Privacy Policy
Ultimo aggiornamento: [DATA]
Informativa sulla Privacy#
Titolare del Trattamento#
[RAGIONE SOCIALE] Sede legale: [INDIRIZZO COMPLETO] P.IVA: [PARTITA IVA] Email: [EMAIL] PEC: [PEC]
Responsabile della Protezione dei Dati (DPO)#
[NOME DPO O "Non nominato ai sensi dell'art. 37 GDPR"] Email: [EMAIL DPO]
1. Premessa#
La presente informativa è resa ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 ("GDPR") e descrive le modalità con cui DoctorGPT tratta i dati personali degli utenti che accedono al sito web e utilizzano i servizi offerti.
DoctorGPT è uno strumento di supporto clinico basato sull'intelligenza artificiale che fornisce raccomandazioni basate sulle linee guida cliniche ufficiali italiane, accessibile tramite piattaforma web e WhatsApp.
2. Categorie di Dati Personali Trattati#
2.1 Dati forniti volontariamente dall'utente#
- Dati di registrazione: nome, cognome, indirizzo email, specializzazione medica
- Dati di profilo professionale: numero di iscrizione all'ordine, struttura sanitaria di appartenenza
- Dati di comunicazione: messaggi inviati tramite WhatsApp o la piattaforma web, quesiti clinici
- Dati di pagamento: elaborati tramite il processore di pagamento terzo (Stripe), il Titolare non conserva i dati completi delle carte di credito
2.2 Dati raccolti automaticamente#
- Dati tecnici: indirizzo IP, tipo di browser, sistema operativo, dispositivo utilizzato
- Dati di navigazione: pagine visitate, durata delle sessioni, pagine di provenienza
- Cookie e tecnologie similari: come descritto nella Cookie Policy
2.3 Dati particolari (Art. 9 GDPR)#
I quesiti clinici inviati dall'utente potrebbero contenere dati relativi alla salute di terzi (pazienti). L'utente è tenuto a:
- Non inserire dati che consentano l'identificazione diretta del paziente
- Utilizzare esclusivamente dati anonimizzati o pseudonimizzati
- Rispettare le normative vigenti in materia di segreto professionale
3. Finalità e Base Giuridica del Trattamento#
| Finalità | Base giuridica (Art. 6 GDPR) | Dati trattati | Conservazione |
|---|---|---|---|
| Registrazione e gestione account | Esecuzione del contratto (Art. 6.1.b) | Dati di registrazione, profilo | Durata del rapporto + [PERIODO] |
| Erogazione del servizio di assistenza clinica | Esecuzione del contratto (Art. 6.1.b) | Messaggi, quesiti clinici | [PERIODO] dalla conversazione |
| Gestione dei pagamenti e fatturazione | Obbligo legale (Art. 6.1.c) | Dati di fatturazione | 10 anni (obbligo fiscale) |
| Miglioramento del servizio e analisi aggregate | Legittimo interesse (Art. 6.1.f) | Dati tecnici anonimizzati | [PERIODO] |
| Invio comunicazioni di servizio | Esecuzione del contratto (Art. 6.1.b) | Durata del rapporto | |
| Invio comunicazioni di marketing | Consenso (Art. 6.1.a) | Fino a revoca del consenso | |
| Adempimento obblighi di legge | Obbligo legale (Art. 6.1.c) | Dati necessari | Termini di legge |
| Sicurezza e prevenzione frodi | Legittimo interesse (Art. 6.1.f) | Dati tecnici, log di accesso | [PERIODO] |
4. Modalità del Trattamento#
Il trattamento dei dati personali avviene mediante:
- Strumenti elettronici e automatizzati
- Misure di sicurezza tecniche e organizzative adeguate (Art. 32 GDPR), incluse:
- Crittografia dei dati in transito (TLS/SSL)
- Crittografia dei dati a riposo
- Controllo degli accessi basato su ruoli
- Logging e audit trail
- Backup periodici con crittografia
5. Comunicazione e Trasferimento dei Dati#
5.1 Categorie di destinatari#
I dati personali possono essere comunicati a:
- Fornitori di servizi tecnologici: provider di hosting, servizi cloud (Vercel, Supabase)
- Processori di pagamento: Stripe Inc., per la gestione dei pagamenti
- Fornitori di servizi di comunicazione: Meta Platforms (WhatsApp Business API)
- Fornitori di servizi AI: [PROVIDER AI], per l'elaborazione dei quesiti clinici
- Consulenti e professionisti: commercialisti, legali, in caso di necessità
- Autorità competenti: ove richiesto dalla legge
5.2 Trasferimenti extra-UE#
Alcuni fornitori di servizi potrebbero trattare i dati al di fuori dello Spazio Economico Europeo. In tal caso, i trasferimenti avvengono sulla base di:
- Decisioni di adeguatezza della Commissione Europea (Art. 45 GDPR)
- Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea (Art. 46.2.c GDPR)
- [ALTRI MECCANISMI DI TRASFERIMENTO APPLICABILI]
I fornitori principali e le relative garanzie:
| Fornitore | Sede | Garanzia |
|---|---|---|
| Vercel Inc. | USA | EU-US Data Privacy Framework |
| Supabase Inc. | USA | Clausole Contrattuali Standard |
| Stripe Inc. | USA | EU-US Data Privacy Framework |
| Meta Platforms | USA | EU-US Data Privacy Framework |
| [PROVIDER AI] | [SEDE] | [GARANZIA] |
6. Periodo di Conservazione#
I dati personali sono conservati per il tempo strettamente necessario al raggiungimento delle finalità per cui sono stati raccolti:
- Dati dell'account: per tutta la durata del rapporto contrattuale e per [PERIODO] successivi alla cancellazione
- Conversazioni e quesiti clinici: [PERIODO] dalla data della conversazione, poi anonimizzati
- Dati di fatturazione: 10 anni dalla data dell'operazione (obbligo fiscale ex art. 2220 c.c.)
- Dati di marketing: fino alla revoca del consenso
- Log di sicurezza: [PERIODO] dalla data di registrazione
- Cookie: si veda la Cookie Policy
Trascorso il periodo di conservazione, i dati sono cancellati o anonimizzati in modo irreversibile.
7. Diritti dell'Interessato#
Ai sensi degli artt. 15-22 del GDPR, l'utente ha il diritto di:
- Accesso (Art. 15): ottenere conferma dell'esistenza di un trattamento e accedere ai propri dati
- Rettifica (Art. 16): ottenere la correzione di dati inesatti o l'integrazione di dati incompleti
- Cancellazione (Art. 17): ottenere la cancellazione dei dati, ove sussistano le condizioni previste
- Limitazione (Art. 18): ottenere la limitazione del trattamento nei casi previsti
- Portabilità (Art. 20): ricevere i dati in formato strutturato, di uso comune e leggibile da dispositivo automatico
- Opposizione (Art. 21): opporsi al trattamento basato su legittimo interesse o per finalità di marketing diretto
- Revoca del consenso (Art. 7.3): revocare in qualsiasi momento il consenso prestato, senza pregiudicare la liceità del trattamento basato sul consenso prima della revoca
Come esercitare i propri diritti#
Per esercitare i diritti sopra elencati, l'utente può inviare una richiesta a:
- Email: [EMAIL]
- PEC: [PEC]
La richiesta sarà evasa entro 30 giorni dal ricevimento, prorogabili di ulteriori 60 giorni in caso di complessità, previa comunicazione all'interessato.
8. Diritto di Reclamo#
L'utente ha il diritto di proporre reclamo all'Autorità di controllo competente:
Garante per la Protezione dei Dati Personali Piazza Venezia, 11 — 00187 Roma Tel: (+39) 06.69677.1 Email: garante@gpdp.it PEC: protocollo@pec.gpdp.it Sito web: www.garanteprivacy.it
9. Processo Decisionale Automatizzato#
DoctorGPT utilizza sistemi di intelligenza artificiale per elaborare raccomandazioni cliniche. Si precisa che:
- Le raccomandazioni generate dall'AI sono da intendersi come supporto al processo decisionale del professionista sanitario
- Non viene effettuata alcuna profilazione dell'utente ai fini di decisioni automatizzate con effetti giuridici
- L'utente mantiene piena autonomia decisionale e responsabilità clinica
- L'AI non sostituisce in alcun modo il giudizio clinico del professionista
10. Minori#
Il servizio DoctorGPT è destinato esclusivamente a professionisti sanitari e non è rivolto a soggetti di età inferiore a 18 anni. Non raccogliamo consapevolmente dati personali di minori.
11. Modifiche alla Privacy Policy#
Il Titolare si riserva il diritto di apportare modifiche alla presente informativa in qualsiasi momento, dandone comunicazione agli utenti tramite:
- Pubblicazione della versione aggiornata sul sito web
- Notifica via email per modifiche sostanziali
L'utente è invitato a consultare regolarmente questa pagina. La data dell'ultimo aggiornamento è indicata in cima al documento.
12. Contatti#
Per qualsiasi domanda o chiarimento relativo al trattamento dei dati personali:
[RAGIONE SOCIALE] Email: [EMAIL] PEC: [PEC]