In sintesi. CiaoSalute raccoglie e tratta i tuoi dati per gestire la cartella clinica, l'agenda e la comunicazione paziente-medico. I tuoi dati sanitari sono «categorie particolari» trattate solo con il tuo consenso esplicito. Hai diritto in qualsiasi momento di accedere, correggere, esportare o cancellare i tuoi dati. Per esercitarli scrivi a dpo@ciaosalute.com.
1. Titolare del trattamento e DPO
1.1 Titolare
Il Titolare del trattamento dei dati dei Professionisti (medici, segretarie, amministratori che si registrano alla Piattaforma) è:
CiaoSalute S.r.l.
Sede legale in Italia · P.IVA in fase di registrazione
Email: info@ciaosalute.com
1.2 Titolare per i pazienti
Per quanto riguarda i dati clinici dei pazienti, il Titolare del trattamento è lo Studio medico presso cui il paziente è in cura (il medico curante o la clinica). CiaoSalute agisce come Responsabile esterno del trattamento ai sensi dell'art. 28 GDPR, sulla base del Data Processing Agreement (DPA) sottoscritto con lo Studio.
1.3 Responsabile della Protezione dei Dati (DPO)
Data Protection Officer
Email: dpo@ciaosalute.com
Notificato al Garante per la Protezione dei Dati Personali (ex art. 37 GDPR).
2. Categorie di dati trattati
2.1 Dati comuni
- Dati anagrafici: nome, cognome, data e luogo di nascita, codice fiscale, sesso.
- Dati di contatto: indirizzo email, numero di cellulare, indirizzo postale.
- Dati professionali (solo per medici): qualifica, specializzazione, numero iscrizione Ordine, P.IVA.
- Dati di account: credenziali (password hashate con bcrypt), ruolo, permessi, ultimo accesso.
- Dati di pagamento: gestiti direttamente da Stripe (PCI-DSS compliant), CiaoSalute conserva solo l'ID transazione e l'importo, mai i dati della carta.
- Dati tecnici di navigazione: indirizzo IP, user agent, log di accesso, identificativi di sessione (JWT cookie).
2.2 Categorie particolari (art. 9 GDPR — dati sanitari)
- Anamnesi clinica: patologie pregresse e in corso, allergie, intolleranze.
- Dati biometrici: peso, altezza, BMI, circonferenze, pressione arteriosa, frequenza cardiaca.
- Esami diagnostici: referti di laboratorio, esami strumentali, immagini diagnostiche (caricate dal paziente o dal medico).
- Terapie: farmaci prescritti, dosaggi, posologie, terapia domiciliare e in corso.
- Diagnosi e prognosi: redatti dal medico curante.
- Comunicazioni cliniche: messaggi nella chat AI, richieste di prenotazione, dialoghi medico-paziente.
- Firme digitali: metadati delle firme OTP applicate a referti e ricette.
2.3 Dati raccolti automaticamente dall'AI
- Trascrizioni di dettatura vocale (ambient listening durante la visita, gestita esclusivamente lato dispositivo del medico fino all'invio).
- Dati estratti automaticamente da foto/PDF di referti e bilance.
- Classificazione automatica del rischio clinico delle conversazioni paziente-AI.
3. Finalità e basi giuridiche
| Finalità | Base giuridica |
|---|---|
| Erogare il Servizio: gestire account, autenticazione, accesso al portale | Esecuzione del contratto (art. 6.1.b GDPR) |
| Gestire la cartella clinica e le visite | Consenso esplicito del paziente al trattamento dei dati sanitari (art. 9.2.a GDPR) E finalità di cura (art. 9.2.h GDPR) |
| Comunicare via email/WhatsApp/SMS (promemoria, conferme appuntamento, OTP firma) | Esecuzione del contratto + consenso esplicito per WhatsApp |
| Far funzionare l'assistente AI del paziente | Consenso esplicito al disclaimer pre-prima conversazione (visualizzato e accettato attivamente) |
| Inviare alert al medico in caso di urgenza rilevata dall'AI | Tutela di interesse vitale (art. 9.2.c GDPR) + finalità di cura |
| Fatturazione, contabilità, obblighi fiscali | Obbligo di legge (art. 6.1.c GDPR) |
| Sicurezza informatica e prevenzione frodi | Legittimo interesse (art. 6.1.f GDPR) bilanciato con i diritti dell'interessato |
| Audit log e tracciabilità degli accessi a dati sensibili (art. 32 GDPR) | Obbligo di legge + finalità di cura |
| Comunicazioni commerciali e marketing | Consenso facoltativo (separato dal contratto principale) |
4. Modalità di trattamento
I dati sono trattati con strumenti informatici sicuri, in particolare:
- Cifratura in transito: tutte le comunicazioni avvengono via HTTPS con TLS 1.3.
- Cifratura a riposo: i dati su Google Cloud Firestore sono crittografati con chiavi gestite da Google KMS.
- Pseudonimizzazione: identificatori interni separati dai dati anagrafici dove possibile.
- Controllo accessi: sistema RBAC (Role-Based Access Control) con 3 ruoli e 8 permessi modulari. Ogni membro dello staff ha credenziali individuali.
- Audit log immutabile: traccia di ogni accesso a dati clinici, conservata in collezione separata di sola scrittura per 10 anni.
- Backup giornalieri: copie di sicurezza criptate conservate su Cloud Storage Europa per 30 giorni.
- Minimizzazione: raccogliamo solo i dati strettamente necessari per la finalità dichiarata.
5. Destinatari e sub-responsabili
I dati possono essere comunicati ai seguenti soggetti, nominati Responsabili (art. 28 GDPR) o sub-responsabili, esclusivamente per le finalità sopra indicate:
| Fornitore | Finalità | Sede dati |
|---|---|---|
| Google Cloud (Firebase) | Hosting database e file (Firestore + Cloud Storage) | Europa (region europe-west) |
| Anthropic, PBC | Elaborazione AI (Claude Haiku/Sonnet) per chatbot, estrazione, rephrasing | USA (con SCC firmate) |
| Twilio Inc. | Invio SMS, WhatsApp, OTP firma elettronica | USA / Irlanda (con SCC) |
| Stripe Payments Europe Ltd | Gestione pagamenti carte di credito (PCI-DSS) | Irlanda (UE) |
| Daily.co (Daily Co. Inc.) | Videocall medico-paziente (telemedicina) | USA (con SCC) |
| Plesk International GmbH | Hosting server applicativo (Next.js) | UE |
| SMTP Plesk | Invio email transazionali | UE |
I dati possono essere comunicati ad autorità giudiziarie e amministrative su richiesta legittima e nei casi previsti dalla legge (es. emergenze sanitarie, indagini, audit fiscali).
Non vendiamo, non noleggiamo, non scambiamo dati personali con terzi a fini commerciali o pubblicitari.
6. Trasferimento dei dati extra-UE
Alcuni nostri sub-responsabili (Anthropic, Twilio, Daily.co) hanno sede negli Stati Uniti. Il trasferimento dei dati avviene nel rispetto del GDPR attraverso:
- Standard Contractual Clauses (SCC) della Commissione Europea (Decisione 2021/914) firmate con ciascun fornitore.
- EU-US Data Privacy Framework dove applicabile.
- Misure tecniche supplementari: cifratura end-to-end ove possibile, minimizzazione dei dati trasferiti.
- Valutazione di impatto sui trasferimenti (TIA) documentata e disponibile su richiesta al DPO.
Stai utilizzando il chatbot AI? I tuoi messaggi vengono inviati ai server Anthropic negli USA per l'elaborazione. Anthropic non utilizza i tuoi dati per allenare i propri modelli (clausola contrattuale Enterprise).
7. Tempi di conservazione
| Tipo dato | Durata | Motivo |
|---|---|---|
| Cartella clinica del paziente | 10 anni dall'ultimo trattamento | Obblighi di legge sanitari (Codice Deontologia Medica) |
| Account medico inattivo | 2 anni | Periodo di grazia per riattivazione |
| Audit log e log di accesso | 10 anni | Conformità GDPR art. 32 + AI Act |
| Fatture e documenti fiscali | 10 anni | Codice Civile art. 2220 |
| Backup giornalieri | 30 giorni rolling | Disaster recovery |
| Conversazioni chat AI | 2 anni | Audit AI Act + miglioramento prompt clinico |
| Cookie tecnici di sessione | Sessione browser | Funzionamento del Servizio |
| Cookie di consenso (preferenze) | 12 mesi | Memoria scelte utente |
Al termine del periodo, i dati vengono cancellati o resi anonimi in modo irreversibile. L'interessato può richiedere la cancellazione anticipata compatibilmente con gli obblighi di legge.
8. Diritti dell'interessato
Ai sensi degli articoli 15-22 GDPR, hai il diritto di:
- Accesso (art. 15): ottenere conferma del trattamento e copia dei tuoi dati.
- Rettifica (art. 16): correggere dati inesatti.
- Cancellazione (art. 17): «diritto all'oblio» nei casi previsti dalla legge (revoca consenso, finalità esaurita).
- Limitazione (art. 18): bloccare temporaneamente il trattamento in caso di contestazione.
- Portabilità (art. 20): ricevere i dati in formato strutturato (JSON, CSV) e trasferirli a un altro fornitore.
- Opposizione (art. 21): opporsi al trattamento basato su legittimo interesse o marketing.
- Revoca del consenso: in qualsiasi momento, senza pregiudicare la liceità dei trattamenti precedenti.
- Decisioni automatizzate (art. 22): la classificazione AI del rischio clinico (NORMAL/ANALYZING/DANGER) è una pre-elaborazione che sfocia SEMPRE in un intervento umano (medico). Non assumiamo decisioni automatizzate con effetti giuridici.
8.1 Come esercitare i diritti
Invia una richiesta a dpo@ciaosalute.com indicando:
- Quale diritto vuoi esercitare.
- Documento di identità in copia (per verifica dell'identità).
- Eventuali dettagli specifici (es. quale dato vuoi correggere).
Risponderemo entro 30 giorni (prorogabili a 60 in casi complessi). L'esercizio dei diritti è gratuito, salvo richieste manifestamente infondate o eccessive per le quali possiamo addebitare un contributo o rifiutare la richiesta.
8.2 Strumenti self-service
Per molti diritti è disponibile un'interfaccia self-service nel portale: Portale paziente > Impostazioni > I miei dati dove puoi scaricare i tuoi dati o richiedere la cancellazione direttamente (con conferma via email).
9. Trasparenza sull'uso dell'Intelligenza Artificiale
Ai sensi del Regolamento UE 2024/1689 («AI Act»), ti informiamo che CiaoSalute utilizza sistemi di Intelligenza Artificiale classificati come ad alto rischio per il settore sanitario.
In particolare:
- Il chatbot del paziente è un sistema AI conversazionale basato su Claude (Anthropic). Risponde a domande mediche generiche personalizzate dal tuo medico, ma non sostituisce il consulto clinico.
- L'estrazione automatica da foto/PDF di referti utilizza Claude per riconoscere valori numerici di laboratorio. È sempre richiesta la conferma umana del medico.
- L'ambient listening trascrive e riformula la conversazione medico-paziente in stile referto. Il medico è tenuto a verificare il testo prima di salvare il record.
- La classificazione del rischio nelle conversazioni AI (NORMAL/ANALYZING/DANGER) determina alert al medico ma non prende decisioni cliniche autonome.
Tutte le interazioni AI sono registrate in log immutabili per conformità AI Act art. 12 (record-keeping), accessibili al DPO su richiesta legittima.
10. Misure di sicurezza tecniche e organizzative
Ai sensi dell'art. 32 GDPR e dell'art. 15 AI Act, adottiamo le seguenti misure:
10.1 Misure tecniche
- Cifratura TLS 1.3 in transito, AES-256 a riposo.
- Hashing password con bcrypt (cost factor 12).
- Token JWT firmati HS256 per sessioni utente.
- Rate limit per prevenire brute force su login e OTP.
- Validazione input server-side (XSS, SQL injection, prompt injection per AI).
- Sandbox di processo per esecuzione del codice utente.
- Backup automatici giornalieri criptati.
- Monitoring 24/7 di intrusion detection e log analysis.
10.2 Misure organizzative
- Personale tecnico vincolato da NDA con obblighi specifici sui dati sanitari.
- Formazione periodica del personale sulla protezione dei dati.
- Procedure documentate per data breach (notifica 72h al Garante).
- DPIA (Data Protection Impact Assessment) condotta per l'uso dell'AI.
- Registro dei trattamenti ex art. 30 GDPR aggiornato.
- Verifiche periodiche di accesso (audit RBAC).
12. Modifiche alla presente policy
Possiamo aggiornare questa policy in caso di novità normative (es. linee guida del Garante, AI Act delegated acts) o di modifiche sostanziali alle modalità di trattamento. Le versioni precedenti sono conservate per audit.
Per le modifiche sostanziali, gli utenti registrati riceveranno notifica via email almeno 30 giorni prima dell'entrata in vigore.
13. Reclami al Garante
Se ritieni che il trattamento violi il GDPR, hai diritto di proporre reclamo al Garante per la Protezione dei Dati Personali:
Piazza Venezia, 11 — 00187 Roma
Tel: +39 06 696771
Email: protocollo@gpdp.it
Sito: www.gpdp.it
Puoi anche rivolgerti all'autorità di controllo dello Stato membro UE in cui hai la residenza abituale o il luogo di lavoro.