Accordo di collaborazione – Termini e condizioni aggiuntivi

Stati Uniti | Canada | Regno Unito | Spagna | Francia

Condizioni di servizio per gli Stati Uniti

I presenti Termini e condizioni (“Termini”) relativi al Contratto di collaborazione (“Contratto”) sono stipulati tra Dandy (“Dandy”o“noi”) e l’utente e il suo studio dentistico (“Utente”) ed entrano in vigore a partire dalla data di stipula del Contratto di collaborazione (“Data di entrata in vigore”). Se l’utente accetta i presenti Termini per conto di un’entità, una partnership, una società o un’organizzazione, il termine “utente” include l’utente stesso, tale entità e tutti gli utenti dell’entità e l’utente dichiara con la presente di avere l’autorità di vincolare tutti tali utenti. Dandy e l’utente saranno denominati singolarmente “Parte” e collettivamente “Parti”. A fronte di un corrispettivo valido e adeguato come stabilito nel Contratto, le Parti concordano quanto segue:

1. Modifiche. I presenti Termini e il Contratto non possono essere modificati se non previo consenso scritto di entrambe le parti. Qualora Dandy apporti modifiche sostanziali ai Termini o al Contratto, provvederà a comunicarti tali modifiche. Qualsiasi modifica sostanziale entrerà in vigore trenta (30) giorni dopo la notifica, a meno che l'utente non ci comunichi per iscritto di voler rescindere il Contratto. In tal caso, la modifica non avrà effetto e Dandy onorerà il Contratto esistente per 60 giorni o fino a quando l'utente non restituirà lo scanner e qualsiasi altra attrezzatura Dandy che possa essere in suo possesso.
   
2. Accordo completo. Il Contratto di collaborazione, i presenti Termini, il Contratto con i partner commerciali e la Politica IT relativa alle attrezzature fornite dallo studio, se applicabile, costituiscono il nostro accordo completo. Qualsiasi comunicazione effettuata con modalità diverse da quelle previste dai presenti documenti non è vincolante. Il presente Accordo sostituisce qualsiasi altro accordo in contrasto con esso che potremmo aver stipulato in passato.
   
3. Intrasferibilità. Dandy instaura con te un rapporto di collaborazione; pertanto, non potrai trasferire o cedere il Contratto e i Termini a terzi, salvo previo consenso scritto da parte di entrambe le parti.
   
4. Conformità normativa. Entrambe le parti si impegnano a rispettare tutte le leggi e i regolamenti vigenti in materia sanitaria negli Stati Uniti, tra cui, a titolo esemplificativo, l'HIPAA.
   
5. Indennizzo. L'utente si impegna a indennizzare, difendere e manlevare Dandy da ogni e qualsiasi rivendicazione, causa di azione, danno, debito, responsabilità, perdita, obbligo, pagamento, costo e spesa (comprese le spese legali) derivanti da o relativi a: (a) la violazione da parte dell'utente di qualsiasi termine del Contratto, delle presenti Condizioni e/o dell'Accordo con i Partner Commerciali; (b) la violazione da parte dell'utente di qualsiasi termine di qualsiasi accordo tra l'utente e qualsiasi paziente, o qualsiasi atto o omissione negligente, imprudente o intenzionale in relazione alla cura di un paziente; (c) la fornitura da parte vostra a Dandy di informazioni, scansioni, documenti o dati errati o incompleti, o qualsiasi mancata fornitura tempestiva a Dandy di qualsiasi informazione richiesta a voi, al vostro studio o a uno qualsiasi dei vostri dentisti; e (d) qualsiasi rapporto con agenzie amministrative federali, statali o locali, autorità di regolamentazione, enti di concessione delle licenze o organismi professionali.
   
6. Arbitrato. Dandy auspica che non sorgano mai controversie di rilievo in merito al nostro Accordo, alle presenti Condizioni e all’Accordo con i Partner commerciali, e preferisce di gran lunga risolvere eventuali controversie nel modo più amichevole possibile. L'obiettivo di Dandy è quello di lavorare a stretto contatto con te e la sua missione è quella di supportare la tua attività. Qualora dovesse sorgere una questione che non siamo in grado di risolvere in modo amichevole, entrambe le parti si impegnano a risolvere la questione tramite arbitrato presso JAMS nello Stato di New York, in base alla legge dello Stato di New York.
7. Imposta sulle vendite. Dandy addebiterà l'imposta sulle vendite, ove applicabile, sui propri prodotti, attrezzature e servizi in base alla posizione geografica dell'utente. L'importo dell'imposta sulle vendite sarà indicato nella fattura mensile e il pagamento sarà riscosso secondo le modalità descritte nel presente documento e nel Contratto di collaborazione. Qualora l'utente sia esente dal pagamento dell'imposta sulle vendite, si impegna a fornire a Dandy un certificato di esenzione valido e accettabile per ciascuna giurisdizione fiscale in cui si richiede lo status di esenzione.
   

Accordo di collaborazione commerciale

Il presente ACCORDO DI COLLABORAZIONE AI SENSI DELL'HIPAA (“Addendum”) entra in vigore alla data di stipula dell’Accordo di collaborazione (“Data di entrata in vigore”) tra lo studio dentistico indicato nell’Accordo di collaborazione (“Entità interessata”) e Dandy (“BA”).  La presente Addenda, che sostituisce qualsiasi precedente accordo di partnership commerciale tra le parti, modifica, integra e diventa parte integrante dell’Accordo di collaborazione stipulato tra l’Entità coperta e il BA, così come di volta in volta modificato (l’“Accordo”).

PREAMBOLO

CONSIDERATO CHE l'Entità interessata è un'«entità interessata» secondo la definizione di cui al 45 C.F.R. § 160.103;

CONSIDERATO CHE BA può, per conto dell'Entità interessata, creare, ricevere, conservare o trasmettere determinate Informazioni sanitarie protette (come definite di seguito) al fine di fornire servizi all'Entità interessata ai sensi del Contratto;

CONSIDERATO CHE l’Entità interessata è soggetta ai requisiti di semplificazione amministrativa previsti dall’Health Insurance Portability and Accountability Act del 1996 e dai regolamenti emanati in forza dello stesso, inclusi gli Standard per la riservatezza delle informazioni sanitarie identificabili individualmente e gli Standard di sicurezza per la protezione delle informazioni sanitarie protette in formato elettronico di cui al 45 C.F.R., Parti 160 e 164 (collettivamente denominati«Regolamenti sulla riservatezza e sulla sicurezza»);

CONSIDERATO CHE le norme in materia di privacy e sicurezza impongono all'Entità interessata di stipulare un contratto con BA al fine di garantire determinate misure di tutela della privacy e della sicurezza delle Informazioni sanitarie protette, e che tali norme vietano la divulgazione di tali informazioni da parte dell'Entità interessata a BA qualora non sia in essere un contratto di questo tipo;

CONSIDERATO CHE il presente Addendum sarà applicabile solo nel caso in cui BA soddisfi, in relazione all’Entità interessata, la definizione di “partner commerciale” di cui al 45 C.F.R. § 160.103.

In considerazione di quanto sopra esposto, nonché di altri validi e sostanziali motivi, di cui si riconosce con la presente il ricevimento e l'adeguatezza, le parti concordano quanto segue:

1. Definizioni

1. Il termine «violazione»ha il significato attribuito al termine «breach» ai sensi del 45 C.F.R. § 164.402, applicato alle PHI non protette create, ricevute, conservate o trasmesse dal BA da parte o per conto dell'Entità interessata.
2. Per«informazioni sanitarie protette in formato elettronico»o«ePHI»si intende il significato attribuito al termine «informazioni sanitarie protette in formato elettronico» ai sensi del 45 C.F.R. § 160.103, applicato alle informazioni create, ricevute, conservate o trasmesse dal BA da parte o per conto dell’Entità interessata.
3. Per“Informazioni sanitarie protette”o“PHI”si intende il significato attribuito al termine “informazioni sanitarie protette” ai sensi dell’articolo 45 C.F.R. § 160.103, applicato alle informazioni create, ricevute, conservate o trasmesse da BA da parte o per conto dell’Entità interessata.
4. Per “evento soggetto a segnalazione”si intende qualsiasi (1) utilizzo o divulgazione di PHI non previsto dal presente Addendum; (2) incidente di sicurezza; (3) violazione di PHI non protette; oppure (4) qualsiasi incidente relativo ai dati che coinvolga PHI per il quale sia richiesta la notifica della violazione ai sensi della legislazione straniera, federale o statale applicabile.
5. Per «Servizi»si intendono i servizi forniti da BA all’Entità interessata, come stabilito nel Contratto.
6. Per «incidente di sicurezza»si intende il significato attribuito al termine «incidente di sicurezza» ai sensi del 45 C.F.R. § 164.304, applicato alle ePHI create, ricevute, conservate o trasmesse dal BA da parte o per conto dell'Entità interessata.

I termini utilizzati nel presente Addendum e non altrimenti definiti avranno lo stesso significato attribuito loro nel Regolamento sulla privacy e la sicurezza, incluse, a titolo esemplificativo ma non esaustivo, le sezioni 160.103 e 164.501 del 45 C.F.R. Eventuali incongruenze nella definizione di un termine saranno risolte a favore di un'interpretazione che consenta la conformità all'HIPAA.

2. Usi e divulgazioni consentiti delle informazioni sanitarie protette (PHI)

Salvo quanto diversamente previsto nel presente Addendum o nel Contratto, BA potrà adottare una o tutte le seguenti misure:

1. Utilizzo e divulgazione ai sensi del Contratto. Utilizzare o divulgare le PHI per svolgere funzioni, attività o servizi per conto o a nome dell’Entità interessata, nella misura consentita dal Contratto, a condizione che tale utilizzo o divulgazione non violi la Norma sulla privacy o qualsiasi legge statale applicabile se effettuato dall’Entità interessata.  Fermo restando quanto sopra, il BA può utilizzare e divulgare le PHI per gli scopi identificati nei paragrafi (2), (3) e (5) della presente Sezione 2, anche se l'Entità coperta non potrebbe farlo ai sensi della Norma sulla privacy.
2. Utilizzo a fini amministrativi o per adempiere a obblighi legali. È consentito utilizzare le informazioni sanitarie protette (PHI), ma solo nella misura strettamente necessaria, per la corretta gestione e amministrazione di BA, per le attività di recupero crediti di BA o per adempiere agli obblighi legali di BA.
3. Divulgazione per motivi amministrativi o per adempiere a obblighi di legge. È possibile divulgare le informazioni sanitarie protette (PHI), ma solo nella misura strettamente necessaria, ai fini della corretta gestione e amministrazione di BA o per adempiere agli obblighi di legge di BA, a condizione che:
   1. Tali informazioni sono richieste dalla legge; oppure
   2. BA ottiene garanzie ragionevoli dal soggetto terzo al quale vengono comunicate le informazioni sanitarie protette (PHI) che tali informazioni rimarranno riservate e saranno utilizzate o ulteriormente divulgate solo nei casi previsti dalla legge o per lo scopo per cui sono state comunicate a tale soggetto (scopo che deve essere coerente con le limitazioni imposte a BA ai sensi del presente Addendum), e tale soggetto si impegna a notificare tempestivamente a BA qualsiasi caso di cui venga a conoscenza in cui sia stata violata la riservatezza delle informazioni.
4. Utilizzo ai fini della segnalazione di violazioni. Utilizzare le informazioni sanitarie protette (PHI) per segnalare violazioni di legge alle autorità federali, statali e locali competenti, in conformità con il 45 C.F.R. § 164.502(j).
5. Utilizzo per servizi di aggregazione dei dati. Utilizzare le informazioni sanitarie protette (PHI) per fornire servizi di aggregazione dei dati relativi alle attività sanitarie dell'Entità interessata, come consentito dal 45 C.F.R. §164.504(e)(2)(i)(B).
6. Informazioni anonimizzate. Utilizzare le PHI per creare informazioni anonimizzate in conformità con il 45 C.F.R. §§ 164.502(d) e 164.514(a)-(c).

3. Obblighi del partner commerciale

1. Limiti previsti dal Contratto e dalla legge. BA non può utilizzare o divulgare le PHI se non nei casi consentiti o richiesti dal presente Addendum e dal Contratto o nei casi previsti dalla legge.
2. Conformità alla legge HIPAA. Nella misura in cui il Responsabile del trattamento sia incaricato di adempiere a un obbligo a carico dell’Entità interessata ai sensi della legge HIPAA in base al presente Addendum o al Contratto, il Responsabile del trattamento dovrà rispettare i requisiti della legge HIPAA applicabili all’Entità interessata nell’adempimento di tale obbligo.
3. Misure di sicurezza adeguate per le informazioni sanitarie protette (PHI). BA dovrà adottare e mantenere misure di sicurezza adeguate per impedire l'utilizzo o la divulgazione delle informazioni sanitarie protette (PHI) in qualsiasi modo diverso da quanto consentito dal Contratto e dal presente Addendum. 

4. Eventi soggetti a segnalazione

1. Ricorso a subappaltatori. Qualora BA divulghi dati sanitari protetti (PHI) a un subappaltatore o consenta a un subappaltatore di creare, ricevere, conservare o trasmettere PHI per suo conto, BA dovrà richiedere al subappaltatore di sottoscrivere un accordo scritto che lo obblighi a rispettare tutti i termini del presente Addendum. Se BA viene a conoscenza di un modello di attività o di una pratica di un subappaltatore che costituirebbe una violazione sostanziale dell’accordo scritto tra BA e il subappaltatore, BA adotterà misure ragionevoli per porre rimedio a tale violazione o porvi fine, a seconda dei casi, oppure rescinderà tale accordo scritto con il subappaltatore in questione.
2. Accessibilità delle prassi interne, dei libri contabili e dei registri alle agenzie governative. BA accetta di mettere a disposizione del Segretario del Dipartimento della Salute e dei Servizi Umani degli Stati Uniti le proprie prassi interne, i libri contabili e i registri relativi all’uso e alla divulgazione delle PHI ricevute da, o create o ricevute da BA per conto di, un’Entità interessata, al fine di accertare la conformità dell’Entità interessata alla HIPAA. Nessun privilegio legale, sia esso tra avvocato e cliente, commercialista e cliente o di altro tipo, sarà considerato rinunciato da BA in virtù della conformità di BA alla presente disposizione.
3. Accesso e modifica delle PHI. Nella misura in cui il BA conservi le PHI in un insieme di documenti designato, il BA dovrà: (a) rendere disponibili le PHI specificate dal Partner alle persone identificate dall’Entità interessata come aventi diritto ad accedere a tali PHI, e (b) apportare le modifiche a tali PHI contenute in un insieme di documenti designato secondo le indicazioni o gli accordi dell’Entità interessata. Il BA fornirà tale accesso e incorporerà tali modifiche entro i tempi e secondo le modalità specificate dall’Entità coperta, in conformità con i requisiti di cui al 45 C.F.R. § 164.524, § 164.526 e alla legge statale applicabile.
4. Rendicontazione delle divulgazioni. Su richiesta dell’Entità interessata, il Responsabile del trattamento fornirà a quest’ultima una rendicontazione delle divulgazioni delle informazioni sanitarie protette (PHI) di un individuo nei tempi e nei modi previsti dal 45 C.F.R. § 164.528 e, a partire dalla data di entrata in vigore applicabile, dalla Sezione 13405(c) dell’HITECH e da qualsiasi regolamento emanato in base ad essa.
5. Minimo indispensabile. BA si impegna a rispettare i requisiti di minimo indispensabile previsti dall'HIPAA.
6. Comunicazione con altri partner commerciali. Nell’ambito della prestazione dei propri servizi, attività e/o funzioni a favore o per conto dell’Entità interessata, il Partner commerciale può divulgare informazioni, incluse le PHI, ad altri partner commerciali dell’Entità interessata.  Allo stesso modo, il Partner commerciale può utilizzare e divulgare informazioni, incluse le PHI, ricevute da altri partner commerciali dell’Entità coperta, come se tali informazioni fossero state ricevute dall’Entità coperta o provenissero da essa. Le parti concordano che è responsabilità dell’Entità coperta stipulare e mantenere accordi di partnership commerciale con i propri altri partner commerciali.
7. BA dovrà segnalare all'Entità interessata qualsiasi Evento soggetto a segnalazione di cui venga a conoscenza. Tutte le segnalazioni dovranno essere effettuate senza indebiti ritardi e in ogni caso entro quindici (15) giorni lavorativi dalla scoperta dell'Evento soggetto a segnalazione da parte di BA.
8. BA collaborerà con l'Entità interessata nelle indagini relative a un Evento soggetto a segnalazione e assisterà l'Entità interessata nel determinare se un Evento soggetto a segnalazione costituisca una violazione delle PHI non protette.
9. BA si impegna a mitigare, per quanto possibile, qualsiasi effetto dannoso di cui sia a conoscenza e derivante da un evento soggetto a segnalazione.
10. Le parti riconoscono e concordano che la presente sezione costituisce una comunicazione da parte di BA all’Entità interessata in merito alla persistenza e al verificarsi di Tentativi di Incidenti di sicurezza non andati a buon fine che non comportano l’accesso non autorizzato a, né l’uso, la perdita, la modifica, la distruzione o la divulgazione di PHI, quali ping e altri attacchi di broadcast al firewall di BA, scansioni delle porte, tentativi di accesso non riusciti, attacchi denial of service non riusciti o qualsiasi combinazione degli stessi.

5. Obblighi dell'ente interessato

1. Informativa sulla privacy. L’Entità interessata dovrà comunicare per iscritto a BA eventuali limitazioni contenute nella propria informativa sulla privacy, nella misura in cui tali limitazioni possano influire sull’utilizzo o sulla divulgazione delle PHI da parte di BA.
2. Notifica delle revoche. L’Entità interessata dovrà comunicare per iscritto a BA eventuali modifiche o revoche dell’autorizzazione concessa da una Persona fisica all’uso o alla divulgazione delle PHI, nella misura in cui tali modifiche o revoche possano influire sull’uso o sulla divulgazione delle PHI da parte di BA.
3. Notifica delle restrizioni. L’Entità interessata dovrà comunicare per iscritto a BA qualsiasi restrizione all’uso o alla divulgazione delle PHI che l’Entità interessata abbia accettato o sia tenuta a rispettare ai sensi del 45 C.F.R. § 164.522, nella misura in cui tale restrizione possa influire sull’uso o sulla divulgazione delle PHI da parte di BA.
4. Richieste consentite. L'Entità interessata non potrà richiedere al Responsabile del trattamento di utilizzare o divulgare le Informazioni sanitarie protette (PHI) in alcun modo che non sarebbe consentito ai sensi dell'HIPAA o di altre leggi federali o statali applicabili qualora tale azione fosse compiuta dall'Entità interessata stessa.

6. Durata e risoluzione

1. Durata. La durata del presente Addendum corrisponderà a quella del Contratto, ma cesserà al verificarsi del primo dei seguenti eventi:
   1. L'accordo scade o viene risolto con o senza giusta causa; 
   2. Il presente Addendum è risolto per giusta causa come descritto nella Sezione 5.2 di seguito; 
   3. Le parti concordano di comune accordo di risolvere il presente Addendum; oppure
   4. Il presente Addendum è risolto ai sensi delle leggi federali, statali o locali applicabili. 
2. Licenziamento per giusta causa.
   1. Qualora l’Entità interessata accerti una violazione di una qualsiasi clausola sostanziale del presente Addendum da parte di BA, l’Entità interessata dovrà inviare a BA una comunicazione scritta relativa a tale violazione, sufficientemente dettagliata da consentire a BA di comprenderne la natura specifica e da offrirle l’opportunità di porvi rimedio; fermo restando, tuttavia, che se BA non provvede a porre rimedio alla violazione entro trenta (30) giorni dal ricevimento di tale comunicazione, l’Entità interessata potrà risolvere il presente Addendum e il Contratto. 
   2. Qualora BA accerti una violazione di una clausola sostanziale del presente Addendum da parte dell’Entità interessata, BA dovrà inviare all’Entità interessata una comunicazione scritta relativa a tale violazione, sufficientemente dettagliata da consentire all’Entità interessata di comprenderne la natura specifica e da offrirle l’opportunità di porvi rimedio; a condizione, tuttavia, che se l’Entità interessata non ponga rimedio alla violazione entro trenta (30) giorni dal ricevimento di tale comunicazione, BA potrà risolvere il presente Addendum e il Contratto.
3. Effetti della risoluzione
   1. Fatto salvo quanto previsto dalla Sezione 5.3(b) di seguito, in caso di risoluzione del presente Addendum per qualsiasi motivo, BA dovrà restituire o distruggere tutte le PHI che BA detiene ancora in qualsiasi forma. BA non dovrà conservare alcuna copia di tali PHI. 
   2. Qualora non sia possibile restituire o distruggere una parte o la totalità delle informazioni sanitarie protette (PHI), il responsabile del trattamento dovrà:
      1. Conservare solo i dati sanitari protetti (PHI) per i quali non è possibile procedere alla restituzione o alla distruzione;
      2. Restituire all’Entità interessata o distruggere le restanti informazioni sanitarie protette (PHI) che il fornitore di servizi (BA) detiene ancora in qualsiasi forma;
      3. Estendere le tutele previste dal presente Addendum a tutte le PHI conservate, continuare ad applicare misure di sicurezza adeguate e rispettare la Norma sulla sicurezza in materia di ePHI, al fine di impedire l'utilizzo o la divulgazione delle PHI conservate in modo diverso da quanto previsto dal presente Addendum per tutto il periodo in cui il BA conserva le PHI;
      4. non utilizzare né divulgare le informazioni sanitarie protette (PHI) conservate da BA se non per gli scopi per i quali sono state conservate e nel rispetto delle stesse condizioni stabilite nel presente Addendum che si applicavano prima della risoluzione; e
      5. Restituire all’Entità interessata o distruggere le informazioni sanitarie protette (PHI) conservate dal BA non appena ciò risulti fattibile.
   3. Le presenti disposizioni si applicano alle informazioni sanitarie protette (PHI) in possesso dei subappaltatori o degli agenti di BA.
   4. La presente Sezione 5.3 resterà in vigore anche dopo la risoluzione del presente Addendum. 

7. Varie

1. Riferimenti normativi. Ogni riferimento contenuto nel presente Addendum a una sezione dell'HIPAA si intende riferito alla versione in vigore o modificata al momento della sottoscrizione o della modifica del presente Addendum.
2. Modifica; nessuna rinuncia. A partire dalla data di entrata in vigore di qualsiasi legge federale che modifichi o estenda l'HIPAA, qualsiasi linea guida o regolamento temporaneo, provvisorio o definitivo promulgato ai sensi dell’HIPAA, o ai sensi di qualsiasi legge federale che modifichi o estenda l’HIPAA (collettivamente, i“Regolamenti HIPAA”) applicabili al presente Addendum o qualsiasi modifica ai Regolamenti HIPAA, il presente Addendum sarà automaticamente modificato, in modo tale che gli obblighi imposti all’Entità Coperta e al BA rimangano conformi a tali requisiti, salvo diverso accordo tra le parti.  Le parti adotteranno tutte le misure necessarie per riflettere espressamente tali modifiche automatiche al presente Addendum di volta in volta. Salvo quanto diversamente previsto nel presente paragrafo (B), nessuna rinuncia, variazione, modifica o emendamento di qualsiasi disposizione del presente Addendum potrà essere effettuato se non per iscritto e firmato dalle parti contraenti.  Il mancato esercizio da parte di una delle parti, in qualsiasi momento, del diritto di esigere la rigorosa esecuzione di qualsiasi condizione, promessa, accordo o intesa qui stabiliti non deve essere interpretato come una rinuncia o un abbandono del diritto di esigere la rigorosa esecuzione della stessa condizione, promessa, accordo o intesa in un momento futuro.
3. Interpretazione. Qualsiasi ambiguità contenuta nel presente Addendum dovrà essere risolta a favore di un'interpretazione che consenta il rispetto dell'HIPAA. I titoli e le intestazioni riportati all'inizio di ciascuna sezione del presente documento sono inseriti esclusivamente per comodità di riferimento e non devono in alcun modo essere interpretati come parte integrante del presente Addendum o come limitazione dell'ambito di applicazione della specifica disposizione a cui si riferiscono.  In caso di incongruenza tra le disposizioni del presente Addendum e i termini obbligatori dell'HIPAA, come di volta in volta espressamente modificati dal Segretario, o a seguito di interpretazioni da parte del Segretario, di un tribunale o di un'altra agenzia di regolamentazione con autorità sulle parti, prevarrà l'interpretazione del Segretario, di tale tribunale o dell'agenzia di regolamentazione.
4. Rapporto con le disposizioni del Contratto. Qualora una disposizione del presente Addendum fosse in contrasto con una disposizione del Contratto, prevarrà la disposizione del presente Addendum. In ogni altro caso, il presente Addendum sarà interpretato alla luce e in conformità con i termini del Contratto.
5. Rapporto tra le parti. Le parti del presente Addendum sono soggetti indipendenti. Nessuna delle disposizioni del presente Addendum è intesa a creare, né potrà essere interpretata o intesa come volta a creare, alcun rapporto tra l’Entità interessata e BA diverso da quello tra soggetti indipendenti. Salvo quanto espressamente previsto nel presente documento, nessuna delle parti, né alcuno dei suoi rappresentanti, potrà essere considerato agente, dipendente o rappresentante dell’altra parte.
6. Assenza di beneficiari terzi. Il presente Addendum è stipulato esclusivamente tra le parti qui menzionate. Nessuna disposizione espressa o implicita del presente Addendum è intesa a conferire, né potrà in alcun modo conferire, diritti, rimedi, obblighi o responsabilità di alcun tipo a soggetti diversi dall’Entità interessata e da BA, nonché dai rispettivi successori e aventi causa.
7. Clausola non valida o inapplicabile. Le disposizioni del presente Addendum sono separabili. L'invalidità o l'inapplicabilità di una qualsiasi disposizione o parte di una disposizione del presente Addendum sarà interpretata, sotto ogni aspetto, come se tale disposizione o parte di essa fosse stata omessa, e non pregiudicherà la validità e l'applicabilità delle altre disposizioni del presente Addendum o delle parti di esse.
8. Cessione. I diritti e gli obblighi delle parti in relazione alla cessione del presente Addendum sono soggetti alle disposizioni in materia di cessione previste dal Contratto. Qualora il Contratto non contenga disposizioni in materia di cessione, nessuna delle parti potrà cedere i propri diritti, né delegare i propri doveri o obblighi, ai sensi del presente Addendum senza il previo consenso scritto dell’altra parte, il quale non potrà essere negato senza motivo.  Il presente Addendum sarà vincolante per le parti contraenti e i loro rispettivi successori e avrà efficacia a loro beneficio.
9. Legge applicabile. Il presente Addendum sarà interpretato, applicato e regolato dalla legge applicabile indicata nel Contratto, salvo nei casi in cui la legge federale applicabile prevalga su di essa. Qualora il Contratto non indichi la legge applicabile, il presente Addendum sarà interpretato, applicato e regolato dalle leggi dello Stato di New York, salvo nei casi in cui la legge federale applicabile prevalga su di esse.
10. Comunicazioni. Tutte le comunicazioni previste dal presente contratto dovranno essere effettuate per iscritto e consegnate a mano, inviate per posta o trasmesse con qualsiasi altra modalità concordata dalle parti, al seguente indirizzo:

All'ente interessato: indirizzo e-mail dello studio indicato nel contratto di collaborazione

A BA: Dandy

All'attenzione dell'Ufficio Legale

Park Place 11, Appartamento 502

New York, NY 10007

[email protected]

Ciascuna parte si riserva il diritto di modificare l'indirizzo per la ricezione delle comunicazioni durante la vigenza del presente Addendum, previa comunicazione scritta alle altre parti.

1. Esemplari. Il presente Addendum può essere sottoscritto in più esemplari separati, nessuno dei quali deve necessariamente recare le firme di entrambe le parti; ciascuno di essi, una volta sottoscritto, sarà considerato un originale e tali esemplari costituiranno insieme un unico e medesimo atto.

Politica IT relativa alle attrezzature fornite dalla struttura

La presente politica si applica esclusivamente agli studi che utilizzano i propri computer portatili e scanner nell'ambito della loro collaborazione con Dandy.

Politica sui sistemi standard:

Al fine di garantire la qualità e l'uniformità dei casi inviati a Dandy Labs, l'utente si impegna a rispettare i seguenti requisiti relativi alla propria infrastruttura IT:

1. L'utente accetta di utilizzare esclusivamente lo Intraoral Scanner 3Shape, il TRIOS 4 o Intraoral Scanner .
2. L'utente si impegna a garantire una connessione Wi-Fi stabile con una velocità di almeno 15 Mbps in upload e 15 Mbps in download in tutti i luoghi in cui vengono inviati i casi.
3. L'utente accetta di utilizzare un computer dotato dello scanner intraorale 3Shape che soddisfi i seguenti requisiti di sistema:
4. Requisiti minimi per PC:

• Processore: i7-10850H
• Memoria: 16 GB DDR4
• Disco: 256 GB
• Scheda grafica: Quadro T1000 (4 GB)
• Sistema operativo: Windows 11 Pro

Configurazione consigliata:

• Processore: i7 12850HX
• Memoria: 32 GB DDR5
• Disco: SSD da 1 TB
• Scheda grafica: NVIDIA® A3000
• Sistema operativo: Windows 11 Pro
• Dispone di una webcam funzionante

1. L'utente accetta di aggiornare il software Trios alla versione 1.7.19.1 o successiva.
2. L'utente accetta di salvare e inviare tutti i file relativi ai casi nella memoria locale del computer.
3. L'utente accetta di concedere al team del servizio clienti di Dandy l'accesso a Splashtop tramite una password condivisa concordata di comune accordo, che rimarrà valida per tutta la durata del rapporto.
4. L'utente accetta di installare DandyUploader nel profilo di un utente locale e di utilizzare tale profilo locale nell'ambito dell'utilizzo del software TRIOS.
5. Se utilizzi un software antivirus, accetti di consentire l'accesso al seguente percorso di file:

• C:\Utenti\Dandy\AppData\Roaming\DandyUploader
• C:\Utenti\Dandy\AppData\Roaming\@orthly
• C:\Programmi\Chairside
• C:\Programmi\DandyUploader
• C:\Programmi\UploaderMedit

6. Se il vostro studio dispone di un firewall di rete, sia esso fisico o basato sul web, vi preghiamo di consentire tutto il traffico proveniente dai seguenti domini:

• *.meetdandy.com
• orthly.com
• *.orthly.com
• dandyserv.net
• *.dandyserv.net
• *dandy.dental
• .api.splashtop.com
  • Porta 443
  • Consenti sia HTTP su TLS che protocolli diversi da HTTP su TLS

Condizioni di servizio per il Canada, compreso l'Accordo sulla privacy dei dati

I presenti Termini e condizioni (“Termini”) relativi al Contratto di collaborazione (“Contratto”) sono stipulati tra Zima Labs Canada, ULC, operante con il nome commerciale Dandy (“Dandy”o“noi”) e l’utente e il suo studio dentistico (“Utente”) ed entrano in vigore a partire dalla data di stipula del Contratto di collaborazione (“Data di entrata in vigore”). Se l’utente accetta i presenti Termini per conto di un’entità, una partnership, una società o un’organizzazione, il termine “utente” include l’utente stesso, tale entità e tutti gli utenti dell’entità e l’utente dichiara con la presente di avere l’autorità di vincolare tutti tali utenti. Dandy e l’utente saranno denominati singolarmente “Parte” e collettivamente “Parti”. A fronte di un corrispettivo valido e adeguato come stabilito nel Contratto, le Parti concordano quanto segue:

1. Modifiche. I presenti Termini e il Contratto non possono essere modificati se non previo accordo scritto di entrambe le parti. Qualora Dandy apporti modifiche sostanziali ai Termini o al Contratto, provvederà a comunicarti tali modifiche. Qualsiasi modifica sostanziale entrerà in vigore trenta (30) giorni dopo la notifica, a meno che l'utente non ci comunichi per iscritto di voler rescindere il Contratto. In tal caso, la modifica non avrà effetto e Dandy onorerà il Contratto esistente per 60 giorni o fino a quando l'utente non restituirà lo scanner e qualsiasi altra attrezzatura Dandy di cui possa essere in possesso.
2. Accordo completo. Il Contratto di collaborazione, i presenti Termini, l'Accordo sulla privacy dei dati e la Politica IT relativa alle attrezzature fornite dallo studio, se applicabile, costituiscono il nostro accordo completo. Qualsiasi comunicazione effettuata con modalità diverse da quelle previste dai presenti documenti non è vincolante. Il presente Accordo sostituisce qualsiasi altro accordo in contrasto con esso che potremmo aver stipulato in passato.
3. Intrasferibilità. Dandy instaura con te un rapporto di collaborazione; pertanto, non potrai trasferire o cedere il Contratto e i Termini a terzi, salvo previo consenso scritto da parte di entrambe le parti.
4. Conformità normativa. Entrambe le Parti si impegnano a rispettare tutte le leggi e i regolamenti vigenti in materia di sanità in Canada, comprese, tra le altre, le leggi federali e provinciali applicabili in materia di protezione dei dati personali.
5. Indennizzo. L'utente si impegna a indennizzare, difendere e manlevare Dandy da ogni e qualsiasi rivendicazione, causa di azione, danno, debito, responsabilità, perdita, obbligo, pagamento, costo e spesa (comprese le spese legali) derivanti da o relativi a: (a) la violazione da parte dell'utente di qualsiasi termine del Contratto, delle presenti Condizioni e/o dell'Accordo sulla privacy dei dati; (b) la violazione da parte dell'utente di qualsiasi termine di qualsiasi accordo tra l'utente e qualsiasi paziente, o qualsiasi atto o omissione negligente, imprudente o intenzionale in relazione alla cura di un paziente; (c) la fornitura da parte tua a Dandy di informazioni, scansioni, documenti o dati errati o incompleti, o qualsiasi mancata fornitura tempestiva a Dandy di qualsiasi informazione richiesta a te, al tuo studio o a uno qualsiasi dei tuoi dentisti; e (d) qualsiasi rapporto con agenzie amministrative federali, statali o locali, autorità di regolamentazione, enti di concessione delle licenze o organismi professionali.
6. Arbitrato. Dandy auspica che non sorgano mai controversie di rilievo in merito al nostro Accordo, alle presenti Condizioni e all’Accordo sulla privacy dei dati, e preferisce di gran lunga risolvere eventuali controversie nel modo più amichevole possibile. L'obiettivo di Dandy è quello di lavorare a stretto contatto con te e la sua missione è quella di supportare la tua attività. Qualora dovesse sorgere una questione che non siamo in grado di risolvere in modo amichevole, entrambe le parti si impegnano a risolvere la questione tramite arbitrato presso la Canadian Arbitration Association nella città di Toronto, in base alla legge dell'Ontario. La lingua dell'arbitrato sarà l'inglese.
7. Imposta sulle vendite. Dandy addebiterà l'imposta sulle vendite, ove applicabile, sui nostri prodotti, attrezzature e servizi in base alla tua posizione geografica. L'importo dell'imposta sulle vendite sarà indicato sulla tua fattura mensile e il pagamento sarà riscosso come descritto nel presente documento e nel tuo Accordo di collaborazione. Se sei esente dal pagamento dell'imposta sulle vendite, accetti di fornire a Dandy un certificato di esenzione valido e accettabile per ciascuna giurisdizione fiscale in cui viene richiesto lo status di esenzione.
8. Le Parti riconoscono e concordano che, poiché Dandy riceverà e tratterà dati sanitari personali per conto della Controparte, un Accordo sulla protezione dei dati (il “DPA”) costituisce parte integrante e obbligatoria del presente Accordo. Il DPA, allegato al presente documento come Allegato A, definisce gli obblighi delle Parti in materia di raccolta, utilizzo, divulgazione e protezione dei dati personali e dei dati sanitari personali. La Controparte riconosce e accetta che non fornirà alcuna Informazione Sanitaria Personale a Dandy a meno che e fino a quando il DPA non sia stato sottoscritto da entrambe le Parti.

Allegato A – Accordo sulla protezione dei dati

Il presente Accordo sulla protezione dei dati personali (“DPA”) si applica al rapporto contrattuale (“Accordo”) tra Dandy e l’utente e il suo studio dentistico o ambulatorio (“Controparte”) ed è incorporato per riferimento nei casi in cui le Leggi applicabili (definite di seguito) disciplinino l’utilizzo dei Servizi da parte della Controparte e il trattamento dei Dati personali. Il presente DPA garantisce che il trattamento dei Dati personali da parte di Dandy sia conforme alle Leggi applicabili. 

I termini in maiuscolo non definiti nel presente documento avranno il significato loro attribuito nel Contratto.

1. Definizioni

Per «Leggi applicabili»si intendono tutte le leggi, i regolamenti e le linee guida normative applicabili al trattamento dei Dati personali ai sensi del presente DPA, compresa la Legge sulla protezione dei dati personali e dei documenti elettronici (PIPEDA) e, in particolare per quanto riguarda i Dati sanitari personali, la Legge dell'Ontario sui Dati sanitari personali del 2004 (PHIPA) e qualsiasi altra legge provinciale applicabile in materia di privacy.

Per “violazione dei dati”si intende qualsiasi accesso, utilizzo o divulgazione non autorizzati di dati sanitari personali che siano in custodia o sotto il controllo di Dandy e che comportino un rischio reale di danno significativo per l’interessato, secondo la definizione della PHIPA; la perdita effettiva, il furto, l’indisponibilità o l’uso improprio di dati personali, oppure l’accesso, l’utilizzo, la divulgazione o il trattamento illeciti o non autorizzati degli stessi; nonché qualsiasi violazione effettiva o sospetta dei requisiti del presente Accordo o delle leggi applicabili

Per «dati personali»si intendono le informazioni identificative relative a una persona fisica, in forma orale o registrata, secondo la definizione della PHIPA, che vengono raccolte, utilizzate o divulgate nell'ambito della prestazione di assistenza sanitaria, inclusi, a titolo esemplificativo ma non esaustivo, i numeri delle tessere sanitarie, le informazioni relative alle cure e le cartelle cliniche odontoiatriche.

indica qualsiasi informazione relativa a una persona fisica identificata o identificabile, secondo la definizione contenuta nelle leggi vigenti in materia di protezione dei dati in Canada, tra cui il PIPEDA e le leggi provinciali applicabili in materia di privacy.

2. Ambito di applicazione e finalità

Dandy si impegna a trattare i dati personali esclusivamente per conto della Controparte e in conformità alle istruzioni documentate da quest'ultima, salvo nei casi previsti dalla normativa vigente.

Dandy non tratterà i Dati Personali per alcuna finalità diversa dall'esecuzione dei Servizi descritti nel Contratto, salvo quanto espressamente autorizzato dalla Controparte.

3. Obblighi di Dandy

Dandy si impegna a rispettare tutte le leggi applicabili in materia di trattamento dei dati personali. Dandy tratterà i dati personali come informazioni riservate e li comunicherà esclusivamente ai propri dipendenti o subappaltatori soggetti a obblighi vincolanti di riservatezza in relazione ai dati personali (e il cui utilizzo di tali dati sia correlato alle loro mansioni lavorative), assicurandosi che tali soggetti trattino i dati personali solo su istruzioni della Controparte e in conformità con il Contratto (incluso il presente DPA).  Dandy garantirà che tutto il personale autorizzato al trattamento dei Dati Personali sia vincolato da obblighi di riservatezza e abbia ricevuto una formazione adeguata in materia di protezione dei dati.

Qualora vengano coinvolti dei subappaltatori, Dandy stipulerà con essi un contratto al fine di garantire il rispetto del presente Accordo sui dati personali (DPA) e delle leggi applicabili. Dandy sarà responsabile nei confronti della Controparte per qualsiasi violazione del Contratto causata da un atto, un errore o un'omissione del subappaltatore nella stessa misura in cui Dandy sarebbe responsabile per i propri atti, errori o omissioni.

Dandy non trasferirà i dati personali al di fuori del Canada e degli Stati Uniti senza il previo consenso scritto della controparte.

Dandy fornirà alla Controparte l'assistenza ragionevolmente necessaria per rispondere a eventuali richieste da parte di qualsiasi persona fisica di accedere, correggere, modificare o cancellare i propri Dati Personali. Tali richieste saranno inoltrate da Dandy alla Controparte, in qualità di custode delle Informazioni Sanitarie Personali, o relative al trattamento delle Informazioni Personali dell'individuo in qualsiasi modo, saranno inoltrate da Dandy alla Controparte e Dandy non intraprenderà alcuna azione in merito a tali richieste in assenza di istruzioni da parte della Controparte, salvo nella misura richiesta dalla legge; 

Dandy fornirà alla Controparte un preavviso ragionevole in merito a qualsiasi intenzione di divulgare i Dati Personali richiesta dalla legge, a meno che la comunicazione di tale preavviso non violi le leggi vigenti. Qualora un'autorità di polizia invii una richiesta a Dandy o ai suoi subappaltatori in merito ai Dati Personali, Dandy cercherà di inoltrare la richiesta dell'autorità di polizia alla Controparte.  

Dandy informerà la Controparte di qualsiasi comunicazione, richiesta, indagine o reclamo ricevuto da qualsiasi persona fisica o autorità di regolamentazione che sia direttamente o indirettamente correlato al trattamento dei Dati Personali, e collaborerà ragionevolmente con la Controparte qualora questa lo richieda al fine di adempiere agli obblighi previsti dalle Leggi Applicabili.

4. Sicurezza

Dandy ha adottato e continuerà ad applicare misure tecniche e organizzative commercialmente ragionevoli e adeguate per proteggere i Dati Personali da accessi non autorizzati, perdita, distruzione o alterazione, tenendo conto della sensibilità di tali dati. Ciò comprende misure relative alla sicurezza fisica delle strutture utilizzate per la fornitura dei Servizi, misure volte a controllare i diritti di accesso alle risorse e alle reti pertinenti, nonché procedure per la verifica di tali misure.

5. Violazione dei dati

Qualora Dandy venga a conoscenza o rilevi il verificarsi di una violazione dei dati, Dandy dovrà: (i) adottare tutte le misure ragionevoli necessarie per indagare, contenere e mitigare la violazione dei dati; e (ii) informare la Controparte senza indebito ritardo dopo aver preso conoscenza della violazione. Dandy fornirà tempestivamente alla Controparte tutte le informazioni rilevanti raccolte da Dandy in relazione alla violazione dei dati, al fine di consentire alla Controparte di adempiere ai propri obblighi di notifica previsti dalla PHIPA, e fornirà tempestivamente alla Controparte tutte le informazioni rilevanti raccolte da Dandy in relazione alla violazione dei dati

5. Conformità

Su richiesta della Controparte, Dandy metterà a disposizione della Controparte le informazioni che dimostrano e attestano che Dandy utilizza i Dati Personali in modo conforme agli obblighi previsti dal presente Accordo e dalle Leggi Applicabili.

6. Informazioni generali

Il presente Accordo sul trattamento dei dati personali resterà in vigore fino alla prima delle seguenti date: (i) la risoluzione o la scadenza del Contratto oppure (ii) la cessazione del trattamento dei Dati personali da parte di Dandy. Al momento della risoluzione, su richiesta della Controparte, Dandy restituirà i Dati personali alla Controparte oppure provvederà alla loro cancellazione. 

Qualora una qualsiasi disposizione del presente Accordo sui dati personali (DPA) fosse ritenuta invalida, inapplicabile o illegale da un tribunale o da un organo amministrativo della giurisdizione competente, le restanti disposizioni rimarranno in vigore. Qualsiasi disposizione invalida, inapplicabile o illegale sarà interpretata in modo da dare effetto all'intenzione commerciale delle Parti. Qualora ciò non fosse possibile, tale disposizione sarà stralciata, ma le restanti disposizioni rimarranno pienamente in vigore.

Salvo nei casi in cui il presente DPA sia in contrasto con il Contratto, tutte le altre disposizioni del Contratto rimangono invariate. In caso di conflitto tra il presente DPA e i termini del Contratto, il presente DPA prevarrà nella misura in cui l'oggetto riguardi il trattamento dei Dati Personali della Controparte. Il presente DPA, unitamente al Contratto, costituisce l'accordo definitivo, completo ed esclusivo delle Parti in relazione all'oggetto dello stesso e sostituisce e integra tutte le precedenti discussioni e accordi tra le Parti in relazione a tale oggetto. Nessun'altra dichiarazione o termine sarà applicabile o costituirà parte integrante del presente DPA. 

La responsabilità complessiva di Dandy per qualsiasi reclamo derivante dal presente Accordo sulla protezione dei dati o ad esso connesso è soggetta e limitata dalle clausole di limitazione di responsabilità contenute nell'Accordo.

Il presente Accordo sulle pratiche di trattamento dei dati (DPA) e l'Accordo devono essere interpretati nel modo più ampio possibile al fine di attuare e rispettare le disposizioni imperative delle Leggi applicabili. Le Parti concordano che il presente DPA debba essere interpretato in modo da favorire il loro intento di ottemperare alle Leggi applicabili e, pertanto, qualsiasi ambiguità dovrà essere risolta a favore di un'interpretazione conforme e coerente con le Leggi applicabili.

Il presente Accordo sulla protezione dei dati sarà regolato dalla legge applicabile della Provincia dell'Ontario.

Condizioni di servizio per il Regno Unito, compreso l'Accordo sulla privacy dei dati

I presenti Termini e condizioni (“Termini”) relativi al Contratto di collaborazione (“Contratto”) sono stipulati tra Zima Labs GB Ltd., operante con il nome commerciale Dandy (“Dandy”o“noi”), e l’utente e il suo studio dentistico (“Utente”) e hanno efficacia a partire dalla data di stipula del Contratto di collaborazione (“Data di entrata in vigore”). Se l’utente accetta i presenti Termini per conto di un’entità, una partnership, una società o un’organizzazione, il termine “utente” include l’utente stesso, tale entità e tutti gli utenti dell’entità e l’utente dichiara con la presente di avere l’autorità di vincolare tutti tali utenti. Dandy e l’utente saranno denominati singolarmente “Parte” e collettivamente “Parti”. A fronte di un corrispettivo valido e adeguato come stabilito nel Contratto, le Parti concordano quanto segue:

1. Modifiche. I presenti Termini e il Contratto non possono essere modificati se non previo consenso scritto di entrambe le Parti. Dandy ti comunicherà eventuali modifiche sostanziali. Le modifiche entreranno in vigore trenta (30) giorni dopo la notifica, a meno che tu non recedi per iscritto. In tali casi, Dandy continuerà ad applicare i termini esistenti per 60 giorni o fino alla restituzione dell'Hardware.

2. Accordo completo. Il Contratto di collaborazione, i presenti Termini, l'Accordo sulla protezione dei dati (Allegato A) e la Politica IT costituiscono l'accordo completo. Il presente Accordo sostituisce tutti i precedenti accordi in contrasto con esso.

3. Intrasferibilità. Non è consentito trasferire o cedere il presente Contratto a terzi senza il previo consenso scritto di Dandy.

4. Conformità normativa. Entrambe le Parti si impegnano a rispettare tutte le leggi vigenti in materia di salute e protezione dei dati nel Regno Unito, ivi inclusi il GDPR britannico, il Data Protection Act 2018, le norme regolamentari pertinenti del NHS e del GDC, nonché quelle della Care Quality Commission (CQC).

5. Indennizzo. L'utente si impegna a indennizzare, difendere e manlevare Dandy da qualsiasi rivendicazione o perdita derivante da: (a) violazione del presente Contratto o dell'Accordo sulla protezione dei dati (DPA); (b) negligenza o atti dolosi relativi all'assistenza ai pazienti; (c) fornitura di dati clinici errati; e (d) rapporti con le autorità di regolamentazione del Regno Unito (ad esempio, CQC, GDC o ICO).

6. Legge applicabile e risoluzione delle controversie. Il presente Contratto è regolato dalle leggi dell'Inghilterra e del Galles. Eventuali controversie saranno risolte mediante arbitrato secondo il Regolamento della Corte di Arbitrato Internazionale di Londra (LCIA). La sede dell'arbitrato sarà Londra.

7. IVA e imposte. Dandy applicherà l'imposta sul valore aggiunto (IVA) all'aliquota vigente, ove applicabile. Qualora l'utente sia esente, dovrà fornire un certificato di esenzione IVA valido o una prova ritenuta soddisfacente dall'HMRC.

8. Protezione dei dati. Poiché Dandy tratta per conto dell'utente dati di categorie particolari (dati sanitari personali), l'Accordo sulla protezione dei dati (DPA) riportato nell'Allegato A costituisce parte integrante e obbligatoria del presente Contratto.

Ruoli in materia di protezione dei dati. Le Parti riconoscono che:

• Dandy UK (Zima Labs GB Ltd.) agisce in qualità di titolare del trattamento dei dati personali del personale dello studio e dei propri contatti commerciali, come specificato nella propria Informativa sulla privacy per il Regno Unito.
• Lo studio funge da titolare del trattamento per tutti i dati personali dei pazienti.
• Dandy agisce in qualità di responsabile del trattamento dei dati quando fornisce la propria piattaforma e i servizi del laboratorio digitale allo studio.

Contatto per la protezione dei dati. Qualsiasi comunicazione o richiesta relativa alla privacy ai sensi del presente Accordo deve essere indirizzata al Responsabile della protezione dei dati (DPO) di Dandy, Tony Riesen, all'indirizzo [email protected].

---

Allegato A: Accordo sulla protezione dei dati

Il presente Accordo sui trattamenti dei dati (DPA) è integrato nell'Accordo nei casi in cui Dandy agisca in qualità di Responsabile del trattamento per conto dello Studio (Titolare del trattamento). La natura, le finalità e la durata del trattamento sono descritte nell'Allegato 1 (Dettagli sul trattamento dei dati).

1. Definizioni

• Per «normativa applicabile» si intendono il GDPR del Regno Unito e il Data Protection Act 2018.
• Il termine «violazione dei dati personali» ha il significato attribuitogli dal GDPR del Regno Unito.
• Per «dati di categoria speciale» si intendono i dati personali che rivelano informazioni relative alla salute, dati biometrici o genetici.
• Per «dati personali» si intendono i dati personali (come definiti dal GDPR del Regno Unito) trattati da Dandy per conto del Titolare del trattamento.
• Il termine «interessato» ha il significato attribuitogli dal GDPR del Regno Unito.

2. Argomento e istruzioni

Dandy tratterà i dati personali esclusivamente sulla base delle istruzioni documentate del Titolare del trattamento (lo Studio), anche per quanto riguarda i trasferimenti di dati personali verso un paese terzo, salvo nei casi in cui ciò sia richiesto dalla legislazione del Regno Unito. Qualora Dandy ritenga che una qualsiasi istruzione violi le leggi applicabili, ne informerà immediatamente il Titolare del trattamento.

Il Titolare del trattamento deve garantire di disporre di una base giuridica per ogni trasmissione di dati personali e di un fondamento giuridico per il trattamento di tutti i dati appartenenti a categorie particolari.

3. Obblighi di Dandy (il responsabile del trattamento)

• Riservatezza: Dandy garantisce che le persone autorizzate al trattamento dei dati personali si siano impegnate a rispettarne la riservatezza.
• Sub-responsabili del trattamento: Dandy rimane pienamente responsabile dell'operato dei sub-responsabili del trattamento. Un elenco dei sub-responsabili del trattamento autorizzati da Dandy è disponibile su richiesta.
• Diritti degli interessati: Dandy fornirà assistenza al Titolare del trattamento adottando misure tecniche e organizzative adeguate per consentire al Titolare di adempiere all'obbligo di rispondere alle richieste di esercizio dei diritti degli interessati (ad esempio, le richieste di accesso ai dati).
• Assistenza: Dandy fornirà al Titolare del trattamento l'assistenza ragionevole necessaria per adempiere agli obblighi previsti dalle leggi in materia di protezione dei dati, anche in relazione alla sicurezza del trattamento, alla notifica di una violazione dei dati personali all'autorità competente in materia di protezione dei dati o agli interessati, alle valutazioni d'impatto sulla protezione dei dati e alla consultazione preventiva con l'autorità competente in materia di protezione dei dati.
• Sicurezza: Dandy adotterà le misure richieste ai sensi dell'articolo 32 del GDPR del Regno Unito, comprese la crittografia e la pseudonimizzazione, ove opportuno.
• Audit e ispezioni: Dandy dovrà mettere a disposizione tutte le informazioni necessarie a dimostrare la conformità all’articolo 28 del GDPR del Regno Unito e dovrà consentire e collaborare agli audit, comprese le ispezioni, condotti dal Titolare del trattamento ( “Auditin loco”). Qualsiasi Audit in loco dovrà essere condotto previa comunicazione scritta a Dandy con un preavviso di 60 giorni e non più di una volta per anno solare. Le parti si adopereranno ragionevolmente per garantire che gli audit in loco non incidano in modo irragionevole sulle operazioni di Dandy. Il Titolare del trattamento sosterrà i costi di eventuali audit in loco.

4. Trasferimenti internazionali

Dandy non trasferirà i dati personali al di fuori del Regno Unito o del SEE, a meno che non garantisca che il trasferimento sia soggetto a «garanzie adeguate» (come l'Accordo sul trasferimento internazionale dei dati del Regno Unito (IDTA) o una decisione di adeguatezza del governo britannico).

5. Notifica delle violazioni

Dandy dovrà informare il Titolare del trattamento senza indebito ritardo (e comunque entro 48 ore) dal momento in cui venga a conoscenza di una violazione dei dati personali che abbia interessato tali dati, fornendo informazioni sufficienti a consentire al Titolare del trattamento di adempiere agli obblighi di segnalazione nei confronti dell'autorità competente in materia di protezione dei dati.

6. Cancellazione o restituzione

A discrezione del Titolare del trattamento, Dandy provvederà a cancellare o restituire tutti i Dati personali al Titolare del trattamento al termine della prestazione dei servizi e a cancellare le copie esistenti, salvo nei casi in cui la legislazione del Regno Unito ne imponga la conservazione.

---

ALLEGATO 1: DETTAGLI SUL TRATTAMENTO DEI DATI

• Oggetto, natura e finalità: la fornitura dei servizi a Vostro favore ai sensi del Contratto di prestazione professionale.
• Durata: la durata dell'accordo di collaborazione più il periodo necessario alla cancellazione di tutti i dati.
• Categorie di interessati: pazienti e utenti finali autorizzati del cliente.
• Tipi di dati personali: nomi, indirizzi e-mail, indirizzi professionali, numeri di iscrizione all'albo professionale e (se del caso) cartelle cliniche/scansioni dei pazienti.

---

Condizioni di servizio, compresa l'Informativa sulla privacy

I presenti termini e condizioni (“Condizioni”) dell’Accordo di Collaborazione sono stipulati tra Dandy Labs Europe SAS (precedentemente denominata Dandy Labs France SAS) (“Dandy”o“Noi”) e Lei e il Suo studio o clinica odontoiatrica (“Lei”o la“Clinica Odontoiatrica”) e avranno efficacia a partire dalla data di formalizzazione dell’Accordo di Collaborazione (“Data di Entrata in Vigore”). Se Lei accetta le presenti Condizioni per conto di un’entità, società, corporazione o organizzazione, il termine “Lei” include Lei, tale entità e tutti gli utenti dell’entità, e Lei dichiara di avere l’autorità di vincolare ciascuno di tali utenti. Dandy e Lei saranno denominati singolarmente“Parte”e congiuntamente“Parti”. Tenendo conto del corrispettivo, valido e sufficiente, stabilito nell'Accordo di Collaborazione, le Parti stabiliscono quanto segue:

1. Modifica. Le presenti Condizioni e l'Accordo di Collaborazione potranno essere modificati mediante accordo scritto tra le Parti. Le presenti Condizioni e l'Accordo di Collaborazione potranno inoltre essere modificati da Dandy, che provvederà a notificare qualsiasi modifica sostanziale. Tali modifiche sostanziali entreranno in vigore trenta (30) giorni dopo la loro notifica, a meno che l'Utente non risolva il contratto mediante comunicazione scritta entro tale termine. In tali casi, Dandy rispetterà le Condizioni in vigore per sessanta (60) giorni o fino alla restituzione dell'Attrezzatura.

2. Accordo completo: l'Accordo di collaborazione, le presenti Condizioni, l'Informativa sulla privacy dell'UE, l'Accordo sul trattamento dei dati (“ATD”) (Allegato A) e la Politica IT costituiscono il“Contratto”. Il presente Contratto sostituisce tutti gli accordi precedenti contenenti disposizioni in contrasto con esso.

3. Intrasferibilità. L'utente non potrà cedere né trasferire il Contratto di collaborazione a terzi senza il previo consenso scritto di Dandy.

4. Conformità normativa. Entrambe le parti si impegnano a rispettare tutte le leggi vigenti in materia di salute e protezione dei dati nella giurisdizione in cui sia Lei che Dandy avete sede, le norme regolamentari pertinenti emanate dalle autorità europee e nazionali, nonché le linee guida stabilite dagli organismi di regolamentazione professionali.

5. Esclusione di responsabilità. L'utente indennizzerà, difenderà e manleverà Dandy da qualsiasi reclamo o perdita derivante da: (a) violazione da parte dell'utente del Contratto; (b) negligenza o atti intenzionali in relazione alla cura del paziente; (c) fornitura di dati clinici errati; e (d) rapporti con le autorità di regolamentazione dell'UE o nazionali.

6. Legge applicabile e foro competente.

1. Legge applicabile. L'utente accetta che le presenti Condizioni siano regolate e interpretate in conformità con la legislazione della giurisdizione in cui ha sede la Clinica Dentale.
2. Foro competente. Qualsiasi controversia derivante da o relativa alle presenti Condizioni sarà sottoposta alla competenza esclusiva dei tribunali della giurisdizione in cui ha sede la Clinica Dentale, secondo la seguente tabella:

Paese	Competenza
Francia	Tribunale delle attività economiche di Parigi
Spagna	Tribunali di Madrid

7. IVA e imposte. Dandy addebiterà l'imposta sul valore aggiunto (“IVA”) all'aliquota applicabile, oltre a qualsiasi prezzo, costo o importo dovuto ai sensi del Contratto, e tale IVA sarà a carico dell'utente, ove applicabile. Se Lei è esente, dovrà fornire un certificato di esenzione IVA valido o la documentazione ritenuta soddisfacente dall’amministrazione fiscale competente, ove disponibile, oppure giustificare il motivo dell’esenzione IVA.

8. Protezione dei dati. Tenendo conto del fatto che Dandy tratta dati, compresi quelli relativi alla salute (“Dati personali”), per suo conto:

Funzioni in materia di protezione dei dati: Le Parti riconoscono che:

• Dandy Labs Europe SAS (precedentemente denominata Dandy Labs France SAS) agisce in qualità di titolare del trattamento dei dati personali ai sensi delle presenti Condizioni e in relazione al personale e ai contatti commerciali della Clinica Dentale, come specificato nella sua Informativa sulla privacy UE [LINK].
• Dandy Labs Europe SAS (precedentemente denominata Dandy Labs France SAS) agisce in qualità di responsabile del trattamento fornendo la propria piattaforma e i propri servizi di laboratorio digitale, come stabilito nell'Allegato A, il che comprende il trattamento di tutti i dati personali dei pazienti.

Contatto per la protezione dei dati. Qualsiasi comunicazione o richiesta relativa alla privacy ai sensi del presente Contratto dovrà essere indirizzata al Responsabile della protezione dei dati (“RPD”) di Dandy, Tony Riesen, all’indirizzo [email protected]

Allegato A: Accordo sul trattamento dei dati (ATD)

     Il presente ATD si integra nel Contratto nei casi in cui Dandy agisca in qualità di responsabile del trattamento per conto della Clinica Dentale, in qualità di titolare del trattamento. La natura, le finalità e la durata del trattamento sono definite nell'Allegato 1 (“Dettagli sul trattamento dei dati”).

1. Definizioni

• Per «Legislazione applicabile»si intende l'insieme delle norme vigenti che disciplinano il trattamento e la sicurezza dei dati personali, nonché la riservatezza delle comunicazioni elettroniche, inclusi, a titolo esemplificativo ma non esaustivo: (i) il Regolamento (UE) 2016/679, del 27 aprile 2016 (il RGPD); (ii) la Direttiva 2002/58/CE, del 12 luglio 2002 (la Direttiva sulla privacy elettronica); (iii) le leggi nazionali che recepiscono e integrano le leggi dell'UE a cui si fa riferimento nella presente definizione, e (iv) le disposizioni pertinenti delle leggi nazionali in materia di salute, ciascuna delle quali (da i) a iv) così come modificata e/o integrata di volta in volta. 
• Il termine«violazione della sicurezza dei dati personali»ha il significato attribuitogli dal RGPD. 
• Per «dati di categoria speciale» si intendono le categorie di dati personali di cui all'articolo 9 del RGPD (compresi, tra l'altro, i dati personali relativi alla salute, i dati biometrici o i dati utilizzati al fine di identificare in modo univoco una persona fisica, nonché i dati genetici).
• Per «Dati personali» si intendono i dati personali (secondo la definizione del GDPR) trattati da Dandy per conto della Clinica Dentale.
• Il termine«interessato»ha il significato attribuitogli dal GDPR. 

2. Scopo e istruzioni

Dandy tratterà i dati personali esclusivamente seguendo le istruzioni documentate fornite dalla Clinica Dentale, anche per quanto riguarda i trasferimenti di dati personali verso un paese terzo, salvo nei casi in cui ciò sia richiesto dalle leggi applicabili. Qualora Dandy ritenga che una determinata istruzione violi la legge applicabile, ne informerà immediatamente la Clinica Dentale. 

La Clinica Dentale si assicurerà di disporre di una base giuridica, ai sensi dell'articolo 6 del RGPD, per il trattamento dei dati personali, nonché di una deroga, ai sensi dell'articolo 9 del RGPD, per il trattamento dei dati sensibili, nel contesto previsto dal presente ATD.

3. Obblighi di Dandy (il “Responsabile del trattamento”)

• Riservatezza: Dandy garantisce che le persone autorizzate al trattamento dei dati personali si sono impegnate a rispettarne la riservatezza. 
• Subresponsabili del trattamento: la Clinica Dentale concede con la presente a Dandy un'autorizzazione generale scritta a incaricare subresponsabili del trattamento. È possibile richiedere un elenco degli attuali subresponsabili del trattamento di Dandy. Dandy informerà la Clinica Dentale di qualsiasi cambiamento previsto relativo all'inserimento o alla sostituzione di altri sub-responsabili del trattamento, dando così alla Clinica Dentale la possibilità di opporsi a tali cambiamenti. Dandy continuerà ad essere pienamente responsabile delle prestazioni dei propri sub-responsabili del trattamento.
• Diritti degli interessati: Dandy fornirà assistenza alla Clinica Dentale attraverso misure tecniche e organizzative adeguate affinché quest'ultima possa adempiere al proprio obbligo di rispondere alle richieste di esercizio dei diritti degli interessati (ad esempio, richieste di accesso).
• Assistenza: Dandy fornirà l'assistenza ragionevole necessaria affinché la Clinica Dentale adempia ai propri obblighi ai sensi della Legge Applicabile, inclusi quelli relativi alla sicurezza del trattamento, alla notifica di una Violazione della Sicurezza dei Dati Personali all'autorità di controllo competente e/o agli interessati, alla redazione di valutazioni relative alla protezione dei dati e alla consultazione preventiva con l'autorità competente in materia di protezione dei dati.
• Sicurezza: Dandy applicherà le misure previste dall'articolo 32 del RGPD, come specificato nell'Allegato 2.
• Audit e ispezioni: Dandy fornirà tutte le informazioni necessarie a dimostrare la conformità all’articolo 28 del RGPD e consentirà e collaborerà agli audit, comprese le ispezioni, effettuati dalla Clinica Dentale (“Audit in presenza”). Qualsiasi Audit in Presenza sarà effettuato previa notifica scritta a Dandy con sessanta (60) giorni di anticipo, e non più di una volta per anno solare. Le Parti faranno tutto il possibile per garantire che gli Audit in Presenza non incidano in modo sproporzionato sulle operazioni di Dandy. La Clinica Dentale si farà carico dei costi degli Audit in Presenza.

4. Bonifici internazionali

Dandy non trasferirà dati personali al di fuori del SEE, a meno che non sia garantito che il trasferimento sia soggetto a «garanzie adeguate» (come una decisione di adeguatezza della Commissione europea).

5. Notifica di violazione della sicurezza dei dati personali

Dandy informerà la Clinica Dentale senza indebito ritardo (e, in ogni caso, entro un termine massimo di quarantotto (48) ore) dal momento in cui venga a conoscenza di una violazione della sicurezza dei dati personali che riguardi i dati personali, fornendo informazioni sufficienti affinché la Clinica Dentale possa adempiere ai propri obblighi di notifica nei confronti dell'autorità di controllo competente.

6. Annullamento o rimborso. 

A discrezione della Clinica Dentale, Dandy provvederà a cancellare o restituire tutti i Dati Personali alla Clinica Dentale una volta terminata la prestazione dei servizi, e provvederà a cancellare le copie esistenti, salvo che la legge applicabile ne imponga la conservazione.

Politica informatica relativa alle attrezzature fornite da Dandy alla clinica odontoiatrica

La presente politica si applica esclusivamente alle cliniche dentistiche che utilizzano il proprio computer portatile e il proprio scanner nell'ambito della loro collaborazione con Dandy.

Politica sui sistemi standard:

Al fine di garantire la qualità e la coerenza dell'invio dei casi a Dandy Labs, l'utente si impegna a rispettare i seguenti requisiti relativi alla propria infrastruttura informatica:

1. L'utente si impegna a utilizzare esclusivamente lo scanner intraorale 3Shape Intraoral Scanner, TRIOS 4 o Intraoral Scanner.
2. L'utente si impegna a garantire una connessione Wi-Fi stabile con una velocità di almeno 15 Mbps in upload e 15 Mbps in download in tutte le sedi in cui vengono inviati i casi.
3. L'utente si impegna a utilizzare un computer dotato dello scanner intraorale 3Shape che soddisfi i seguenti requisiti di sistema:
4. Requisiti minimi del PC:

• Processore: i7-10850H
• Memoria: 16 GB DDR4
• Memoria: 256 GB
• Scheda grafica: Quadro T1000 (4 GB)
• Sistema operativo: Windows 11 Pro

Configurazione consigliata:

• Processore: i7 12850HX
• Memoria: 32 GB DDR5
• Disco: SSD da 1 TB
• Scheda grafica: NVIDIA® A3000
• Sistema operativo: Windows 11 Pro
• Assicurati di avere una webcam funzionante

1. L'utente si impegna ad aggiornare il software Trios alla versione 1.7.19.1 o superiore.
2. L'utente si impegna a salvare e inviare tutti i file relativi ai casi nella memoria locale del computer.
3. L'utente si impegna a concedere a Splashtop l'accesso a EasyAccess al team di assistenza clienti di Dandy tramite una password condivisa concordata di comune accordo, che rimarrà valida per tutta la durata del rapporto.
4. L'utente si impegna a installare DandyUploader in un profilo utente locale e a utilizzare tale profilo locale nell'ambito dell'utilizzo del software TRIOS.
5. L'utente si impegna a consentire l'accesso ai seguenti percorsi di file qualora utilizzi un software antivirus:

• C:\Utenti\Dandy\AppData\Roaming\DandyUploader
• C:\Utenti\Dandy\AppData\Roaming\@orthly
• C:\Programmi\Chairside
• C:\Programmi\DandyUploader
• C:\Programmi\UploaderMedit

6. Se il vostro studio dentistico dispone di un firewall di rete, sia esso fisico o basato sul web, consentite l'accesso a tutto il traffico sui seguenti domini:

• *.meetdandy.com
• orthly.com
• *.orthly.com
• dandyserv.net
• *.dandyserv.net
• *dandy.dental
• .api.splashtop.com

• Porta 443
• Consentire sia HTTP su TLS che protocolli diversi da HTTP su TLS

Condizioni generali + ADP

Le presenti condizioni generali («Condizioni Generali») dell’Accordo di Collaborazione sono stipulate tra Dandy Labs Europe SAS (precedentemente Dandy Labs France SAS) («Dandy » o «Noi») e l’utente, nonché il suo studio o clinica odontoiatrica («L’utente» o lo «Studio»), ed entrano in vigore alla data di stipula dell’Accordo di Collaborazione (la «Data di Entrata in Vigore»). Se Lei accetta le presenti Condizioni Generali per conto di un’entità, di una società di persone, di una società o di un’organizzazione,«Lei»indica Lei, detta entità e tutti gli utenti dell’entità, e Lei dichiara di avere il potere di vincolare tutti questi utenti. Dandy e l’Utente saranno denominati singolarmente«Parte»e, collettivamente,«Parti». In cambio delle disposizioni del Contratto di Collaborazione, le Parti concordano quanto segue:

1. Modifiche. Le presenti Condizioni Generali e l’Accordo di Collaborazione possono essere modificati di comune accordo scritto tra le Parti. Possono inoltre essere modificate da Dandy, che Vi informerà di qualsiasi modifica sostanziale. Tali modifiche sostanziali entreranno in vigore trenta (30) giorni dopo la loro notifica, a meno che non recediate dal contratto mediante comunicazione scritta entro tale termine. In tal caso, Dandy continuerà ad applicare le Condizioni Generali in vigore per sessanta (60) giorni o fino alla restituzione dell’Attrezzatura.

2. Integralità del contratto. L’Accordo di collaborazione, le presenti Condizioni generali, l’Informativa sulla privacy, l’Accordo sulla protezione dei dati («APD» ) (Allegato B) e le Politiche informatiche costituiscono l’integralità del contratto (il«Contratto»). Il presente Contratto sostituisce e annulla qualsiasi accordo precedente in contrasto con esso.

3. Incedibilità. Non è consentito trasferire o cedere il Contratto di collaborazione a terzi senza il previo consenso scritto di Dandy.

4. Conformità normativa. Le Parti si impegnano a rispettare tutte le leggi vigenti in materia di salute e protezione dei dati nella giurisdizione in cui sia l’Utente che Dandy hanno sede, le norme regolamentari pertinenti emanate dalle autorità europee e nazionali, nonché le linee guida pubblicate dagli organismi di regolamentazione professionale.

5. Indennizzo. L'utente si impegna a indennizzare, difendere ed esonerare Dandy da qualsiasi responsabilità in relazione a qualsiasi reclamo o perdita derivante da: (a) una violazione del Contratto da parte dell'utente; (b) da qualsiasi negligenza o atto intenzionale relativo alle cure prestate ai pazienti; (c) dalla fornitura di dati clinici inesatti; e (d) dai vostri rapporti con le autorità di regolamentazione dell'Unione Europea o nazionali.

6. Diritto applicabile e foro competente. 

1. Legge applicabile. L'utente accetta che le presenti Condizioni generali siano regolate e interpretate in conformità con le leggi della giurisdizione in cui ha sede.

2. Competenza giurisdizionale. Qualsiasi controversia derivante dalle presenti Condizioni Generali o ad esse correlata sarà sottoposta alla competenza esclusiva dei tribunali della giurisdizione applicabile in cui l'Utente è domiciliato, come indicato nella tabella sottostante.

Paesi	Giurisdizione competente
Francia	Tribunale delle attività economiche di Parigi
Spagna	Tribunali di Madrid

7. IVA e fiscalità. Dandy addebiterà l’imposta sul valore aggiunto («IVA») all’aliquota applicabile, in aggiunta a qualsiasi prezzo, costo, onere o importo dovuto ai sensi del Contratto, e tale IVA sarà, se del caso, a Vostro carico. Se beneficiate di un'esenzione, dovrete fornire un certificato di esenzione IVA valido o qualsiasi documento giustificativo ritenuto soddisfacente dall'amministrazione fiscale competente, qualora tale documento sia disponibile, oppure giustificare il fondamento di qualsiasi esenzione IVA.

8. Protezione dei dati. Nella misura in cui Dandy tratta, per vostro conto, dati personali («Dati Personali»), compresi i dati sanitari, l’accordo di subappalto in materia di protezione dei dati riportato nell’Allegato B costituisce una parte integrante del presente Contratto.

Ruoli in materia di protezione dei dati. Le Parti riconoscono che:

• Dandy Labs Europe SAS (precedentemente Dandy Labs France SAS) agisce in qualità di titolare del trattamento dei dati personali trattati ai sensi delle presenti Condizioni Generali relative al personale dello Studio e ai suoi contatti commerciali (in conformità con la propria Informativa sulla privacy).
• Dandy Labs Europe SAS (precedentemente Dandy Labs France SAS) agisce in qualità di responsabile del trattamento quando fornisce all’utente la propria piattaforma e i propri servizi di laboratorio digitale, in conformità con l’Allegato B, ivi compreso il trattamento di tutti i dati personali dei pazienti.

Responsabile della protezione dei dati. Qualsiasi comunicazione o richiesta relativa alla protezione dei dati ai sensi del presente Contratto deve essere indirizzata al Responsabile della protezione dei dati di Dandy («RPD» ), Tony Riesen, all’indirizzo [email protected].

Allegato B: Contratto di subappalto in materia di protezione dei dati 

Il presente accordo in materia di protezione dei dati («DPA») è parte integrante del Contratto qualora Dandy agisca in qualità di responsabile del trattamento per conto dello Studio, che agisce in qualità di titolare del trattamento. La natura, le finalità e la durata del trattamento sono specificate nell'Allegato B(1) («Dettagli sul trattamento dei dati»).

1. Definizioni

• Per «Legislazione applicabile» si intende l'insieme delle norme vigenti che disciplinano il trattamento e la sicurezza dei dati personali, nonché la riservatezza delle comunicazioni elettroniche, inclusi, a titolo esemplificativo ma non esaustivo: (i) il regolamento (UE) 2016/679 del 27 aprile 2016 (il«GDPR»), (ii) la direttiva 2002/58/CE del 12 luglio 2002 (la «Direttiva ePrivacy»), (iii) le leggi nazionali che attuano e integrano i testi dell'UE citati nella presente definizione, e (iv) le disposizioni pertinenti delle legislazioni nazionali in materia di salute, ciascuno dei punti da (i) a (iv) come modificato e/o integrato, se del caso.

• « Violazione dei dati personali » ha il significato attribuitogli dal RGPD.

• Per«dati personali sensibili»si intendono le categorie di dati personali di cui all'articolo 9 del RGPD (compresi, in particolare, i dati personali relativi alla salute, i dati biometrici utilizzati per identificare in modo univoco una persona fisica, nonché i dati genetici).

• Per«Dati personali»si intendono i dati personali (come definiti dal GDPR) trattati da Dandy per conto dello Studio.

• Il termine «interessato» ha il significato attribuitogli dal GDPR.

2. Oggetto e istruzioni

Dandy tratta i dati personali esclusivamente sulla base di istruzioni documentate fornite dallo Studio, anche per quanto riguarda i trasferimenti di dati personali verso un paese terzo, salvo che le leggi applicabili non impongano altri trattamenti. Qualora Dandy ritenga che un'istruzione dello Studio violi le leggi applicabili, ne informa immediatamente lo Studio.

Lo Studio si assicura di disporre di una base giuridica ai sensi dell’articolo 6 del GDPR per il trattamento di tutti i dati personali, nonché di una deroga ai sensi dell’articolo 9 del GDPR per il trattamento dei dati personali sensibili, nell’ambito di qualsiasi trattamento previsto dal presente Accordo sui principi di protezione dei dati (DPA).

3. Obblighi di Dandy (il «Subappaltatore»)

• Riservatezza: Dandy garantisce che le persone autorizzate al trattamento dei dati personali si siano impegnate a rispettarne la riservatezza.
• Subappaltatori di secondo livello: con la presente lo Studio concede a Dandy un'autorizzazione scritta generale a ricorrere a subappaltatori di secondo livello. Un elenco degli attuali subappaltatori di secondo livello di Dandy è disponibile su richiesta. Dandy informerà lo Studio di qualsiasi modifica prevista relativa all’aggiunta o alla sostituzione di un subappaltatore di secondo livello, dando così allo Studio la possibilità di opporsi a tali modifiche. Dandy rimane pienamente responsabile delle prestazioni dei propri subappaltatori di secondo livello.

• Diritti degli interessati: Dandy assiste lo Studio, attraverso misure tecniche e organizzative adeguate, al fine di consentire allo Studio di adempiere al proprio obbligo di rispondere alle richieste di esercizio dei diritti da parte degli interessati (ad esempio, le richieste di accesso).
• Assistenza: Dandy fornisce un’assistenza adeguata, in base alle necessità, al fine di consentire allo Studio di adempiere ai propri obblighi ai sensi delle Leggi Applicabili, in particolare per quanto riguarda la sicurezza del trattamento, la notifica di una violazione dei dati personali all’autorità di controllo competente e/o agli interessati, l’elaborazione di valutazioni d’impatto relative alla protezione dei dati, nonché la consultazione preventiva dell’autorità di controllo competente.
• Sicurezza: Dandy adotta le misure previste dall'articolo 32 del RGPD, come descritto più dettagliatamente nell'Allegato B(2).
• Audit e ispezioni: Dandy mette a disposizione tutte le informazioni necessarie per dimostrare la conformità all’articolo 28 del GDPR e autorizza e collabora agli audit, comprese le ispezioni, condotti dallo Studio («Audit in loco»). Ogni Audit in loco sarà condotto previo preavviso scritto di sessanta (60) giorni inviato a Dandy, e al massimo una (1) volta per anno civile. Le Parti si adopereranno in modo ragionevole affinché gli Audit in loco non incidano in modo irragionevole sulle operazioni di Dandy. Lo Studio sosterrà i costi di ogni Audit in loco.

4. Trasferimenti internazionali

Dandy non trasferirà dati personali al di fuori dello Spazio economico europeo («SEE») a meno che non si accerti che il trasferimento sia soggetto a «garanzie adeguate» (come una decisione di adeguatezza della Commissione europea).

5. Notifica di una violazione dei dati personali

Dandy informerà lo Studio senza indebito ritardo (e in ogni caso entro quarantotto (48) ore) dal momento in cui venga a conoscenza di una violazione dei dati personali che interessi i dati personali, fornendo informazioni sufficienti a consentire allo Studio di adempiere a qualsiasi obbligo di notifica nei confronti dell'autorità competente per la protezione dei dati.

6. Soppressione o restituzione

A discrezione dello Studio, Dandy provvederà a cancellare o a restituire allo Studio tutti i dati personali al termine della prestazione dei servizi e a cancellare le copie esistenti, salvo nei casi in cui le leggi applicabili ne impongano la conservazione continuativa.

---

Allegato B(1): DETTAGLI SUL TRATTAMENTO DEI DATI

• Oggetto e finalità: la prestazione di servizi allo Studio ai sensi dell'Accordo di collaborazione.
• Natura: raccolta, registrazione, organizzazione, strutturazione, conservazione e, se del caso, cancellazione dei dati personali.
• Durata: la durata dell'Accordo di collaborazione, maggiorata del periodo necessario alla cancellazione di tutti i dati. 
• Categorie di soggetti interessati: i pazienti e gli utenti finali autorizzati dello studio.
• Tipi di dati personali: nomi, indirizzi e-mail, indirizzi, numeri di iscrizione all'albo professionale e dati sanitari dei pazienti (compresi, in particolare, dati relativi agli appuntamenti, cartelle cliniche e scansioni dentali).

---

Allegato B(2): MISURE DI SICUREZZA 

• Misure di controllo degli accessi, comprese restrizioni basate sui ruoli e meccanismi di autenticazione volti a limitare l'accesso ai dati personali esclusivamente al personale autorizzato.
• Controlli di sicurezza della rete e dell'infrastruttura, compresa la protezione perimetrale, nonché meccanismi di monitoraggio e registrazione.
• Protezione delle postazioni di lavoro (endpoint) e strumenti anti-malware implementati sui sistemi interessati.
• Misure di sicurezza dei dati, tra cui la crittografia e/o altre misure di protezione, a seconda di quanto sia opportuno in considerazione della natura dei dati trattati.
• Processo di gestione delle patch e delle vulnerabilità volto a garantire la sicurezza dei sistemi e a risolvere le vulnerabilità individuate.
• Politiche e procedure, comprese le politiche in materia di sicurezza delle informazioni e di gestione degli incidenti.
• Misure di sensibilizzazione del personale, compresi corsi di formazione sugli obblighi in materia di protezione dei dati e sicurezza delle informazioni.
• Pratiche di sviluppo software sicure, tra cui la revisione del codice, i test di sicurezza e i processi di implementazione controllati.
• Misure di sicurezza dei dati, in particolare la crittografia dei dati in transito e inattivi, ove applicabile, nonché pratiche sicure di gestione delle informazioni riservate e delle chiavi.

Politica informatica relativa alle attrezzature fornite agli studi dentistici e ai dentisti

La presente politica si applica esclusivamente agli studi dentistici e ai dentisti che utilizzano il proprio computer portatile e il proprio scanner nell'ambito della loro collaborazione con Dandy.

Politica relativa ai sistemi standard:

Al fine di garantire la qualità e la coerenza dei dossier presentati a Dandy Labs, l'utente si impegna a rispettare i seguenti requisiti relativi alla propria infrastruttura informatica:

1. L'utente accetta di utilizzare esclusivamente lo scanner intraorale 3Shape TRIOS 3, TRIOS 4 o TRIOS 5.
2. L'utente si impegna a garantire una connessione Wi-Fi stabile con una velocità in upload di almeno 15 Mbps e una velocità in download di almeno 15 Mbps in tutti i luoghi in cui vengono inviati i file.
3. L'utente accetta di utilizzare, insieme allo scanner intraorale 3Shape, un computer che soddisfi i seguenti requisiti di sistema:
4. PC (requisiti minimi):
   • Processore: i7-10850H
   • Memoria: 16 GB DDR4
   • Disco rigido: 256 GB
   • Scheda grafica: Quadro T1000 (4 GB)
   • Sistema operativo: Windows 11 Pro

PC consigliato:

• Processore: i7 12850HX
• Memoria: 32 GB DDR5
• Disco: SSD da 1 TB
• Scheda grafica: NVIDIA® A3000
• Sistema operativo: Windows 11 Pro
• Disporre di una webcam funzionante

1. L'utente accetta di aggiornare il software TRIOS alla versione 1.7.19.1 o successiva.
2. L'utente accetta di salvare e trasferire tutti i file nella memoria locale del computer.
3. L'utente accetta di concedere al team del servizio clienti di Dandy l'accesso a Splashtop tramite EasyAccess, utilizzando una password condivisa concordata di comune accordo, che rimarrà valida per tutta la durata del rapporto.
4. L'utente accetta di installare DandyUploader nel profilo di un utente locale e di utilizzare tale profilo locale nell'ambito dell'utilizzo del software TRIOS.
5. Se si utilizza un software antivirus, si acconsente a consentire l'accesso al seguente percorso:

• C:\Utenti\Dandy\AppData\Roaming\DandyUploader
• C:\Utenti\Dandy\AppData\Roaming\@orthly
• C:\Programmi\Chairside
• C:\Programmi\DandyUploader
• C:\Programmi\UploaderMedit

6. Se il vostro studio dispone di un firewall di rete, sia esso fisico o online, vi preghiamo di autorizzare tutto il traffico verso i seguenti domini:

• *.meetdandy.com
• orthly.com
• *.orthly.com
• dandyserv.net
• *.dandyserv.net
• *dandy.dental
• .api.splashtop.com
  • Porta 443
  • Consentire sia il traffico HTTP su TLS che quello non HTTP su TLS