del Trattamento ha l'obbligo di notificare al Garante della Privacy italiano (garante.privacy.it) qualsiasi violazione di dati sanitari entro 72 ore dalla scoperta. Caresoul fornisce supporto tecnico ma la notifica è responsabilità del Titolare.

8. Diritti degli interessati

Il Titolare del Trattamento è responsabile di garantire ai propri pazienti l'esercizio dei diritti previsti dal GDPR (artt. 15-22), tra cui:

Diritto di accesso — il paziente può richiedere copia dei propri dati
Diritto di rettifica — correzione di dati inesatti
Diritto alla cancellazione — "diritto all'oblio"
Diritto alla portabilità — esportazione dei dati in formato leggibile
Diritto di opposizione — opposizione al trattamento

Caresoul supporta l'esercizio di questi diritti mettendo a disposizione le funzioni di modifica ed eliminazione dati nell'applicazione. Per richieste di esportazione completa o cancellazione dell'account, contattare privacy@caresoul.app.

9. Conservazione e cancellazione dei dati

I dati vengono conservati per tutta la durata del contratto di utilizzo di Caresoul. In caso di cancellazione dell'account:

I dati vengono eliminati dal database entro 30 giorni dalla richiesta
Le copie di backup vengono eliminate entro 90 giorni
Il Titolare può richiedere l'esportazione dei dati prima della cancellazione

La conservazione obbligatoria prevista dalla normativa fiscale (10 anni per i documenti contabili) prevale sulla cancellazione per i soli dati amministrativi.

10. Durata e risoluzione

Il presente DPA è valido per tutta la durata del rapporto contrattuale tra il Titolare e Caresoul. Si risolve automaticamente alla cessazione dell'utilizzo del servizio. In caso di modifiche sostanziali al DPA, Caresoul notifica il Titolare via email con almeno 30 giorni di preavviso.

11. Legge applicabile e foro competente

Il presente DPA è regolato dalla legge italiana. Per qualsiasi controversia è competente il foro di Milano, fatte salve le disposizioni imperative di legge applicabili al consumatore.

12. Contatti

Per qualsiasi questione relativa al trattamento dei dati:

Email: privacy@caresoul.app
Sito: caresoul.app