Accordo sul Trattamento dei Dati

Ai sensi della LPD svizzera e del GDPR Art. 28

Versione

1.0

In vigore dal

February 2026

ID Documento

DPA-2026-001

Titolare del trattamento

[La vostra organizzazione]

[Indirizzo]

Responsabile del trattamento

Exatoshi AG (AIAgens)

Riva Paradiso 30, 6900 Paradiso, Switzerland

Articolo 1 - Definizioni

Nel presente accordo si applicano le seguenti definizioni:

"Dati personali" indica qualsiasi informazione relativa a una persona fisica identificata o identificabile.
"Trattamento" indica qualsiasi operazione effettuata su dati personali.
"Sub-responsabile" indica qualsiasi terzo incaricato dal Responsabile.

Articolo 2 - Oggetto e durata

2.1 Il presente accordo disciplina il trattamento dei dati personali da parte del Responsabile per conto del Titolare nell'ambito dei servizi di assistente IA AIAgens.

2.2 Il presente accordo entra in vigore dalla data dell'ultima firma e rimane valido per la durata del contratto principale.

Articolo 3 - Ambito del trattamento

Il Responsabile tratta le seguenti categorie di dati personali:

Dati di contatto (nome, telefono, email)
Dettagli appuntamento (data, ora, tipo)
Metadati di comunicazione (durata chiamata, timestamp)

Nota importante: Per impostazione predefinita, AIAgens non conserva audio vocale ne testo delle conversazioni oltre la durata dell'interazione. AIAgens opera con zero retention — tutti i dati vocali e conversazionali vengono elaborati in tempo reale e mai conservati. La registrazione e la trascrizione delle chiamate sono disattivate per default. La conservazione a lungo termine degli esiti del triage nella cartella clinica del paziente e di esclusiva responsabilita del titolare del trattamento (fornitore sanitario) secondo gli obblighi professionali di conservazione applicabili.

Articolo 4 - Obblighi del Responsabile

Il Responsabile si impegna a:

Trattare i dati personali solo secondo le istruzioni documentate del Titolare;
Assicurare che le persone autorizzate al trattamento siano vincolate alla riservatezza;
Implementare misure tecniche e organizzative appropriate;
Rispettare le condizioni per i sub-responsabili secondo l'articolo 5;
Assistere il Titolare nell'adempimento dei suoi obblighi.

Articolo 5 - Sub-responsabili

5.1 Il Titolare concede un'autorizzazione generale per l'incarico di sub-responsabili.

5.2 Il Responsabile informera il Titolare di eventuali modifiche relative ai sub-responsabili e dara al Titolare la possibilita di opporsi.

5.3 I sub-responsabili attuali sono elencati su /sub-processors.

Articolo 6 - Diritti degli interessati

Il Responsabile assistera il Titolare nel rispondere alle richieste degli interessati relative a:

Diritto di accesso
Diritto di rettifica
Diritto alla cancellazione
Diritto alla portabilita

Il tempo di risposta alle richieste e di 72 ore.

Articolo 7 - Misure di sicurezza

Il Responsabile implementa e mantiene le seguenti misure di sicurezza:

Crittografia TLS 1.3 per tutte le trasmissioni di dati
Crittografia AES-256 per i dati a riposo
Infrastruttura ospitata presso provider certificati SOC 2 Type II
Audit di sicurezza regolari e test di penetrazione
Controlli di accesso e registrazione

Articolo 8 - Notifica delle violazioni

8.1 Il Responsabile notifichera il Titolare senza indebito ritardo dopo aver preso conoscenza di una violazione dei dati confermata ai sensi dell'art. 33 GDPR.

8.2 La notifica includera tutte le informazioni pertinenti secondo l'art. 33 GDPR / Art. 24 LPD.

Articolo 9 - Diritti di audit

9.1 Il Responsabile fornira su richiesta i rapporti SOC 2 Type II attuali.

9.2 Gli audit in loco possono essere effettuati con un preavviso ragionevole (30 giorni) e a spese del Titolare.

Articolo 10 - Cessazione

10.1 Alla cessazione, il Responsabile cancellera tutti i dati personali entro 30 giorni, salvo che una conservazione piu lunga sia richiesta dalla legge.

10.2 Su richiesta, il Responsabile fornira un certificato di cancellazione.

Articolo 11 - Legge applicabile

Il presente accordo e regolato dal diritto svizzero. Il foro competente e Lugano, Svizzera.

Per il Titolare del trattamento

Firma

Nome:

Titolo:

Data:

Per il Responsabile del trattamento

Firma

Nome: Antonio Brundo, Exatoshi AG

Titolo: Direttore

Data:

Allegato A: Misure tecniche e organizzative

Categoria	Misura
Crittografia	TLS 1.3 (transito), AES-256 (riposo)
Controllo accessi	Controllo accessi basato sui ruoli, autenticazione multi-fattore
Registrazione	Log di audit completi, audit trail immutabile
Sicurezza di rete	Firewall, protezione DDoS, rilevamento intrusioni
Backup	Backup giornalieri crittografati, geo-distribuiti
Certificazioni	SOC 2 Type II, ISO 27001 (fornitore infrastruttura)

Allegato B: Sub-responsabili approvati

Sub-responsabile	Finalita	Ubicazione
Proton AG	Archiviazione backup crittografata (Proton Drive)	CH (Ginevra)
Health Info Net AG (HIN)	Email sanitaria sicura (HIN SMTP) e autenticazione identita	CH (Wallisellen)
Hetzner Online GmbH	Infrastruttura hosting (server dedicati, database)	UE (Falkenstein, Germania)
Third-Party Voice AI Provider (EU)	Elaborazione vocale AI (STT/TTS, tempo reale)	UE (Francoforte)
Anthropic PBC	Modello linguistico AI (Claude) per intelligenza conversazionale	UE (Francoforte)
Stripe Inc.	Elaborazione pagamenti e gestione abbonamenti	UE (Dublino, Irlanda)
Google LLC	Integrazione calendario, autenticazione OAuth	UE (Belgio / Paesi Bassi)
Amazon Web Services EMEA Sàrl	Invio email transazionali	UE (Francoforte)
Zadarma (IP Telecom Bulgaria LTD)	Telefonia / SIP trunk per chiamate vocali	UE (Bulgaria)

Per l'elenco aggiornato dei sub-responsabili, vedere: https://aiagens.ch/sub-processors