Privacy Policy

Informativa sul trattamento dei dati personali ai sensi del GDPR (Regolamento UE 2016/679)

Ultimo aggiornamento: 10 Febbraio 2026

1. Titolare del Trattamento

Il Titolare del trattamento dei dati personali è:

[NOME RSA/STRUTTURA SANITARIA]

Sede legale: [INDIRIZZO COMPLETO]

P. IVA: [PARTITA IVA]

Email: privacy@example.com

PEC: pec@example.pec.it

2. Data Protection Officer (DPO)

È stato nominato un Data Protection Officer (Responsabile della Protezione dei Dati) che può essere contattato per tutte le questioni relative al trattamento dei dati personali:

DPO: [NOME E COGNOME / SOCIETÀ]

Email: dpo@example.com

3. Finalità del Trattamento e Base Giuridica

I dati personali sono trattati per le seguenti finalità:

A) Gestione Prenotazioni e Servizi Sanitari

  • Prenotazione e gestione appuntamenti terapeutici
  • Erogazione servizi sanitari (fisioterapia, riabilitazione, ecc.)
  • Gestione piani terapeutici e cicli di cura
  • Comunicazioni relative agli appuntamenti (conferme, promemoria)

Base giuridica: Esecuzione del contratto (GDPR Art. 6(1)(b)) e Tutela della salute (GDPR Art. 9(2)(h))

B) Adempimenti di Legge

  • Fatturazione e contabilità
  • Obblighi fiscali e amministrativi
  • Conservazione documentazione sanitaria (obbligatoria per legge)

Base giuridica: Obbligo legale (GDPR Art. 6(1)(c))

C) Miglioramento Servizi (Opzionale)

  • Invio newsletter informative su nuovi servizi
  • Sondaggi di soddisfazione
  • Statistiche anonime sull'utilizzo della piattaforma

Base giuridica: Consenso esplicito (GDPR Art. 6(1)(a)) - Puoi revocare il consenso in qualsiasi momento

4. Categorie di Dati Trattati

Raccogliamo e trattiamo le seguenti categorie di dati:

Categoria Dati Raccolti
Dati Anagrafici Nome, cognome, codice fiscale, data di nascita, sesso
Dati di Contatto Email, numero di telefono, indirizzo
Dati Sanitari
Particolari		 Piani terapeutici, diagnosi, storico sedute, note cliniche
Dati di Navigazione Indirizzo IP, cookie tecnici, log di accesso
Dati Particolari (Art. 9 GDPR): I dati sanitari sono considerati "categorie particolari di dati personali" e sono trattati con misure di sicurezza rafforzate e solo per finalità di cura e gestione sanitaria.

5. Destinatari e Comunicazione dei Dati

I dati personali possono essere comunicati a:

  • Personale autorizzato: Medici, terapisti, personale amministrativo della struttura
  • Fornitori di servizi IT: Hosting, manutenzione software, backup dati
  • Servizi di notifica:
    • Amazon SES (email) - Server EU (Irlanda)
    • Twilio (SMS) - USA con Standard Contractual Clauses
  • Autorità competenti: Solo su richiesta legale (ASL, magistratura, ecc.)
Tutti i fornitori esterni sono vincolati da contratti di Data Processing Agreement (DPA) conformi al GDPR e garantiscono adeguate misure di sicurezza.

6. Trasferimento Dati Extra-UE

Alcuni fornitori di servizi potrebbero trovarsi fuori dall'Unione Europea (es. Twilio - USA). In questi casi, il trasferimento avviene tramite:

  • Standard Contractual Clauses (SCC) approvate dalla Commissione Europea
  • Adequacy Decision per paesi riconosciuti come sicuri
  • Privacy Shield successor frameworks quando applicabili

7. Periodo di Conservazione

I dati personali sono conservati per i seguenti periodi:

Tipologia Dati Periodo di Conservazione
Dati sanitari e piani terapeutici 6 anni (obbligo di legge - D.Lgs. 196/2003)
Dati contabili e fatture 10 anni (obbligo fiscale)
Log di accesso e audit 90 giorni (policy interna)
Consenso marketing Fino a revoca o 2 anni di inattività

8. I Tuoi Diritti (GDPR Art. 15-22)

Hai il diritto di:

Accesso (Art. 15)

Ottenere conferma che i tuoi dati sono trattati e ricevere copia dei dati

Rettifica (Art. 16)

Correggere dati inesatti o integrare dati incompleti

Cancellazione (Art. 17)

Richiedere la cancellazione dei dati (diritto all'oblio), nei limiti di legge

Limitazione (Art. 18)

Limitare il trattamento in caso di contestazione o opposizione

Portabilità (Art. 20)

Ricevere i tuoi dati in formato strutturato e trasmetterli ad altro titolare

Opposizione (Art. 21)

Opporti al trattamento per marketing o altre finalità non obbligatorie

Come Esercitare i Tuoi Diritti

Per esercitare i tuoi diritti, invia una richiesta scritta a:

Risponderemo entro 30 giorni dalla richiesta (GDPR Art. 12)

9. Diritto di Reclamo

Se ritieni che il trattamento dei tuoi dati violi il GDPR, hai il diritto di presentare reclamo all'Autorità Garante per la Protezione dei Dati Personali:

Garante per la Protezione dei Dati Personali

Piazza Venezia, 11 - 00187 Roma

Tel: +39 06.69677.1

Email: garante@gpdp.it

Sito: www.garanteprivacy.it

10. Misure di Sicurezza

Adottiamo misure tecniche e organizzative adeguate per proteggere i dati:

  • Crittografia: Connessioni HTTPS/TLS, database cifrati
  • Autenticazione: Password robuste (min. 14 caratteri), session timeout
  • Controllo accessi: Accesso limitato solo a personale autorizzato
  • Backup: Backup giornalieri cifrati con conservazione sicura
  • Audit: Log di accesso e modifiche per tracciabilità completa
  • Formazione: Personale formato su privacy e sicurezza dati

11. Modifiche a questa Privacy Policy

Questa Privacy Policy può essere aggiornata periodicamente per riflettere cambiamenti normativi o nelle nostre pratiche di trattamento. La data di ultimo aggiornamento è sempre indicata in cima alla pagina.

In caso di modifiche sostanziali, ti informeremo tramite email o notifica sulla piattaforma.

Per ulteriori informazioni o domande sulla presente Privacy Policy, contatta il nostro team Privacy all'indirizzo privacy@example.com

Cookie Policy Termini di Servizio