Il presente accordo formalizza, ai sensi della nLPD svizzera e dell'art. 28 GDPR per i trasferimenti UE, il ruolo di My Data My Care come responsabile del trattamento per conto dei professionisti e delle strutture sanitarie titolari del trattamento. Le versioni maggiori comportano una ri-accettazione esplicita.
Versione in vigore
Caricamento della versione in vigore…
1. Oggetto
Il presente DPA disciplina i trattamenti di dati personali effettuati da My Data My Care (responsabile del trattamento) per conto del Titolare del trattamento (professionista sanitario, studio, ospedale, cassa malati o laboratorio). Integra le condizioni generali professionali e prevale su qualsiasi clausola contraria in materia di protezione dei dati, ai sensi della nLPD e del GDPR.
2. Parti & ruoli
Il Titolare del trattamento determina le finalità e i mezzi del trattamento. My Data My Care agisce strettamente su istruzioni documentate, senza trattamento per finalità proprie. I nostri contatti e quelli del DPO sono indicati sotto. L'autorità di controllo competente in Svizzera è l'IFPDT (Incaricato federale della protezione dei dati e della trasparenza).
3. Finalità & istruzioni documentate
I trattamenti sono limitati a: archiviazione cifrata, condivisione sicura, portabilità FHIR R4, comunicazione all'interno del team di cura, backup. Qualsiasi estensione di finalità è oggetto di un addendum. Nessun dato è venduto, ceduto o monetizzato.
4. Durata & destino dei dati
La durata dei trattamenti è allineata a quella del contratto principale e agli obblighi legali svizzeri di conservazione (cartella clinica: 10 anni dopo l'ultima consultazione secondo il cantone, art. 80 LPMed; log di sicurezza: 12 mesi). Alla fine del contratto: restituzione in FHIR R4 + cancellazione entro 90 giorni, con prova marcata temporalmente.
5. Misure di sicurezza
Hosting certificato ISO 27001 (UE e opzione Svizzera), cifratura AES-256 a riposo e TLS 1.3 in transito, cifratura E2E lato client per i dati sensibili, MFA obbligatoria, registrazione immutabile, test di intrusione annuali, revisione SOC 2 Type 2. I subresponsabili sono elencati pubblicamente, l'elenco è aggiornato ad ogni cambiamento.
6. Trasferimenti fuori Svizzera / UE
I trasferimenti verso l'UE beneficiano della decisione di adeguatezza riconosciuta dal Consiglio federale. Nessun trasferimento fuori UE/Svizzera per finalità produttive. Eventuali subresponsabili UK/US (al di fuori del percorso critico sanitario) sono inquadrati da clausole contrattuali standard (SCC UE 2021 + clausole IFPDT) con misure supplementari (cifratura, pseudonimizzazione).
7. Assistenza ai diritti degli interessati
Assistiamo il Titolare nella risposta alle richieste di accesso, rettifica, cancellazione, portabilità, limitazione e opposizione (art. 25-32 nLPD; art. 15-22 GDPR) entro un massimo di 15 giorni lavorativi. Gli strumenti integrati per i pazienti (/impostazioni/cgu, /export) consentono una gestione self-service nella maggior parte dei casi.
8. Contatti & notifiche
Per qualsiasi richiesta DPA, incidente o audit: dpo@mydatamycare.com. Termini contrattuali di notifica di incidente: 24h (art. 33 GDPR; art. 24 nLPD all'IFPDT).