Accordo per il trattamento dei dati (DPA)
Termini standard dell'accordo ex art. 28 GDPR tra ONe Cloud Srl (responsabile) e l'azienda cliente Schedy (titolare) per il trattamento dei dati degli utenti finali.
Il presente documento riporta i termini standard dell'Accordo per il trattamento dei dati ("DPA", Data Processing Agreement) che regola, ai sensi dell'art. 28 del Regolamento (UE) 2016/679 ("GDPR"), il trattamento effettuato da ONe Cloud Srl ("Responsabile") per conto dell'azienda cliente che utilizza il servizio Schedy ("Titolare" o "Cliente-azienda").
Il DPA si perfeziona e diventa vincolante tra le parti al momento della sottoscrizione dell'ordine o del piano Schedy da parte del Cliente-azienda, di cui costituisce allegato integrante ai sensi dell'art. 1 delle Condizioni d'uso. La presente pagina ha finalità di trasparenza e consultazione; per ricevere una copia firmata o personalizzata scrivere a privacy@schedy.app.
1. Definizioni
Ai fini del presente Accordo si intendono, salvo diversa indicazione, le definizioni di cui all'art. 4 GDPR. In particolare:
- Titolare: il Cliente-azienda, che determina finalità e mezzi del trattamento dei dati dei propri utenti finali (clienti, pazienti);
- Responsabile: ONe Cloud Srl, che tratta tali dati esclusivamente per conto e su istruzione del Titolare;
- Dati Personali: i dati trattati tramite il Servizio relativi agli utenti finali del Titolare, come descritti alla sezione 5;
- Sub-responsabile: ogni fornitore terzo di cui il Responsabile si avvale per erogare il Servizio, elencato alla sezione 7.
2. Oggetto e durata
Il Responsabile tratta i Dati Personali esclusivamente per erogare al Titolare il servizio Schedy (assistente automatizzato per la gestione di appuntamenti, risposte e promemoria verso gli utenti finali del Titolare, via WhatsApp, Telegram o altri canali abilitati).
Il presente Accordo ha durata pari a quella del rapporto contrattuale relativo al Servizio ed è automaticamente risolto alla cessazione dello stesso, fermi gli obblighi di conservazione o cancellazione di cui alla sezione 12.
3. Ruoli e ripartizione delle responsabilità
Come descritto alla sezione 4 dell'Informativa Privacy: per i dati degli utenti finali trattati tramite Schedy, il Titolare è il Cliente-azienda; ONe Cloud Srl agisce come Responsabile del trattamento, trattando i dati esclusivamente su istruzioni documentate del Titolare e nei limiti del presente Accordo.
Per i dati dell'azienda cliente in quanto intestataria dell'account (dati anagrafici, di fatturazione, credenziali) e per i dati di navigazione del sito onecloudsrl.schedy.app, ONe Cloud Srl agisce come Titolare autonomo, secondo quanto descritto all'Informativa Privacy.
4. Istruzioni del Titolare
Il Responsabile tratta i Dati Personali unicamente sulla base delle istruzioni documentate del Titolare, impartite tramite:
- la configurazione del proprio spazio applicativo (tenant) — es. verticale di attività, canali abilitati, politiche di conservazione, opzioni di notifica;
- eventuali richieste specifiche formulate per iscritto al Responsabile.
Il Responsabile informa tempestivamente il Titolare qualora ritenga che un'istruzione violi il GDPR o altre disposizioni applicabili in materia di protezione dei dati.
5. Categorie di dati e di interessati
Interessati: gli utenti finali del Titolare (clienti, pazienti) che interagiscono con l'assistente automatizzato, e — in qualità di titolare autonomo dell'account — il referente del Cliente-azienda.
Categorie di dati trattati per conto del Titolare:
- numero di telefono e nome dell'utente finale;
- contenuto dei messaggi scambiati, in forma testuale e vocale, e relativa trascrizione (speech-to-text);
- dati di prenotazione (servizio, data, ora);
- memoria della conversazione (contesto recente dello scambio, a finestra scorrevole).
Verticale medico: se il Titolare è uno studio o professionista sanitario, tra i dati trattati possono rientrare dati relativi alla salute (categoria particolare, art. 9 GDPR).
6. Obblighi del Responsabile
Il Responsabile si impegna a: trattare i Dati Personali esclusivamente su istruzione documentata del Titolare; garantire riservatezza del personale autorizzato; adottare le misure di sicurezza descritte alla sezione 9; assistere il Titolare nel dare riscontro alle richieste di esercizio dei diritti degli interessati (artt. 15-22 GDPR); assistere il Titolare nel rispetto degli obblighi di cui agli artt. 32-36 GDPR; cancellare o restituire i Dati Personali al termine del rapporto; mettere a disposizione del Titolare le informazioni necessarie a dimostrare il rispetto di questi obblighi.
7. Sub-responsabili
Il Titolare autorizza in via generale il Responsabile ad avvalersi dei sub-responsabili elencati alla sezione 6 dell'Informativa Privacy. Il Responsabile comunica al Titolare eventuali modifiche riguardanti l'aggiunta o la sostituzione di sub-responsabili, dando al Titolare la possibilità di opporsi per motivi ragionevoli connessi alla protezione dei dati.
8. Trasferimenti extra-UE
Alcuni sub-responsabili hanno sede in Paesi terzi (in particolare Stati Uniti). I relativi trasferimenti si fondano sulle Clausole Contrattuali Standard adottate dalla Commissione europea (art. 46.2.c GDPR).
9. Misure di sicurezza
Il Responsabile adotta misure tecniche e organizzative adeguate al rischio (art. 32 GDPR): cifratura AES-256-GCM della memoria conversazione a riposo, isolamento del database per singolo tenant, cifratura in transito (TLS).
10. Violazioni dei dati personali (data breach)
Il Responsabile notifica al Titolare, senza ingiustificato ritardo e in ogni caso in tempo utile a consentire al Titolare il rispetto del termine di 72 ore di cui all'art. 33 GDPR, ogni violazione dei Dati Personali di cui venga a conoscenza.
11. Audit e accountability
Il Responsabile mette a disposizione del Titolare le informazioni necessarie a dimostrare il rispetto degli obblighi del presente Accordo e consente verifiche, comprese ispezioni, condotte dal Titolare o da un revisore da questi incaricato, con un preavviso ragionevole.
12. Cancellazione o restituzione dei dati a fine rapporto
Alla cessazione del rapporto contrattuale, il Responsabile, a scelta del Titolare, cancella o restituisce tutti i Dati Personali trattati per suo conto ed elimina le copie esistenti, salvo che la conservazione sia richiesta dal diritto dell'Unione o degli Stati membri.
13. Legge applicabile
Il presente Accordo è regolato dalla legge italiana ed è soggetto al foro competente indicato nelle Condizioni d'uso, fermo il diritto dell'interessato di proporre reclamo al Garante per la protezione dei dati personali.
Ultimo aggiornamento: 14 luglio 2026