La presente Informativa sulla Privacy descrive come IANUSTEC SRL ("IANUSTEC", "noi", "nostro") raccoglie, utilizza, conserva e protegge i dati personali degli utenti ("Utente", "Lei") della piattaforma NutriTec ("Servizio", "Piattaforma"), in conformità al Regolamento UE 2016/679 ("GDPR") e alla normativa italiana sulla protezione dei dati personali.
L'utilizzo del Servizio implica l'accettazione della presente Informativa. In caso di disaccordo, l'Utente è pregato di non utilizzare il Servizio.
1. Titolare del Trattamento e Contatti
IANUSTEC SRL
Via Francesco Baracca 10/6
31020 San Fior (TV), Italia
P.IVA: 05153270268
Rappresentante Legale: Milvio Mazza
Data Protection Officer (DPO): Per questioni relative al trattamento dei dati personali, è possibile contattare il nostro DPO all'indirizzo: info@ianustec.com
2. Tipologie di Dati Raccolti
2.1 Dati dei Professionisti Utenti
Quando si registra e utilizza il Servizio come professionista, raccogliamo:
- Dati identificativi: nome, cognome, indirizzo email, numero di telefono
- Dati studio/pratica: nome studio professionale, indirizzo sede
- Dati di autenticazione: password (gestita da Firebase, mai memorizzata in chiaro)
- Dati di sessione: token di sessione, device fingerprint, tipo di dispositivo, browser
- Token FCM: per notifiche push su dispositivi mobili
- Dati di fatturazione: Stripe Customer ID (i dati di pagamento sono gestiti direttamente da Stripe)
- Ruolo professionale: amministratore, medico, assistente
2.2 Dati dei Pazienti (Trattati per Conto dell'Utente)
L'Utente professionista inserisce nella Piattaforma dati dei propri pazienti. In questo contesto, l'Utente agisce come Titolare del Trattamento e IANUSTEC come Responsabile del Trattamento. I dati includono:
Dati anagrafici e di contatto:
- Nome, cognome, data di nascita
- Email, numero di telefono
- Codice fiscale (opzionale)
Dati sanitari (Categoria Speciale ai sensi dell'Art. 9 GDPR):
- Misurazioni antropometriche: peso, altezza, BMI, circonferenze, massa grassa/magra, pliche cutanee
- Esami clinici e di laboratorio: fino a 800 parametri (glicemia, colesterolo, ormoni, funzionalità epatica/renale, ecc.)
- Allergie e intolleranze alimentari: tipo, gravità, data diagnosi
- Restrizioni dietetiche: motivazioni mediche o etiche
- Anamnesi completa: patologie croniche, interventi chirurgici, ospedalizzazioni, terapie farmacologiche correnti
- Storia familiare: patologie ereditarie, predisposizioni genetiche
- Stile di vita: abitudine al fumo, consumo di alcol, livello di attività fisica
- Abitudini alimentari: numero pasti giornalieri, idratazione, integratori, frequenza consumo alimenti
- Dati riproduttivi: gravidanze, menopausa (se rilevante)
- Qualità del sonno e regolarità intestinale
- Piani alimentari personalizzati: diete prescritte, obiettivi nutrizionali, preferenze alimentari
Documenti e file:
- Referti medici, esami di laboratorio (PDF, immagini)
- Fotografie di pasti e progressi fisici
- Documenti sanitari vari
- Registrazioni audio (anamnesi vocali)
Comunicazioni:
- Conversazioni WhatsApp (testo, audio, immagini) tra professionista e paziente
- Note e annotazioni del professionista
- Storico appuntamenti
3. Base Giuridica del Trattamento
Il trattamento dei dati personali si basa sulle seguenti basi giuridiche previste dall'Art. 6 e Art. 9 del GDPR:
- Esecuzione del contratto (Art. 6.1.b): Il trattamento è necessario per fornire il Servizio richiesto dall'Utente professionista e gestire la subscription.
- Consenso esplicito (Art. 9.2.a): Per funzionalità opzionali quali l'integrazione WhatsApp AI, elaborazione documenti con AI, e altre automazioni avanzate.
- Obbligo legale (Art. 6.1.c): Conservazione di dati per obblighi fiscali (fatture per 10 anni), conformità normativa sanitaria italiana (es. integrazione ATS730).
- Interesse legittimo (Art. 6.1.f): Miglioramento del Servizio, prevenzione frodi, sicurezza informatica, supporto tecnico.
- Gestione del rapporto di cura (Art. 9.2.h): Per i dati sanitari dei pazienti, il trattamento è necessario per finalità di medicina preventiva, diagnosi, assistenza sanitaria o trattamenti sanitari, su responsabilità del professionista sanitario (Utente).
4. Finalità del Trattamento
I dati personali sono trattati per le seguenti finalità:
- Gestione account e autenticazione: Creazione, gestione e sicurezza degli account utente.
- Erogazione del Servizio SaaS: Funzionamento della piattaforma gestionale (agenda, cartelle pazienti, piani alimentari, database alimenti).
- Elaborazione AI: Generazione automatica piani alimentari, estrazione dati da documenti, trascrizione audio, chatbot WhatsApp, analisi semantica.
- Comunicazioni: Invio email transazionali (conferme, notifiche appuntamenti, alert di sistema), comunicazioni WhatsApp Business.
- Fatturazione e pagamenti: Gestione subscription, addebiti mensili, emissione fatture.
- Supporto tecnico: Assistenza clienti, risoluzione problemi tecnici.
- Conformità normativa: Adempimenti fiscali, integrazione Sistema Tessera Sanitaria (ATS730) per professionisti italiani.
- Sicurezza: Prevenzione frodi, rilevamento accessi non autorizzati, protezione dell'infrastruttura.
- Miglioramento servizio: Analisi aggregate anonimizzate per ottimizzare funzionalità e user experience.
5. Modalità di Trattamento
I dati personali sono trattati con strumenti informatici e organizzativi idonei a garantirne la sicurezza e riservatezza:
- Database MySQL: Dati strutturati con cifratura a riposo, backup automatici giornalieri.
- Cifratura in transito: Tutte le comunicazioni avvengono tramite protocollo HTTPS/TLS.
- Controllo accessi (RBAC): Accesso ai dati limitato in base al ruolo (amministratore, medico, assistente).
- Isolamento multi-tenant: I dati di ciascuno studio/pratica sono strettamente separati e non accessibili ad altri utenti.
- Gestione sessioni: Token di sessione memorizzati in Redis con scadenza automatica dopo 24 ore.
- Password sicure: Gestite da Firebase Authentication con hashing crittografico (non memorizzate nel database applicativo).
- Audit logging: Registrazione di accessi e operazioni sensibili per tracciabilità.
- Monitoraggio continuo: Sistemi di rilevamento intrusioni e anomalie.
6. Servizi di Terze Parti e Trasferimenti Internazionali
Per fornire il Servizio, ci avvaliamo di fornitori terzi qualificati, alcuni dei quali localizzati al di fuori dello Spazio Economico Europeo (SEE). I trasferimenti extra-UE sono effettuati con adeguate garanzie:
| Servizio | Dati Processati | Paese | Privacy Policy |
|---|
| Firebase (Google) | Email, password hash, token auth, FCM tokens | USA | Link |
| Stripe | Email, dati pagamento, customer ID | USA | Link |
| OpenAI | Messaggi chat, trascrizioni audio, testo documenti | USA | Link |
| WhatsApp Business API | Numeri telefono, messaggi, media | USA | Link |
| Google Cloud Storage | File documenti, immagini, PDF, registrazioni audio | EU/USA | Link |
| SendGrid (Twilio) | Email destinatari, contenuto email transazionali | USA | Link |
Garanzie per trasferimenti extra-UE:
- Standard Contractual Clauses (SCC): Clausole contrattuali tipo approvate dalla Commissione Europea.
- Certificazioni: Fornitori certificati per conformità agli standard di sicurezza internazionali (ISO 27001, SOC 2).
- Data Processing Agreements (DPA): Accordi formali con tutti i fornitori che definiscono obblighi e responsabilità.
Nota su OpenAI: I dati inviati all'API di OpenAI per elaborazioni AI sono soggetti alla Data Usage Policy di OpenAI, che prevede la conservazione per 30 giorni e il non utilizzo per training dei modelli (per API enterprise).
7. Periodo di Conservazione dei Dati
I dati personali sono conservati per il tempo strettamente necessario alle finalità per cui sono stati raccolti:
- Account attivi: Per tutta la durata della subscription attiva.
- Dati sanitari pazienti: Per il tempo necessario alla gestione del rapporto di cura e conformità agli obblighi di conservazione documentazione sanitaria (tipicamente fino a 10 anni dall'ultima prestazione, secondo normativa italiana).
- Sessioni di autenticazione: 24 ore (scadenza automatica Redis).
- Dati elaborati da OpenAI API: 30 giorni sui server OpenAI (policy OpenAI).
- Account cancellati: 30 giorni di retention per consentire recupero dati, poi eliminazione definitiva.
- Dati di fatturazione: 10 anni (obbligo fiscale ex art. 2220 Codice Civile italiano e normativa tributaria).
- Log di sistema e audit: 12 mesi per finalità di sicurezza e troubleshooting.
Decorsi i termini di conservazione, i dati sono eliminati o resi anonimi in modo irreversibile.
8. Diritti dell'Interessato
In conformità agli articoli 15-22 del GDPR, l'interessato ha diritto di:
- Accesso (Art. 15): Ottenere conferma dell'esistenza di propri dati personali e riceverne copia in formato strutturato e leggibile.
- Rettifica (Art. 16): Correggere dati inesatti o incompleti.
- Cancellazione / Diritto all'oblio (Art. 17): Ottenere la cancellazione dei propri dati, salvo obblighi legali di conservazione o necessità di difesa in giudizio.
- Limitazione del trattamento (Art. 18): Ottenere la sospensione temporanea del trattamento in determinate circostanze (es. contestazione accuratezza dati).
- Portabilità (Art. 20): Ricevere i propri dati in formato strutturato, di uso comune e leggibile da dispositivo automatico, e trasmetterli a un altro titolare senza impedimenti.
- Opposizione (Art. 21): Opporsi al trattamento basato su legittimo interesse o per finalità di marketing.
- Non profilazione automatizzata (Art. 22): Non essere sottoposto a decisioni basate unicamente su trattamenti automatizzati che producano effetti giuridici. Il Servizio non utilizza profilazione automatizzata che produca effetti giuridici; l'AI è utilizzata come strumento di supporto decisionale sotto controllo umano.
- Revoca consenso (Art. 7.3): Revocare in qualsiasi momento il consenso prestato per trattamenti basati sul consenso (es. WhatsApp AI), senza pregiudicare la liceità dei trattamenti effettuati prima della revoca.
Come esercitare i diritti:
Per esercitare i diritti sopra elencati, è possibile inviare una richiesta via email a: info@ianustec.com
Oggetto email: "Esercizio diritti GDPR - [specificare diritto]"
IANUSTEC risponderà entro 30 giorni dalla ricezione della richiesta, previa verifica dell'identità del richiedente. In caso di richieste complesse, il termine può essere prorogato di ulteriori 60 giorni con comunicazione motivata.
9. Sicurezza dei Dati
IANUSTEC adotta misure tecniche e organizzative adeguate per garantire un livello di sicurezza appropriato al rischio, ai sensi dell'Art. 32 GDPR:
- Cifratura: Dati cifrati in transito (TLS 1.3) e a riposo (database encryption).
- Autenticazione forte: Firebase Authentication con supporto per autenticazione a due fattori (2FA).
- Backup automatici: Backup giornalieri incrementali con conservazione geograficamente ridondante.
- Controllo accessi granulare: Accesso ai dati limitato al personale autorizzato con principio del "minimo privilegio".
- Monitoraggio continuo: Sistemi di intrusion detection, log analysis, alert automatici per anomalie.
- Disaster recovery plan: Procedure documentate per ripristino operatività in caso di incidenti.
- Formazione del personale: Formazione periodica su sicurezza informatica e protezione dati per tutto il team IANUSTEC.
- Penetration testing: Test di sicurezza periodici effettuati da professionisti esterni.
- Vulnerability management: Aggiornamenti regolari di software e librerie per correggere vulnerabilità note.
10. Violazioni dei Dati (Data Breach)
In caso di violazione dei dati personali che comporti un rischio per i diritti e le libertà degli interessati, IANUSTEC si impegna a:
- Notifica al Garante: Comunicare la violazione all'Autorità Garante per la Protezione dei Dati Personali entro 72 ore dal momento in cui ne viene a conoscenza, salvo che sia improbabile che la violazione comporti un rischio per i diritti e le libertà.
- Notifica agli interessati: Comunicare direttamente agli interessati la violazione senza ingiustificato ritardo, qualora comporti un rischio elevato per i loro diritti.
- Registro violazioni: Mantenere un registro interno di tutte le violazioni occorse, con descrizione dell'incidente, effetti e misure adottate.
- Azioni correttive: Implementare tempestivamente misure per mitigare gli effetti negativi e prevenire future violazioni.
11. Cookie e Tecnologie di Tracciamento
Il Servizio utilizza un numero limitato di cookie e tecnologie simili:
- Cookie tecnici essenziali: Strettamente necessari per il funzionamento della Piattaforma (cookie di sessione per autenticazione). Non richiedono consenso ai sensi del GDPR.
- Local Storage: Utilizzato per memorizzare preferenze dell'interfaccia utente (tema chiaro/scuro, lingua, impostazioni layout). I dati sono memorizzati localmente sul dispositivo e non trasmessi ai nostri server.
Cookie NON utilizzati: Il Servizio NON utilizza cookie di profilazione, marketing o analytics di terze parti (es. Google Analytics, Facebook Pixel). Non tracciamo le abitudini di navigazione degli utenti per finalità pubblicitarie.
12. Dati di Minori
Utenti della Piattaforma: Il Servizio è destinato esclusivamente a professionisti sanitari maggiorenni. È necessario avere almeno 18 anni per registrarsi come Utente.
Pazienti minori: L'Utente professionista può inserire dati di pazienti minori nell'ambito della propria pratica professionale. In questo caso, è responsabilità esclusiva dell'Utente ottenere il consenso dai genitori o tutori legali del minore, in conformità alle normative applicabili. IANUSTEC agisce come Responsabile del Trattamento e non ha contatto diretto con i pazienti minori.
13. Modifiche alla Privacy Policy
IANUSTEC si riserva il diritto di modificare la presente Informativa sulla Privacy in qualsiasi momento per adeguarla a evoluzioni normative, tecnologiche o organizzative.
Le modifiche sostanziali saranno comunicate agli Utenti tramite email con almeno 30 giorni di preavviso rispetto all'entrata in vigore. La data di "Ultima revisione" in testa al documento sarà aggiornata.
L'uso continuato del Servizio dopo l'entrata in vigore delle modifiche costituisce accettazione della nuova Privacy Policy. In caso di disaccordo, l'Utente ha diritto di cessare l'utilizzo del Servizio e richiedere la cancellazione del proprio account.
14. Contatti e Diritto di Reclamo
Per qualsiasi domanda, richiesta o reclamo relativo al trattamento dei dati personali, è possibile contattare:
IANUSTEC SRL - Privacy Team
Indirizzo postale:
Via Francesco Baracca 10/6
31020 San Fior (TV), Italia
Diritto di Reclamo all'Autorità di Controllo
Fermo restando ogni altro ricorso amministrativo o giurisdizionale, l'interessato che ritenga che il trattamento che lo riguarda violi il GDPR ha il diritto di proporre reclamo all'Autorità Garante per la Protezione dei Dati Personali:
Garante per la Protezione dei Dati Personali
Piazza Venezia 11, 00187 Roma, Italia
Tel: +39 06 696771
Note Legali Importanti:
- La presente Informativa deve essere letta congiuntamente ai Termini e Condizioni di Servizio.
- Per i trattamenti di dati dei pazienti, l'Utente professionista rimane Titolare del Trattamento con proprie responsabilità GDPR verso i propri pazienti.
- IANUSTEC fornisce strumenti per agevolare la conformità GDPR (gestione consensi, esportazione dati, cancellazione) ma la responsabilità finale del rispetto normativo ricade sull'Utente professionista per i dati dei propri pazienti.