Sub-responsabili del trattamento

Ultimo aggiornamento: 2026-05-20 · Pagina stabile referenziata nei DPA

A cosa serve questa pagina

Ai sensi dell'Art. 28 GDPR, Copilota Clinico (Responsabile del trattamento) deve dichiarare al titolare dello studio (Titolare del trattamento) l'elenco aggiornato dei sub-responsabili (sub-processors) coinvolti nell'erogazione del servizio. Eventuali modifiche (aggiunte / rimozioni / cambi di servizio) saranno notificate ai tenant con almeno 30 giorni di preavviso, durante i quali è possibile opporsi.

1. Elenco sub-responsabili

Google Cloud (Run, SQL, DLP, Speech-to-Text, Vertex AI)

Google LLC / Google Ireland Ltd

DPA →
Servizio
Hosting backend/frontend (Cloud Run europe-west8), database operativo (Cloud SQL europe-west8), de-identificazione DLP (europe), riconoscimento vocale (eu-speech.googleapis.com), generazione bozze AI (Vertex AI europe-west1).
Area di trattamento
UE (europe-west1, europe-west8) · DPA Google Cloud
Categorie di dati
Audio temporaneo, trascrizioni de-identificate, metadati audit (no contenuto clinico in chiaro), bozze AI di lavoro.
Garanzie
DPA Google Cloud + SCC + region pinning UE

Google Workspace

Google LLC / Google Ireland Ltd

DPA →
Servizio
Storage Drive del medico (cartelle pazienti, file clinici). I dati clinici risiedono SEMPRE sul Workspace del titolare dello studio, non su nostri server.
Area di trattamento
Region scelta dall'admin Workspace (raccomandato UE)
Categorie di dati
Documenti clinici, consensi firmati, bozze validate, anagrafica paziente.
Garanzie
DPA Google Workspace tra Google e il titolare dello studio

Firebase Authentication

Google LLC

DPA →
Servizio
Identity provider (signup, login, gestione sessione, password reset).
Area di trattamento
Multi-region (con replica UE)
Categorie di dati
Email, UID Firebase, ultimo login, fingerprint dispositivo.
Garanzie
DPA Google + SCC

Stripe

Stripe Payments Europe Ltd

DPA →
Servizio
Fatturazione e gestione abbonamenti del tenant studio.
Area di trattamento
Irlanda (UE)
Categorie di dati
Dati di pagamento del titolare (carta, fatturazione). NESSUN dato clinico paziente.
Garanzie
DPA Stripe + SCC per eventuali trasferimenti USA

2. Note importanti

  • Google Workspace non è un nostro sub-fornitore: è il fornitore scelto dal titolare dello studio per il proprio storage clinico. Noi accediamo ai file solo via OAuth limitato (drive.file) per le operazioni richieste dal medico.
  • Nessun dato clinico è archiviato sui nostri server. Il database operativo (Cloud SQL) contiene esclusivamente metadati: ID cartelle Drive, audit log, sessioni trascrizione, record consensi, mai contenuto clinico in chiaro.
  • Audio della trascrizione: acquisizione temporanea inviata a Speech-to-Text EU. Cancellato automaticamente entro 24 ore (default). Mai conservato come registrazione stabile.
  • De-identificazione: avviene tramite Cloud DLP (europe) prima dell'invio a Vertex AI Gemini per la generazione della bozza clinica.
  • Decisioni automatizzate: nessuna. L'AI produce esclusivamente bozze testuali, soggette a validazione umana finale del medico (Art. 22 GDPR).

3. Notifiche di modifica

Ogni aggiunta, rimozione o cambio sostanziale dei sub-responsabili viene notificato via email al referente DPO / titolare di ogni tenant attivo con almeno 30 giorni di preavviso. Durante questo periodo il titolare può opporsi e, in caso, recedere dal servizio senza penali.

Per essere inseriti nella lista di notifica, scrivere a marsel@drmarselavdia.it.

4. Cronologia modifiche

  • 2026-05-20Pubblicazione iniziale dell'elenco sub-responsabili.
Per richieste relative al DPA, all'Art. 28 GDPR o per richiedere la stipula di un accordo formale di trattamento dati, scrivere a marsel@drmarselavdia.it.