Bozza — Questo documento deve essere revisionato da un consulente legale prima della pubblicazione.
Informativa sulla Privacy
Ai sensi dell'Art. 13 del Regolamento UE 2016/679 (GDPR)
Ultimo aggiornamento: 26 marzo 2026 — Versione 1.0
1. Titolare del Trattamento
Il Titolare del Trattamento dei dati personali raccolti tramite la piattaforma Fisiofattura è [Ragione Sociale del Titolare], con sede legale in [Indirizzo], P.IVA [Partita IVA], email: privacy@fisiofattura.it.
2. Responsabile del Trattamento
Fisiofattura agisce in qualità di Responsabile del Trattamento (Data Processor) ai sensi dell'Art. 28 GDPR per i dati dei pazienti inseriti dai professionisti sanitari, i quali rimangono Titolari autonomi del trattamento per i dati dei propri assistiti.
3. Categorie di Dati Trattati
- Dati identificativi e di contatto: nome, cognome, email, indirizzo, codice fiscale
- Dati professionali: qualifica, ordine professionale, numero iscrizione albo, P.IVA, ragione sociale, sede legale
- Dati fiscali: fatture, pagamenti, codice fiscale pazienti
- Dati particolari (Art. 9 GDPR): dati sanitari dei pazienti (anamnesi, diagnosi, obiettivi terapeutici, controindicazioni, note cliniche, piani terapeutici, documenti medici)
- Dati di navigazione: log di accesso, indirizzo IP, informazioni sul browser
4. Finalità e Base Giuridica del Trattamento
| Finalità | Base Giuridica |
|---|---|
| Erogazione del servizio gestionale | Esecuzione del contratto (Art. 6.1.b) |
| Fatturazione e adempimenti fiscali | Obbligo di legge (Art. 6.1.c) |
| Invio dati al Sistema Tessera Sanitaria | Obbligo di legge (Art. 6.1.c) |
| Trattamento dati sanitari dei pazienti | Finalità di cura (Art. 9.2.h) / Consenso (Art. 9.2.a) |
| Promemoria appuntamenti | Esecuzione del contratto (Art. 6.1.b) |
5. Destinatari dei Dati
- Sistema Tessera Sanitaria (MEF) — per l'invio delle spese sanitarie detraibili
- Stripe, Inc. (USA, Data Privacy Framework) — per la gestione dei pagamenti degli abbonamenti
- Resend, Inc. (USA, Data Privacy Framework) — per l'invio di email transazionali e promemoria
- Provider di hosting — per l'infrastruttura server e database
6. Trasferimenti Extra-UE
Alcuni sub-responsabili del trattamento (Stripe, Resend) hanno sede negli Stati Uniti. I trasferimenti avvengono sulla base del Data Privacy Framework (DPF) UE-USA, in conformità alla decisione di adeguatezza della Commissione Europea.
7. Tempi di Conservazione
- Dati fiscali e fatture: 10 anni dalla data di emissione (Art. 2220 Codice Civile)
- Dati clinici: 10 anni, salvo diversi obblighi normativi
- Dati di servizio: per tutta la durata del contratto e successivamente per il periodo necessario agli adempimenti di legge
- Log di accesso: 12 mesi
8. Diritti dell'Interessato
Ai sensi degli Artt. 15-22 del GDPR, l'interessato ha diritto di:
- Accesso (Art. 15): ottenere conferma e copia dei propri dati personali
- Rettifica (Art. 16): correggere dati inesatti o incompleti
- Cancellazione (Art. 17): richiedere la cancellazione dei dati, nel rispetto degli obblighi di conservazione
- Limitazione (Art. 18): limitare il trattamento in determinati casi
- Portabilità (Art. 20): ricevere i propri dati in formato strutturato e leggibile
- Opposizione (Art. 21): opporsi al trattamento per motivi legittimi
Per esercitare i propri diritti, scrivere a: privacy@fisiofattura.it
9. Misure di Sicurezza
- Crittografia dei dati in transito (HTTPS/TLS)
- Crittografia at-rest dei dati sanitari sensibili (AES-256)
- Autenticazione sicura con protezione anti brute-force
- Controllo accessi basato su proprietà (ogni professionista accede solo ai propri dati)
- Audit trail delle operazioni su dati sensibili
- Cookie di sessione con flag Secure, HttpOnly, SameSite
10. Reclamo al Garante
L'interessato ha diritto di proporre reclamo all'Autorità Garante per la Protezione dei Dati Personali (www.garanteprivacy.it) qualora ritenga che il trattamento dei propri dati avvenga in violazione del GDPR.
11. Contatti
Per qualsiasi domanda relativa al trattamento dei dati personali:
Email: privacy@fisiofattura.it