TERMINI DI SERVIZIO E LICENZA D'USO (EULA)
Versione 1.0 — Aprile 2026
1. Definizioni
"Applicazione" o "PsyDoc": il software web per la gestione documentale degli studi di psicologia e psicoterapia.
"Fornitore": Luca Galli, con sede in Viale Agostino Marti 431, Lucca, P.IVA 02624620468, titolare dei diritti sull'Applicazione.
"Utente" o "Professionista": lo psicologo/psicoterapeuta che utilizza l'Applicazione.
"Paziente": la persona i cui dati personali sono trattati tramite l'Applicazione.
2. Oggetto e Accettazione
I presenti Termini regolano l'utilizzo dell'Applicazione PsyDoc. Registrandosi, l'Utente dichiara di aver letto, compreso e accettato integralmente i presenti Termini, il Data Processing Agreement (DPA) allegato e l'Informativa Privacy.
L'Utente dichiara di essere un professionista iscritto all'Albo degli Psicologi e/o Psicoterapeuti e di utilizzare l'Applicazione nell'ambito della propria attività professionale.
3. Licenza d'Uso
Il Fornitore concede all'Utente una licenza non esclusiva, non trasferibile, non sublicenziabile, revocabile, per l'utilizzo dell'Applicazione. L'Utente non può copiare, modificare, decompilare o eseguire reverse engineering dell'Applicazione, né sublicenziare o trasferire l'accesso a terzi.
4. Obblighi dell'Utente
L'Utente si impegna a: mantenere riservate le proprie credenziali; utilizzare l'Applicazione in conformità al GDPR e al Codice Deontologico; verificare l'accuratezza dei documenti generati; mantenere aggiornati i propri dati; effettuare backup periodici; informare i pazienti del trattamento dei loro dati.
5. Ruoli Privacy (GDPR)
L'Utente è il Titolare del trattamento (Art. 4(7)) per i dati dei propri pazienti. Il Fornitore è il Responsabile del trattamento (Art. 28), come disciplinato dal DPA allegato. L'Utente rimane l'unico responsabile della liceità del trattamento e dell'informativa ai pazienti.
6. Natura del Software
L'Applicazione è uno strumento di supporto amministrativo e documentale. NON è un dispositivo medico ai sensi del Reg. (UE) 2017/745. NON fornisce consulenza clinica, diagnostica o terapeutica.
La firma elettronica raccolta è una firma elettronica semplice ai sensi del Reg. eIDAS, con valore probatorio ai sensi dell'Art. 2702 c.c.
7. Limitazione di Responsabilità
Il Fornitore non garantisce che l'Applicazione sia priva di errori. Non è responsabile per: uso improprio; correttezza dei dati inseriti; malfunzionamenti di servizi terzi. La responsabilità complessiva non può eccedere l'importo corrisposto dall'Utente nei 12 mesi precedenti.
8. Durata e Recesso
Contratto a durata indeterminata. L'Utente può recedere in qualsiasi momento. Alla cessazione ha 30 giorni per esportare i dati. Il Fornitore può modificare i Termini con 15 giorni di preavviso.
9. Legge Applicabile
Legge italiana. Foro competente: Foro di Lucca.
DATA PROCESSING AGREEMENT (Art. 28 GDPR)
Versione 1.0 — Aprile 2026
1. Parti
Titolare del Trattamento: il professionista che utilizza PsyDoc.
Responsabile del Trattamento: Luca Galli, Viale Agostino Marti 431, Lucca, P.IVA 02624620468, in qualità di fornitore dell'Applicazione PsyDoc.
2. Finalità del Trattamento
Il Responsabile tratta i dati esclusivamente per: gestione anagrafica pazienti; generazione documenti clinici; raccolta firme elettroniche; invio comunicazioni ai pazienti; registrazione del log di consenso.
3. Categorie di Dati
- Dati anagrafici: nome, cognome, CF, data di nascita, indirizzo, contatti
- Dati sanitari (Art. 9 GDPR): informazioni sul percorso psicologico/psicoterapeutico
- Dati di minori e relativi genitori/tutori legali
- Firme elettroniche grafometriche
- Dati tecnici: IP, user-agent, timestamp (a fini di audit)
4. Obblighi del Responsabile
Il Responsabile si impegna a: trattare i dati solo su istruzioni del Titolare; garantire la riservatezza del personale; adottare le misure di sicurezza dell'Art. 32 (AES-256-GCM, HTTPS/TLS, API proxy, session timeout, audit trail); non ricorrere a sub-responsabili senza autorizzazione; assistere il Titolare per i diritti degli interessati (Art. 15-22) e per la sicurezza (Art. 32-36); cancellare o restituire i dati alla cessazione.
5. Notifica Violazioni
Il Responsabile notifica al Titolare qualsiasi violazione entro 24 ore dalla scoperta, tramite il sistema automatizzato di segnalazione integrato nell'Applicazione.
6. Sub-responsabili Autorizzati
- Supabase Inc. (USA) — Database PostgreSQL. Clausole contrattuali standard per trasferimento extra-UE
- Vercel Inc. (USA) — Hosting e serverless functions. Dati in transito HTTPS
- Resend Inc. (USA) — Email transazionali. Dati limitati a email e contenuto comunicazione
7. Trasferimenti Internazionali
I trasferimenti verso gli USA sono legittimati dalle Clausole Contrattuali Standard (SCC) e dal Data Privacy Framework UE-USA.
8. Durata
Il DPA ha la medesima durata del rapporto contrattuale. Alla cessazione: restituzione o cancellazione dati entro 30 giorni; possibilità di export in JSON; conservazione log di consenso per 10 anni.