Il presente accordo per il trattamento dei dati personali (di seguito DPA) si applica ai dati personali dei pazienti che per le attività oggetto del contratto, anche casualmente siano forniti al Gruppo Sweden & Martina, salvo diverso accordo scritto.
Come previsto dall’art. 28 del Reg. UE 679/2016 (cd. GDPR), per trattare tali dati personali, il Gruppo Sweden & Martina (secondo la definizione di “gruppo imprenditoriale” di cui all’art. 4.19 Reg. UE 679/2016, nella persona della capogruppo Sweden & Martina S.p.A., P.IVA 00401550280) deve essere nominata Responsabile del trattamento.
Con il presente accordo l’utente, rappresentando il Titolare del trattamento, nomina il Gruppo Sweden & Martina quale Responsabile del trattamento ai sensi dell’art. 28 GDPR, per i trattamenti descritti nella tabella sottostante, cui la durata è funzionalmente collegata, e la autorizza in via generale a nominare ulteriori responsabili del trattamento.
Di seguito, per semplicità, si farà riferimento al Titolare come “Committente” e al Gruppo Sweden & Martina come “Responsabile”.
| Trattamento | Gestione servizi richiesti tra:
|
| Durata | Durata del rapporto contrattuale con Sweden & Martina |
| Natura | Attività necessarie per la finalità, in particolare: consultazione, elaborazione e uso |
| Tipo di dati personali | Dati comuni; Dati relativi alla salute |
| Categorie di interessati | Pazienti |
| Trasferimenti di dati personali extra UE/SEE | Il trattamento dei dati personali (es. memorizzazione, archiviazione e conservazione dei dati sui propri server o in cloud) è circoscritto negli ambiti di circolazione dei Paesi facenti parte dell’Unione Europea, con espresso divieto di trasferirli in paesi extra UE che non garantiscano (o in assenza di) un livello adeguato di tutela, ovvero, in assenza di strumenti di tutela previsti dal Regolamento UE 2016/679 (Paese terzo giudicato adeguato dalla Commissione Europea, BCR di gruppo, clausole contrattuali modello, consenso degli interessati, ecc.) |
| Misure di sicurezza tecniche e organizzative | Sono implementate le misure di sicurezza previste all’art. 32 del GDPR ritenute adeguate tenuto conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà degli interessati |
*Attività di trattamento svolta da Sweden & Martina S.p.A. solo per conto dei Clienti abilitati alla professione odontoiatrica
Nell’ambito delle attività di trattamento descritte Sweden & Martina S.p.A. si impegna a:
- trattare i dati personali soltanto su istruzione documentata del Committente, anche in caso di trasferimento di dati personali verso un paese terzo o un'organizzazione internazionale, salvo che lo richieda il diritto dell'Unione o nazionale cui è soggetto il responsabile del trattamento; in questa circostanza il Responsabile informa tempestivamente il Committente circa tale obbligo giuridico prima del trattamento, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico;
- garantire che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
- assistere il Committente, nella misura in cui ciò sia possibile, con misure tecniche e organizzative adeguate tenendo conto della natura del trattamento, al fine di predisporre e mantenere aggiornato un sistema di sicurezza adeguato;
- mettere a disposizione del Committente tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente accordo, previa intesa economica, tecnica ed organizzativa;
- assistere gli interessati che presentino richieste inerenti l’esercizio dei loro diritti informando tempestivamente il Committente di tali richieste. In particolare, qualora il Responsabile tratti dati oggetto di richiesta di portabilità, si obbliga ad assistere il Committente con misure tecniche e organizzative adeguate al fine di rispondere a detta richiesta;
- assistere il Committente nel garantire il rispetto dell’obbligo di notifica di una violazione dei dati personali all’autorità di controllo di cui all’art. 33 e 34 Regolamento UE 679/2016. In caso di violazione dei dati personali il Responsabile informa il Committente senza ingiustificato ritardo e comunque entro il termine di 36 ore dal momento in cui è venuto a conoscenza della violazione;
- assistere il Committente nelle attività relative alla valutazione di impatto sulla protezione dei dati e consultazione preventiva (artt. 35, 36 Regolamento UE 2016/679), tenendo conto della natura del trattamento e delle informazioni a disposizione del Responsabile;
- far sottoscrivere all’ulteriore responsabile eventualmente nominato, un accordo che rispetti le misure tecniche e organizzative poste dal presente accordo;
- circoscrivere gli ambiti di circolazione e di trattamento dei dati personali (es. memorizzazione, archiviazione e conservazione dei dati sui propri server o in cloud) ai Paesi facenti parte dell’Unione Europea, con espresso divieto di trasferirli in paesi extra UE che non garantiscano (o in assenza di) un livello adeguato di tutela, ovvero, in assenza di strumenti di tutela previsti dal Regolamento UE 2016/679 (Paese terzo giudicato adeguato dalla Commissione Europea, BCR di gruppo, clausole contrattuali modello, consenso degli interessati, ecc.);
- cancellare o restituire, su scelta del titolare del trattamento, tutti i dati personali relativi al trattamento e cancellare le copie esistenti (salvo che il diritto dell'Unione o degli Stati membri preveda la conservazione dei dati), al momento della conclusione o revoca del presente accordo.
Il Committente è tenuto a:
- non condividere dati personali non necessari rispetto alle attività richieste al Responsabile;
- informare immediatamente e in modo completo il Responsabile non appena riscontri errori e/o irregolarità nel trattamento dei dati effettuati da quest’ultimo;
- sostenere, per quanto possibile, la difesa del Responsabile nell’eventualità in cui un interessato agisca nei confronti del Responsabile per il risarcimento del danno ai sensi dell'articolo 82 GDPR;
- fornire al Responsabile un punto di contatto cui rivolgersi per qualsiasi questione relativa alla protezione dei dati che consegua o sia in qualsiasi modo connesso al presente atto di designazione;
- tenere manlevato il Responsabile da ogni e qualsivoglia pregiudizio, anche indiretto (ivi compresi eventuali danni d’immagine), che dovesse derivare dall’adozione di particolari misure imposte dal Committente medesimo per il trattamento dei dati personali;
- fornire agli interessati le informazioni relative ai trattamenti dei dati personali, ai sensi degli artt. 13 e 14 GDPR, al momento della raccolta dei dati.
Qualsiasi modifica del presente accordo sarà valida e vincolante solo se risultante da atto scritto o da comunicazione effettuata in forma scritta, anche in via elettronica. Qualora singole disposizioni del presente accordo risultino invalide o inapplicabili, la validità e l'applicabilità delle altre disposizioni rimarranno impregiudicate.
Ultimo aggiornamento: 09/04/2025