Informativa Privacy

Informativa ai sensi degli artt. 13 e 14 del Regolamento UE 2016/679 ("GDPR") e della normativa italiana di riferimento, con specifico riguardo al trattamento di dati relativi alla salute (categoria particolare ex art. 9 GDPR).

Ultimo aggiornamento: 2026-04-18

1. Titolare del trattamento

Salute di Ferro — Titolare del trattamento in corso di costituzione
Email: info@salutediferro.com

2. Dati raccolti

Raccogliamo le seguenti categorie di dati:

• Dati identificativi: nome, cognome, email, telefono, data di nascita, codice fiscale, indirizzo di emergenza.
• Dati relativi alla salute (art. 9 GDPR): parametri biometrici (peso, composizione corporea, circonferenze, pressione arteriosa, frequenza cardiaca, sonno, glicemia, ecc.), referti medici e documentazione sanitaria, condizioni mediche, allergie, farmaci assunti, infortuni, questionari di check-in periodici.
• Dati di utilizzo del servizio: accessi, log operativi, indirizzo IP, user agent, interazioni con l' applicazione.
• Cookie tecnici: necessari al funzionamento dell'applicazione (sessione, preferenze di interfaccia). Per i dettagli vedi la Cookie Policy.

3. Finalità e basi giuridiche

• Erogazione del servizio di coordinamento sanitario— gestione del percorso di cura fra paziente, medico e coach, archiviazione di referti, parametri biometrici e appuntamenti. Base giuridica: art. 6(1)(b) GDPR (esecuzione di un contratto / misure precontrattuali).
• Trattamento di dati relativi alla salute — Base giuridica: art. 9(2)(a) GDPR (consenso esplicito dell'interessato) in combinato con art. 9(2)(h) (finalità di medicina preventiva, diagnosi e assistenza sanitaria, sotto la responsabilità di un professionista soggetto a segreto professionale).
• Sicurezza della piattaforma — log di accesso, rate limiting, audit delle azioni sensibili. Base giuridica: art. 6(1)(f) GDPR (legittimo interesse alla sicurezza e prevenzione di abusi) e art. 32 GDPR (misure tecniche adeguate).
• Analisi aggregate e miglioramento del servizio— solo con il tuo consenso esplicito (vedi banner cookie). Base giuridica: art. 6(1)(a) GDPR.
• Obblighi di legge (fatturazione, conservazione fiscale, richieste di autorità). Base giuridica: art. 6(1)(c) GDPR.

4. Conferimento dei dati

Il conferimento dei dati identificativi e sanitari è necessario per erogare il servizio: un eventuale rifiuto comporta l'impossibilità di accedere alle funzionalità cliniche della piattaforma. Il consenso a finalità analitiche è facoltativo e revocabile senza conseguenze sul servizio.

5. Destinatari dei dati

I tuoi dati sono accessibili solo al personale autorizzato (medici, coach e amministratori) con cui hai una relazione attiva sulla piattaforma. L'accesso ai referti medici è granulare: ogni documento è visibile solo ai professionisti che hai esplicitamente autorizzato, con permessi revocabili in qualsiasi momento.

I dati sono trattati tramite i seguenti responsabili del trattamento (art. 28 GDPR), vincolati da contratto di trattamento dati:

• Supabase (Supabase Inc.) — Database PostgreSQL, autenticazione, storage file sanitari (bucket privato). Localizzazione: UE (eu-north-1 / Stockholm). DPA
• Vercel (Vercel Inc.) — Hosting dell'applicazione, CDN, function runtime. Localizzazione: Stati Uniti — trasferimento ex Art. 46 GDPR (SCC). DPA
• Cloudflare (Cloudflare Inc.) — DNS e gestione certificati per my.salutediferro.com. Localizzazione: Stati Uniti — trasferimento ex Art. 46 GDPR (SCC). DPA
• Upstash (Upstash, Inc.) — Rate limiter distribuito (contatori HTTP, no PII). Localizzazione: UE (eu-west-1 / Dublin). DPA

6. Trasferimenti verso Paesi extra-UE

Alcuni dei nostri fornitori (Vercel, Cloudflare) hanno sede negli Stati Uniti. I trasferimenti avvengono sulla base delle Clausole Contrattuali Standard approvate dalla Commissione Europea (art. 46 GDPR) e/o delle certificazioni EU-U.S. Data Privacy Framework, ove applicabili. I dati sanitari sono archiviati all'interno dell'Unione Europea (Supabase, region eu-north-1) e non sono trasferiti al di fuori dell'UE per finalità di storage.

7. Conservazione dei dati

• Account attivo: i dati sono conservati per tutta la durata del rapporto di servizio.
• Dati sanitari: conservati fino a revoca del consenso o cancellazione dell'account, nel rispetto degli obblighi di conservazione previsti dalla normativa sanitaria italiana (in particolare, ove applicabili, i tempi minimi di conservazione per cartelle cliniche e referti previsti dal Codice Deontologico Medico e dalle linee guida del Garante).
• Log di accesso e audit: conservati per 12 mesi per finalità di sicurezza, poi anonimizzati o cancellati.
• Dati contabili: 10 anni come da normativa civilistico-fiscale.

8. I tuoi diritti

Ai sensi degli artt. 15-22 GDPR hai diritto di:

• accedere ai tuoi dati personali (art. 15);
• rettificare dati inesatti (art. 16);
• ottenere la cancellazione dei tuoi dati ("diritto all'oblio", art. 17) — la funzione è attiva direttamente in app dall'area Profilo;
• richiedere la limitazione del trattamento (art. 18);
• ricevere i tuoi dati in formato strutturato e leggibile da dispositivo automatico ("portabilità", art. 20) — export JSON disponibile in app;
• opporti al trattamento fondato su legittimo interesse (art. 21);
• non essere sottoposto a decisioni automatizzate incidenti sulla tua persona (art. 22): la piattaforma non opera profilazioni automatizzate con effetti giuridici o rilevanti sulla tua salute;
• revocare in qualsiasi momento i consensi prestati, senza pregiudizio della liceità dei trattamenti effettuati in precedenza.

Per esercitare i tuoi diritti scrivi a info@salutediferro.com. Ti risponderemo entro 30 giorni (prorogabili di ulteriori 60 in casi complessi).

9. Reclamo all'autorità di controllo

Se ritieni che il trattamento dei tuoi dati violi il GDPR hai il diritto di proporre reclamo al Garante per la Protezione dei Dati Personali, ferma restando ogni altra tutela amministrativa o giurisdizionale.

10. Sicurezza

Adottiamo misure tecniche e organizzative adeguate al rischio elevato tipico dei dati sanitari (art. 32 GDPR):

• crittografia delle connessioni (HTTPS obbligatorio, HSTS);
• crittografia dei dati a riposo a livello di database e storage;
• autenticazione a più fattori per gli account professionali (DOCTOR, COACH, ADMIN);
• accessi ai documenti clinici mediati da URL firmati a tempo limitato;
• audit log inalterabile di ogni azione sensibile (accessi, upload/visualizzazione referti, modifica permessi, export, cancellazione);
• backup automatici con point-in-time recovery e test periodici di restore;
• separazione rigorosa dei ruoli e principio del minimo privilegio.

11. Minori

Il servizio non è rivolto a minori di 16 anni. Per i minori tra 14 e 18 anni il trattamento dei dati sanitari è lecito solo con il consenso prestato dall'esercente la responsabilità genitoriale. Qualora venissimo a conoscenza di un account registrato da un minore senza tale consenso, procederemo alla sua cancellazione.

12. Modifiche all'informativa

Possiamo aggiornare la presente informativa in caso di evoluzioni normative o del servizio. Le modifiche sostanziali ti saranno comunicate via email e tramite notifica in app prima di divenire efficaci.