← Sicurezza

Sub-processor GDPR

Elenco completo dei terzi che trattano dati per conto di Hydradent (art. 28 par. 2 Regolamento UE 2016/679). Aggiornato il 2026-05-19.

Cosa significa per te

  • Ogni sub-processor ha un suo DPA firmato con Hydradent (linkato sotto)
  • Quando aggiungiamo/cambiamo un sub-processor, ti notifichiamo via email 30 giorni primadell'attivazione
  • Hai diritto di opporti (art. 28 par. 2): se non accetti il nuovo sub-processor, puoi recedere dal contratto Hydradent senza penali entro 30 giorni
  • Tutti i sub-processor con sede USA operano sotto Standard Contractual Clauses (SCC) approvate dalla Commissione UE + valutazione TIA (Transfer Impact Assessment) richiesta

Sub-processor attivi (12)

Convex

Attivo

Convex Inc. · USA (Delaware) · Aggiunto: 2025-12-01

Categoria
Infrastruttura
Sede dati
EU (Frankfurt, eu-west-1)
Scopo
Database transazionale + funzioni serverless. Memorizza schema completo Hydradent (pazienti, agenda, fatture, ecc.).
Tipologie dato
  • Anagrafica paziente (CF, nome, contatti, data nascita)
  • Anamnesi e note cliniche
  • Fatture e pagamenti
  • Appuntamenti
  • Tooth events e parodontogrammi
  • Audit log
Certificazioni
SOC 2 Type II

Backblaze B2

Attivo

Backblaze Inc. · USA (Delaware) · Aggiunto: 2026-05-19

Categoria
Storage
Sede dati
EU (Frankfurt, eu-central-003)
Scopo
Storage S3-compatible per file Imaging Cloud (DICOM, foto cliniche, CBCT, video, modelli 3D). I file sono cifrati at-rest server-side da Backblaze.
Tipologie dato
  • File imaging diagnostico (radiografie, foto cliniche, CBCT)
  • Modelli 3D scanner intraorali
  • Video endocamera
  • Referti PDF
Certificazioni
SOC 2 Type II · ISO 27001

Clerk

Attivo

Clerk Inc. · USA (Delaware) · Aggiunto: 2025-12-01

Categoria
Autenticazione
Sede dati
EU (eu-west-1 + replica USA per resilience)
Scopo
Identity provider per autenticazione studio (login, password reset, sessioni). NON ha accesso a dati paziente — solo identità staff studio.
Tipologie dato
  • Email staff studio
  • Nome cognome staff studio
  • Password hash (mai plaintext)
  • Session token
Certificazioni
SOC 2 Type II · ISO 27001

Resend

Attivo

Resend Inc. · USA (Delaware) · Aggiunto: 2026-05-18

Categoria
Comunicazione
Sede dati
EU (Ireland)
Scopo
Provider email transazionale per reminder appuntamenti, magic link portale paziente, notifiche share imaging, warning storage.
Tipologie dato
  • Email destinatario (paziente o staff)
  • Nome destinatario
  • Contenuto email (link, dati appuntamento)
Certificazioni
SOC 2 Type II

Aruba

Attivo

Aruba S.p.A. · Italia (Arezzo) · Aggiunto: 2025-12-01

Categoria
Comunicazione
Sede dati
Italia
Scopo
Provider SMTP fallback per email transazionali quando Resend non risponde. Fallback automatico, mai primary.
Tipologie dato
  • Email destinatario
  • Contenuto email
Certificazioni
ISO 27001 · ISO 9001 · ISO 27017

Groq

Attivo

Groq Inc. · USA (California) · Aggiunto: 2025-12-01

Categoria
Elaborazione AI
Sede dati
USA (Standard Contractual Clauses EU-US)
Scopo
AI inference (Whisper transcription visite + Llama 3.3 70B per note SOAP, anamnesi red flag, AI patient comms). Zero data retention contractual.
Tipologie dato
  • Audio registrazioni visita
  • Testo anamnesi/note cliniche
  • Allergie/clinical alerts
Certificazioni
SOC 2 Type II in progress

Cloudflare

Attivo

Cloudflare Inc. · USA (Delaware) · Aggiunto: 2025-12-01

Categoria
Elaborazione AI
Sede dati
EU + USA (load balanced)
Scopo
Workers AI fallback (Whisper + Llama) quando Groq down + Turnstile CAPTCHA su form pubblici (prenotazione, check-in, onboarding paziente).
Tipologie dato
  • Audio registrazioni (fallback Groq)
  • Testo anamnesi (fallback Groq)
  • Token CAPTCHA
Certificazioni
SOC 2 Type II · ISO 27001

Sentry

Attivo

Functional Software Inc. · USA (Delaware) · Aggiunto: 2026-05-15

Categoria
Monitoring
Sede dati
EU (Ireland)
Scopo
Error tracking + performance monitoring. Stack trace + breadcrumb errori, NO body request paziente. Scrubbing automatico campi sensibili.
Tipologie dato
  • Stack trace JavaScript
  • URL pagina con errore
  • Browser version
  • (Scrubbed) request body
Certificazioni
SOC 2 Type II · ISO 27001

Vercel

Attivo

Vercel Inc. · USA (Delaware) · Aggiunto: 2025-12-01

Categoria
Infrastruttura
Sede dati
EU (Frankfurt fra1) + global edge
Scopo
Hosting CDN + Edge Functions per app frontend Hydradent. Niente dato paziente passa per Vercel (le call API vanno direttamente dal browser a Convex/B2).
Tipologie dato
  • Static asset Next.js
  • Server-rendered HTML pubblico (landing, blog, FAQ)
  • Email staff studio (Clerk middleware)
Certificazioni
SOC 2 Type II · ISO 27001

Sogei (Agenzia delle Entrate)

Attivo

Sogei S.p.A. · Italia · Aggiunto: 2025-12-01

Categoria
Compliance fiscale
Sede dati
Italia
Scopo
Trasmissione spese sanitarie 730 precompilato (Sistema TS). Lo studio è il titolare verso Sogei; Hydradent solo trasmette.
Tipologie dato
  • CF paziente
  • Importo fattura sanitaria
  • Tipo spesa (visita, prestazione, ecc.)
  • Data emissione
Certificazioni
Provider istituzionale Agenzia Entrate

Aruba DocFly

Attivo

Aruba PEC S.p.A. · Italia (Arezzo) · Aggiunto: 2026-05-19

Categoria
Compliance fiscale
Sede dati
Italia
Scopo
Conservazione a norma AgID fatture B2B SdI (DPCM 3/12/2013). Lo studio sottoscrive direttamente con Aruba; Hydradent trasmette le fatture via API. **Beta dal 2026-05-19**.
Tipologie dato
  • XML FatturaPA
  • Ricevuta SdI
  • Metadata fattura
Certificazioni
AgID conservatore accreditato n. 24/2013

Meta (WhatsApp Business)

Attivo

Meta Platforms Ireland Ltd. · Irlanda · Aggiunto: 2026-04-01

Categoria
Comunicazione
Sede dati
EU (Ireland)
Scopo
Cloud API WhatsApp Business per reminder appuntamenti via WhatsApp. Lo studio approva ogni template prima dell'invio.
Tipologie dato
  • Numero telefono paziente (E.164)
  • Nome paziente
  • Data/ora appuntamento
Certificazioni
ISO 27001 · SOC 2 Type II

Sub-processor pianificati (1)

Annunciati ma non ancora attivi. Riceverai notifica email 30 giorni prima dell'attivazione effettiva.

Stripe

Pianificato

Stripe Payments Europe Ltd. · Irlanda · Aggiunto: 2026-Q3 (in arrivo con activation checkout)

Categoria
Pagamento
Sede dati
EU (Ireland)
Scopo
Subscription billing per piani Hydradent (Starter/Solo/Studio/Clinica). NON ha accesso a dati paziente — solo dati billing dello studio.
Tipologie dato
  • Nome legale studio
  • P.IVA / CF studio
  • IBAN / carta studio
  • Storico pagamenti
Certificazioni
PCI DSS Level 1 · SOC 1+2 Type II · ISO 27001

Procedura notifica cambi sub-processor

  1. T-30 giorni: Hydradent annuncia via email a tutti i titolari studio l'intenzione di aggiungere / rimuovere / cambiare un sub-processor, con motivazione e link al DPA del nuovo sub-processor
  2. T-30 → T-0: il titolare può obiettare scrivendo a privacy@hydradent.com. L'obiezione fondata fa scattare il diritto di recesso entro 30 giorni dalla data effettiva
  3. T-0: il sub-processor diventa attivo. Questa pagina è aggiornata, il DPA dello studio rimane valido a meno di obiezione

Riferimento normativo: art. 28 par. 2 e art. 28 par. 4 GDPR; Provvedimento Garante 9 giugno 2022 n. 219.