Informativa sul trattamento dei dati personali
Ai sensi degli artt. 13–14 del Regolamento UE 2016/679 (GDPR) · Ultimo aggiornamento: maggio 2025
1. Titolare del trattamento
[NOME AZIENDA]
Sede legale: [INDIRIZZO]
Email: [EMAIL CONTATTO]
Responsabile della protezione dei dati (DPO): dpo@surgivibe.it
2. Categorie di dati trattati
- Dati identificativi: nome, cognome, indirizzo email, numero di telefono
- Dati di autenticazione: password in forma cifrata (bcrypt), token JWT
- Dati sanitari (categorie particolari): immagini diagnostiche DICOM (CBCT, OPT, endorali), scansioni STL, domande cliniche e risposte dei chirurghi
- Dati tecnici: indirizzo IP, log di accesso, orari di connessione
Nota sulla pseudonimizzazione: gli utenti sono tenuti a non inserire dati identificativi diretti del paziente nella piattaforma. Le immagini diagnostiche devono essere associate a codici paziente anonimi (es. PAZ-2024-001), non a nomi o codici fiscali.
3. Finalità e base giuridica
| Finalità | Base giuridica (art. 6 GDPR) |
|---|---|
| Erogazione del servizio (gestione account, accesso ai casi) | Esecuzione del contratto – art. 6(1)(b) |
| Invio email di notifica e recupero password | Esecuzione del contratto – art. 6(1)(b) |
| Log di accesso ai dati sanitari (tracciabilità GDPR) | Obbligo legale – art. 6(1)(c) |
| Trattamento dati sanitari tramite piattaforma | Consenso esplicito – art. 9(2)(a) GDPR |
| Approvazione account cliniche e gestione utenti | Legittimo interesse – art. 6(1)(f) |
4. Periodo di conservazione
- Dati account: per tutta la durata del contratto + 3 anni dalla chiusura
- Immagini diagnostiche e casi clinici: 3 anni dalla chiusura del caso, salvo obblighi di legge più stringenti in materia sanitaria
- Log di accesso: 2 anni
- Password reset token: 1 ora (scadono automaticamente)
5. Destinatari dei dati
I dati non vengono ceduti a terzi per finalità commerciali. Possono essere comunicati a:
- Fornitori di infrastruttura cloud (hosting, database) in qualità di Responsabili del trattamento ex art. 28 GDPR, con adeguate garanzie contrattuali
- Chirurghi assegnati dalla clinica, esclusivamente per la consultazione dei casi loro assegnati
- Autorità competenti, ove richiesto per legge
6. Trasferimento dati extra-UE
I dati sono trattati all'interno dello Spazio Economico Europeo (SEE). Eventuali trasferimenti verso paesi terzi avverranno solo in presenza di garanzie adeguate ai sensi degli artt. 44–49 GDPR (es. clausole contrattuali standard della Commissione UE).
7. Diritti dell'interessato
Ai sensi degli artt. 15–22 GDPR, l'interessato ha diritto di:
- Accesso (art. 15): ottenere copia dei dati personali trattati
- Rettifica (art. 16): correggere dati inesatti o incompleti
- Cancellazione (art. 17): richiedere la cancellazione ("diritto all'oblio"), salvo obblighi di legge
- Limitazione (art. 18): limitare il trattamento in determinati casi
- Portabilità (art. 20): ricevere i dati in formato strutturato e leggibile da macchina
- Opposizione (art. 21): opporsi al trattamento basato su legittimo interesse
- Revoca del consenso (art. 7): senza pregiudizio per il trattamento effettuato precedentemente
Le richieste possono essere inviate a: privacy@surgivibe.it. Il titolare risponde entro 30 giorni (prorogabili di altri 60 in casi complessi). È inoltre possibile proporre reclamo all'Autorità Garante per la protezione dei dati personali (www.garanteprivacy.it).
8. Sicurezza dei dati
Surgivibe adotta misure tecniche e organizzative adeguate ai sensi dell'art. 32 GDPR:
- Cifratura delle password con bcrypt (cost factor 12)
- Autenticazione tramite JWT con scadenza 7 giorni
- Comunicazioni cifrate via HTTPS/TLS
- Accesso ai dati sanitari limitato ai soli chirurghi espressamente assegnati
- Log di audit per ogni accesso ai casi clinici
- Backup periodici del database
9. Aggiornamenti
La presente informativa può essere aggiornata. Le modifiche sostanziali saranno comunicate via email agli utenti registrati. La versione vigente è sempre disponibile su questa pagina.