Informativa sul trattamento dei dati personali
Ai sensi degli articoli 13 e 14 del Regolamento UE 2016/679 (GDPR) e del D.Lgs. 196/2003
come modificato dal D.Lgs. 101/2018 (Codice Privacy italiano).
Ultimo aggiornamento: [DATA]
1. Titolare del trattamento
Il Titolare del trattamento dei dati degli utenti del servizio (professionisti registrati) è:
[NOME / RAGIONE SOCIALE]
P.IVA: [PARTITA IVA]
Sede legale: [INDIRIZZO COMPLETO]
Email: [EMAIL CONTATTO]
PEC: [INDIRIZZO PEC]
Per quanto riguarda i dati dei soggetti periziati e delle parti processuali inseriti nell'applicativo, il professionista utente agisce in qualità di titolare autonomo del trattamento; medico legale OS opera in qualità di responsabile del trattamento ai sensi dell'art. 28 GDPR (si veda il relativo Accordo DPA).
2. Tipologie di dati trattati
2.1 Dati degli utenti (professionisti registrati)
- Dati identificativi: nome, cognome, titolo professionale, indirizzo email
- Dati professionali: specializzazione, numero di iscrizione all'albo, partita IVA, dati di fatturazione
- Dati di utilizzo: log di accesso, timestamp delle operazioni, preferenze dell'interfaccia
- Dati di pagamento: gestiti direttamente dal provider di pagamento (Stripe); medico legale OS non conserva dati della carta di credito
2.2 Dati dei soggetti periziati (trattati per conto dell'utente)
- Dati anagrafici del periziando (nome, cognome, data di nascita, codice fiscale)
- Dati sanitari: anamnesi, esame obiettivo, diagnosi, valutazioni di danno biologico e invalidità
- Dati giudiziari: numero R.G., tribunale, giudice designato, tipo di procedimento
- Documenti allegati: referti, cartelle cliniche, atti processuali in formato digitale
- Perizie redatte e relative versioni storicizzate
3. Basi giuridiche del trattamento
| Finalità | Base giuridica | Riferimento normativo |
|---|---|---|
| Erogazione del servizio (account, autenticazione) | Esecuzione del contratto | Art. 6(1)(b) GDPR |
| Fatturazione e adempimenti fiscali | Obbligo legale | Art. 6(1)(c) GDPR |
| Audit trail e integrità dei dati peritali | Legittimo interesse / obbligo legale | Art. 6(1)(c)(f) GDPR |
| Trattamento dati sanitari per conto del CTU | Accertamento/difesa diritti in sede giudiziaria | Art. 9(2)(f) GDPR |
| Comunicazioni di servizio (aggiornamenti, sicurezza) | Legittimo interesse | Art. 6(1)(f) GDPR |
| Comunicazioni commerciali e marketing | Consenso | Art. 6(1)(a) GDPR |
4. Modalità del trattamento e sicurezza
Il trattamento avviene con modalità prevalentemente automatizzate. I dati sono conservati su infrastruttura Supabase (PostgreSQL), con data center localizzato in Frankfurt, Germania (EU), soggetto al Regolamento GDPR senza trasferimenti extraeuropei.
Misure di sicurezza adottate:
- Cifratura dei dati in transito (TLS 1.3) e a riposo (AES-256)
- Autenticazione con password hashata (bcrypt) e sessioni con token JWT a scadenza
- Row Level Security (RLS) su tutte le tabelle: ogni utente accede esclusivamente ai propri dati
- Audit trail immutabile di tutte le operazioni sui fascicoli (INSERT, UPDATE, DELETE)
- Backup automatici giornalieri con retention 30 giorni
- Accesso ai sistemi di produzione limitato al personale tecnico autorizzato
5. Tempi di conservazione
| Categoria di dati | Periodo di conservazione | Motivazione |
|---|---|---|
| Dati account e profilo | Durata del contratto + 24 mesi | Gestione recessi e controversie |
| Dati di fatturazione | 10 anni dalla fattura | Obbligo fiscale (art. 2220 c.c.) |
| Fascicoli peritali e relativi allegati | Durata del contratto + 12 mesi | Periodo di grazia per esportazione |
| Audit trail (log operazioni) | 5 anni | Valore probatorio in ambito giudiziario |
| Log di accesso e sicurezza | 12 mesi | Rilevamento intrusioni e sicurezza |
| Dati di marketing (con consenso) | Fino a revoca del consenso | — |
Alla scadenza del contratto, l'utente ha 12 mesi di tempo per esportare i propri dati. Trascorso tale periodo, i dati peritali vengono cancellati definitivamente. I dati di fatturazione vengono conservati per gli obblighi di legge.
6. Comunicazione e diffusione dei dati
I dati personali non vengono venduti né ceduti a terzi per finalità commerciali.
I dati possono essere comunicati esclusivamente ai seguenti soggetti:
- Supabase Inc. — provider infrastruttura database e autenticazione, con sede in USA ma con server EU (Frankfurt); agisce come responsabile del trattamento ex art. 28 GDPR con Standard Contractual Clauses (SCC) ratificate
- Vercel Inc. — provider hosting e CDN per la distribuzione dell'applicativo frontend; non ha accesso ai dati del database
- Stripe Inc. — provider elaborazione pagamenti; tratta esclusivamente i dati di pagamento necessari per la sottoscrizione dell'abbonamento
- Autorità giudiziarie e amministrative — su richiesta formale e nei limiti previsti dalla legge
Per le integrazioni opzionali (Google Cloud Vision per OCR, OpenAI Whisper per trascrizione vocale), i dati vengono trasmessi esclusivamente quando l'utente attiva esplicitamente tali funzionalità e solo per il tempo necessario all'elaborazione; non vengono conservati dai provider per finalità proprie.
7. Diritti dell'interessato
In qualità di interessato, hai i seguenti diritti ai sensi degli artt. 15–22 GDPR:
- Accesso (art. 15): ottenere conferma del trattamento e copia dei dati
- Rettifica (art. 16): correggere dati inesatti o incompleti
- Cancellazione (art. 17): richiedere la cancellazione ("diritto all'oblio"), salvo obblighi di conservazione legale
- Limitazione (art. 18): richiedere la sospensione del trattamento in determinate circostanze
- Portabilità (art. 20): ricevere i dati in formato strutturato e leggibile da macchina (JSON/CSV)
- Opposizione (art. 21): opporsi al trattamento basato su legittimo interesse
- Revoca del consenso: in qualsiasi momento, senza pregiudizio per il trattamento precedente
Per esercitare questi diritti, scrivi a: [EMAIL PRIVACY]
Risponderemo entro 30 giorni dalla ricezione della richiesta (art. 12 GDPR).
Hai inoltre il diritto di proporre reclamo al Garante per la protezione dei dati personali (www.garanteprivacy.it), se ritieni che il trattamento violi il GDPR.
8. Cookie e tecnologie di tracciamento
medico legale OS è un'applicazione web progressiva (PWA) che utilizza esclusivamente:
- Cookie tecnici di sessione — necessari per il funzionamento dell'autenticazione; non richiedono consenso
- LocalStorage — per preferenze dell'interfaccia (tema chiaro/scuro, layout); nessun dato personale
Non utilizziamo cookie di profilazione, cookie di terze parti a fini pubblicitari, né sistemi di analisi comportamentale (es. Google Analytics, Facebook Pixel).
9. Minori
Il servizio è destinato esclusivamente a professionisti adulti. Non raccogliamo consapevolmente dati di minori di 18 anni come utenti del servizio. I dati di soggetti minorenni che possono comparire nei fascicoli peritali sono trattati esclusivamente su istruzione del professionista titolare, nell'ambito della sua attività professionale regolamentata.
10. Modifiche alla presente informativa
Ci riserviamo il diritto di aggiornare la presente informativa per riflettere modifiche normative o del servizio. In caso di modifiche sostanziali, gli utenti verranno notificati via email almeno 30 giorni prima dell'entrata in vigore. L'uso continuato del servizio dopo tale termine costituisce accettazione delle modifiche.
La versione aggiornata è sempre disponibile all'indirizzo medicolegale.app/privacy.
11. Contatti
Per qualsiasi questione relativa alla privacy:
Email: [EMAIL PRIVACY]
PEC: [INDIRIZZO PEC]
Posta: [INDIRIZZO COMPLETO]