Gestionale SanitariBeta
⚠️ Questo documento è una bozza placeholder. Deve essere rivisto e approvato da un consulente legale prima del lancio.

Informativa sul trattamento dei dati personali

Ai sensi dell'art. 13 del Regolamento UE 2016/679 (GDPR)

Ultimo aggiornamento: Maggio 2026

1. Titolare del trattamento

Gestionale Sanitari S.r.l. (in costituzione) — [indirizzo da definire] — email: privacy@[dominio da definire]

2. Tipologie di dati trattati

Trattamento di due categorie principali:

Dati degli utenti della piattaforma (professionisti sanitari)

  • Dati identificativi (nome, cognome, email, telefono)
  • Dati di accesso (credenziali in forma cifrata)
  • Dati di pagamento (gestiti da Stripe — il Titolare non conserva dati di carta)
  • Dati di utilizzo della piattaforma (log di accesso, audit trail)

Dati dei pazienti (categorie particolari ex art. 9 GDPR)

  • Dati anagrafici e di contatto
  • Cartelle cliniche e dati sanitari
  • Allegati e documentazione clinica
  • Consensi e autorizzazioni

3. Finalità e basi giuridiche

  • Erogazione del servizio: base: esecuzione del contratto, art. 6.1.b GDPR
  • Dati sanitari dei pazienti: trattati su mandato del professionista sanitario che ne è Titolare autonomo del trattamento (base: consenso del paziente e/o necessità di assistenza sanitaria, art. 9.2.h GDPR)
  • Adempimenti fiscali e contabili: base: obbligo legale
  • Sicurezza e prevenzione frodi: base: legittimo interesse

4. Modello di accesso ai dati — Superadmin Livello 1

Il personale interno di Gestionale Sanitari (cosiddetti "Superadmin") ha accesso esclusivamente ai metadati di sistema necessari per l'erogazione e il supporto del servizio: informazioni sugli account, sulle sottoscrizioni, sui log tecnici di sistema e sulle azioni amministrative. Il personale di Gestionale Sanitari non ha accesso ai dati clinici dei pazienti (cartelle cliniche, anamnesi, sessioni, allegati clinici). L'isolamento è garantito tecnicamente tramite policy di sicurezza a livello di database (Row Level Security) che impediscono l'accesso anche in presenza di credenziali amministrative. Questo modello è denominato "Superadmin Livello 1" e costituisce una garanzia strutturale, non solo procedurale.

5. Conservazione dei dati

  • Dati degli utenti: per tutta la durata del contratto + 10 anni per obblighi fiscali
  • Cartelle cliniche dei pazienti: secondo i termini di retention legale per professione (tipicamente 10 anni per fisioterapisti) — la cancellazione avviene su richiesta del professionista, nel rispetto dei termini di legge
  • Log di audit: 5 anni

6. Trasferimento dei dati

I dati sono trattati all'interno dell'Unione Europea. I fornitori di servizi utilizzati (Supabase per il database, Stripe per i pagamenti, Resend per le email) operano in conformità al GDPR. [Elenco completo dei sub-responsabili disponibile su richiesta]

7. Diritti dell'interessato

L'interessato ha diritto a: accesso, rettifica, cancellazione, limitazione del trattamento, portabilità, opposizione. Per i dati clinici dei pazienti, i diritti si esercitano nei confronti del professionista sanitario Titolare del trattamento. Per i dati degli account professionisti: privacy@[dominio da definire]

8. Diritto di reclamo

È possibile presentare reclamo al Garante per la protezione dei dati personali (www.garanteprivacy.it).