Informativa Privacy
1. Titolare del trattamento
Il Titolare del trattamento dei dati raccolti tramite questa piattaforma (relativi all'account utente: email, credenziali, log di accesso) è:
- [RAGIONE SOCIALE / NOME E COGNOME]
- Sede legale: [INDIRIZZO]
- P.IVA / CF: [DATI]
- Email di contatto privacy: privacy@yourdreamhub.com
- DPO (se nominato): [NOME / EMAIL]
Importante: per i dati clinici dei pazienti caricati nella piattaforma, il Titolare è il professionista sanitario che utilizza il servizio. NeuroLens agisce come Responsabile del trattamento ex art. 28 GDPR. Vedi DPA.
2. Categorie di dati trattati
2.1 Dati dell'utente (professionista) — Titolare: NeuroLens
- Indirizzo email
- Password (memorizzata come hash bcrypt, non in chiaro)
- Indirizzo IP, user agent e timestamp di ogni azione (audit log)
- Eventuali dati di fatturazione (se attiva la sottoscrizione a pagamento)
2.2 Dati dei pazienti — Titolare: il professionista sanitario
- Identificativi anagrafici inseriti dal professionista (nome, cognome, data di nascita)
- Registrazioni audio dei colloqui
- Trascrizioni testuali e sintesi cliniche generate
- Note libere associate
Si tratta di dati appartenenti a categorie particolari (art. 9 GDPR: salute). NeuroLens accede a tali dati esclusivamente in qualità di Responsabile del trattamento nominato dal professionista, secondo le istruzioni documentate nel DPA.
3. Finalità del trattamento
- Erogazione del servizio di trascrizione, diarizzazione e sintesi clinica
- Gestione dell'account utente (registrazione, autenticazione, fatturazione)
- Sicurezza e prevenzione abusi (audit log, rate-limiting)
- Adempimenti di legge (fiscali, antiriciclaggio se applicabili)
- (facoltativo, su consenso separato) Invio di comunicazioni informative
4. Base giuridica
- Esecuzione del contratto (art. 6.1.b) per la fornitura del servizio
- Obbligo legale (art. 6.1.c) per fatturazione e conservazione documentale
- Legittimo interesse (art. 6.1.f) per sicurezza, audit, antifrode
- Consenso esplicito dell'interessato (art. 9.2.a + art. 7) per il marketing
- Per i dati clinici dei pazienti: il consenso lo raccoglie il professionista; NeuroLens tratta su istruzione del Titolare (art. 28)
5. Periodi di conservazione
| Dato | Conservazione | Motivo |
|---|---|---|
| Account utente e dati clinici | Cancellati all'eliminazione account / fine abbonamento; rimossi dai backup cifrati entro 14 gg | Esecuzione contratto, minimizzazione |
| Dati di fatturazione (presso Stripe) | Conservati da Stripe secondo i suoi termini e gli obblighi fiscali | Obbligo di legge (art. 6.1.c / 17.3.b) |
| Audit log (access_logs) | 24 mesi | Sicurezza, art. 5.1.f |
| Trascrizioni e dati clinici | 365 giorni (impostazione default, configurabile dal professionista) | Istruzione del Titolare nel DPA |
| File audio originali | Eliminati al termine della trascrizione | Minimizzazione, art. 5.1.c |
| Storico consensi (user_consents) | Per tutta la durata del rapporto + cancellati con l'account | Art. 7.1 (dimostrare il consenso) |
| Documenti fiscali | 10 anni | Obbligo di legge |
6. Destinatari e sub-responsabili
I dati possono essere comunicati ai sub-responsabili elencati alla pagina Sub-responsabili, ognuno dei quali ha sottoscritto un accordo ex art. 28 GDPR.
Pagamenti — Stripe. I pagamenti sono gestiti da Stripe, che agisce quale titolare autonomo del trattamento dei dati di pagamento secondo la propria privacy policy. NeuroLens non riceve né conserva i dati della carta; tratta solo i riferimenti necessari (identificativo cliente/abbonamento) e legge i dati di fatturazione da Stripe quando necessario per emettere le fatture. A Stripe non viene trasmesso alcun dato clinico.
7. Trasferimenti extra-UE
I dati clinici e l'infrastruttura restano nell'Unione Europea. L'unico possibile trasferimento extra-UE riguarda i dati di fatturazione gestiti da Stripe, che può trattarli anche negli Stati Uniti sulla base di Clausole Contrattuali Standard e dell'EU-US Data Privacy Framework. Per il resto, qualora altri trasferimenti dovessero diventare necessari, saranno effettuati esclusivamente con soggetti che garantiscano un livello di protezione adeguato (decisione di adeguatezza, clausole contrattuali standard SCC, BCR).
8. Diritti dell'interessato
Hai il diritto di:
- Accedere ai tuoi dati (art. 15) e ottenerne una copia dalla pagina Profilo della dashboard
- Rettificare dati inesatti (art. 16) — dalla pagina profilo
- Chiedere la cancellazione (art. 17) — dalla dashboard (eliminazione account) o contattando il titolare
- Limitare il trattamento (art. 18)
- Portabilità (art. 20) — formato JSON+CSV via export
- Opporti al trattamento (art. 21), inclusa l'aggiunta di nuovi sub-responsabili
- Revocare il consenso in qualsiasi momento (senza pregiudizio del trattamento pregresso)
- Proporre reclamo all'Autorità Garante per la Protezione dei Dati Personali (garanteprivacy.it)
9. Cookie
NeuroLens utilizza esclusivamente cookie tecnici indispensabili al
funzionamento dell'autenticazione (access_token, nl_auth).
Non vengono utilizzati cookie di profilazione o analitici. Non è richiesto banner cookie.
10. Misure di sicurezza
- Trasporto cifrato HTTPS/TLS con HSTS
- Password memorizzate con bcrypt
- Token di sessione JWT con scadenza, cookie
HttpOnly+Secure+SameSite - Rate limiting su endpoint sensibili
- Audit log di tutte le azioni rilevanti
- Backup cifrati periodici
- Backup del database cifrati (AES-256); cifratura applicativa dei campi clinici pianificata. La cifratura dell'intero disco non è adottata sulla VM cloud per scelta basata sul rischio (art. 32)
- Mascheramento automatico degli identificativi di contatto (telefoni, email, codice fiscale, indirizzi, date, numeri di pratica) nel testo prima della sintesi; i nomi restano per la coerenza clinica. L'audio per la trascrizione è inviato non mascherato a un sub-responsabile UE ed eliminato dopo l'uso
11. Modifiche all'informativa
La versione e la data di ogni modifica sono pubblicate in cima a questo documento. Modifiche sostanziali richiederanno una nuova accettazione esplicita al successivo accesso.