I primi 100 iscritti ottengono il 20% di sconto fisso per 12 mesi.

Informativa Privacy — GestAI

(ai sensi degli artt. 13-14 Regolamento UE 2016/679 "GDPR")

Versione 2.1 — in vigore dalla data di pubblicazione

La presente informativa descrive le modalità e le finalità del trattamento dei dati personali degli utenti che utilizzano la piattaforma GestAI e, in parte, dei dati inseriti all'interno della stessa. L'informativa è rivolta ai professionisti utenti della piattaforma e, per trasparenza, anche agli interessati i cui dati personali possono essere caricati su GestAI (es. pazienti degli utenti professionisti), fermo restando che in quest'ultimo caso GestAI opera come responsabile del trattamento per conto del professionista (vedi Sezione 2).

1. Titolare del Trattamento

Il Titolare del trattamento dei dati (relativamente ai dati di cui alla Sezione 2.A) è 4Mee S.r.l., con sede legale in Via Carrate 42, 41030 Solara di Bomporto (MO), Italia.

(Nota: 4Mee S.r.l. è la società proprietaria e gestore della piattaforma GestAI).

Referente Privacy interno. La Società si avvale di un referente privacy interno, nominato con apposita delega e contattabile all'indirizzo privacy@gestai.it. Il referente privacy coordina operativamente le attività di protezione dei dati personali connesse a GestAI, e in particolare:

  • raccoglie e gestisce le richieste privacy provenienti da utenti o da autorità competenti (es. esercizio dei diritti ex artt. 15–22 GDPR, richieste di chiarimenti, reclami), assicurando la tracciabilità delle risposte;
  • cura l'aggiornamento e la coerenza della documentazione privacy e security (presente informativa, elenco sub-responsabili, policy interne, template di comunicazione), coordinandosi con consulenti legali/tecnici quando necessario;
  • presidia il processo di nomina e verifica dei fornitori che trattano dati per conto di GestAI (sub-responsabili), inclusa la predisposizione e gestione dei relativi accordi/nomine ai sensi dell'art. 28 GDPR;
  • supporta il team tecnico nell'adozione e nel mantenimento di misure tecniche e organizzative adeguate ai sensi dell'art. 32 GDPR;
  • coordina la gestione degli incidenti e delle potenziali violazioni di dati personali (data breach), inclusa la raccolta delle informazioni, la valutazione preliminare dell'impatto, l'attivazione delle misure di contenimento e la predisposizione delle comunicazioni necessarie nei termini di legge.

Resta fermo che la titolarità del trattamento e le responsabilità legali ultime in materia di protezione dei dati personali fanno capo a 4Mee S.r.l., quale Titolare del trattamento, e che il Referente Privacy opera per conto della Società nell'ambito della propria delega organizzativa interna.

Valutazione sull'obbligo di nomina del DPO. La Società ha condotto una valutazione documentata interna sull'obbligatorietà della nomina di un Responsabile della Protezione dei Dati ai sensi dell'art. 37 GDPR. La valutazione tiene conto della struttura organizzativa attuale, della natura dei trattamenti effettuati, del numero di interessati e dei vincoli di indipendenza richiesti per il ruolo. La Società si impegna a rivalutare periodicamente l'opportunità della nomina in funzione della crescita della struttura e del volume dei trattamenti. La documentazione è disponibile per l'Autorità di controllo su richiesta.

2. Tipologie di Dati Trattati e Ruolo di GestAI

La piattaforma GestAI tratta diverse tipologie di dati personali. Di seguito distinguiamo tra:

A. Dati personali trattati da GestAI in qualità di Titolare del trattamento: si tratta delle informazioni fornite direttamente dall'Utente professionista durante la registrazione o nel corso dell'utilizzo della piattaforma, nonché dei dati raccolti automaticamente dal sistema per il funzionamento del servizio. In particolare, rientrano in questa categoria:

  • Dati anagrafici e di contatto dell'Utente: nome, cognome, email, numero di telefono, professione e/o qualifica professionale (es. Psicologo, Psicoterapeuta, etc.), numero di iscrizione all'Albo, e altri dati eventualmente forniti in fase di creazione dell'account o successivamente nel profilo utente.
  • Credenziali di autenticazione: qualora l'Utente si registri con email e password, verranno trattati l'indirizzo email e la password hash (la password è conservata in forma cifrata e non è accessibile in chiaro da GestAI).
  • Dati di fatturazione e pagamento: denominazione o ragione sociale, indirizzo di fatturazione, codice fiscale/partita IVA, estremi dell'ordine di acquisto, importo pagato, metodo di pagamento utilizzato (es. circuito carta di credito, ultimi 4 numeri della carta — non viene memorizzato il numero completo né il CVV). I dati della carta di credito o altri strumenti di pagamento vengono inseriti dall'Utente in apposite pagine gestite direttamente dal fornitore di pagamento terzo (Stripe) e non transitano nei server di GestAI, se non in forma tokenizzata.
  • Dati tecnici di utilizzo e navigazione: log di accesso all'account (timestamp di login e logout, IP di provenienza, eventuali log di errore), informazioni sul dispositivo e software utilizzato, dati relativi alle operazioni svolte sulla piattaforma. Questi dati sono raccolti automaticamente per finalità di sicurezza, prevenzione di abusi e miglioramento del servizio.
  • Comunicazioni scambiate con GestAI: copie delle comunicazioni via email, richieste di supporto, feedback inviati dall'Utente.

B. Dati personali trattati da GestAI in qualità di Responsabile del trattamento (per conto dell'Utente Professionista): si tratta dei dati dei pazienti e di altre persone fisiche che l'Utente può inserire nella piattaforma nell'esercizio della propria attività professionale. Questi includono:

  • Dati anagrafici dei pazienti: nome, cognome, data di nascita, recapiti (telefono, email, indirizzo) e altre informazioni anagrafiche raccolte dall'Utente per la gestione anagrafica del paziente.
  • Dati riguardanti la salute e il percorso clinico: ad esempio anamnesi, appunti o note cliniche sulle sedute, diagnosi, piani terapeutici, eventuali test o valutazioni psicologiche, e qualunque altra informazione il professionista ritenga di inserire nella cartella clinica digitale del paziente tramite GestAI. Possono essere inclusi dati relativi allo stato di salute mentale o fisica del paziente, ossia categorie particolari di dati personali (dati sanitari) ai sensi dell'art. 9 GDPR.
  • File e documenti caricati: registrazioni audio delle sedute (ove il professionista utilizzi la funzione di caricamento file audio per ottenere trascrizioni), trascrizioni testuali generate, eventuali referti o documenti sanitari allegati.
  • Dettagli sugli appuntamenti e pagamenti: informazioni sugli incontri avuti col paziente (date, orari, luogo o modalità online), agenda degli appuntamenti, cronologia dei pagamenti delle sedute se gestiti attraverso la piattaforma.
  • Altre informazioni inserite dall'Utente: qualsiasi altro dato personale riferito a clienti/pazienti o terzi.

Per tutti i dati elencati al punto B, come spiegato nella Sezione 7 dei Termini di Servizio e nel DPA reso disponibile dalla Società, GestAI agisce come Responsabile del trattamento, attenendosi alle istruzioni dell'Utente professionista che ne è il Titolare. Ciò significa, ad esempio, che GestAI:

  • non decide autonomamente finalità e modalità del trattamento di tali dati, ma li elabora esclusivamente per fornire le funzionalità richieste dal professionista;
  • non utilizza questi dati per scopi propri, estranei alla fornitura del servizio (niente marketing diretto ai pazienti, niente vendita di liste, niente utilizzo per addestrare algoritmi);
  • non comunica tali dati a terze parti se non su istruzione dell'Utente o se richiesto dalla legge;
  • assiste l'Utente nel garantire i diritti degli interessati.

Importante: Il professionista, quale Titolare dei dati dei pazienti, deve assicurarsi di avere una base legale valida per trattare tali informazioni e per inserirle in GestAI (es. consenso scritto del paziente). GestAI non ha un rapporto diretto con i pazienti e non raccoglie direttamente i loro dati: qualsiasi informazione presente in GestAI relativa ai pazienti è inserita volontariamente dall'Utente sotto la propria responsabilità.

3. Finalità e Basi Giuridiche del Trattamento

A. Dati dell'Utente (GestAI come Titolare):

  1. Fornitura del servizio e gestione dell'account. Base giuridica: esecuzione di un contratto (art. 6(1)(b) GDPR).
  2. Fatturazione e adempimenti legali/fiscali. Base giuridica: adempimento di un obbligo legale (art. 6(1)(c)) e legittimo interesse (art. 6(1)(f)).
  3. Comunicazioni informative e aggiornamenti (servizio, non promozionali). Base giuridica: esecuzione del rapporto contrattuale (art. 6(1)(b)) e/o legittimo interesse (art. 6(1)(f)).
  4. Newsletter o comunicazioni commerciali (opzionali) — solo previo consenso esplicito tramite flag, tracciato dal sistema CMP con data, ora e identificativo. Base giuridica: consenso (art. 6(1)(a) GDPR e art. 130 D.Lgs. 196/2003). Revocabile in qualsiasi momento.
  5. Miglioramento del servizio e analisi interna su dati aggregati o anonimi. Base giuridica: legittimo interesse (art. 6(1)(f)).
  6. Sicurezza e prevenzione frodi/abusi tramite log e dati tecnici. Base giuridica: legittimo interesse (art. 6(1)(f)).

B. Dati dei pazienti (GestAI come Responsabile per conto dell'Utente):

GestAI tratta i dati personali dei pazienti (e di terzi) inseriti dall'Utente esclusivamente per le seguenti finalità, legate ai servizi richiesti dal Titolare-utente:

  • Conservazione e organizzazione dei dati clinici — spazio cloud per archiviare in modo strutturato le informazioni dei pazienti.
  • Gestione agenda e appuntamenti.
  • Fatturazione e pagamenti delle sedute.
  • Elaborazioni tramite intelligenza artificiale. Su iniziativa esclusiva del Professionista, GestAI mette a disposizione funzionalità basate su algoritmi di intelligenza artificiale proprietaria per elaborare i contenuti che l'Utente decide volontariamente di fornire alla Piattaforma. Tutte le elaborazioni AI hanno finalità esclusivamente di supporto organizzativo e operativo e non assumono in alcun modo carattere diagnostico, clinico o decisionale autonomo. I dati non vengono utilizzati per addestrare modelli interni o esterni, né trasferiti a terzi per tali finalità.
  • Manutenzione e supporto tecnico — accesso temporaneo solo nei limiti delle istruzioni del Titolare, con misure di minimizzazione.

Conformità all'AI Act — obblighi di trasparenza (art. 50 Reg. UE 2024/1689). GestAI si conforma agli obblighi di trasparenza previsti dall'art. 50 dell'AI Act: l'Utente professionista è chiaramente informato di interagire con un sistema di intelligenza artificiale ogni volta che utilizza le funzionalità AI della piattaforma (chat AI, trascrizione, sintesi, riformulazione, estrazione di elementi rilevanti) mediante avvisi specifici resi all'interno della piattaforma prima dell'attivazione di tali funzionalità. I contenuti generati artificialmente sono identificabili come tali in piattaforma. L'Utente, in qualità di Titolare, ha la responsabilità di informare il proprio paziente dell'utilizzo di strumenti AI sui dati che lo riguardano e di acquisirne il consenso specifico, secondo gli strumenti che la Società mette a disposizione (cfr. Consenso informato all'utilizzo della piattaforma GestAI e all'uso di strumenti di intelligenza artificiale).

In conformità all'art. 22 GDPR, si precisa che le elaborazioni effettuate tramite le funzionalità AI della piattaforma non producono decisioni basate unicamente sul trattamento automatizzato che abbiano effetti giuridici o che incidano in modo analogo significativamente sugli interessati. Tutti gli output generati dall'AI hanno natura di supporto operativo e presuppongono la valutazione critica e l'intervento autonomo del professionista prima di qualsiasi utilizzo clinico o amministrativo.

Base giuridica per i trattamenti dei dati paziente: dal punto di vista di GestAI, mandato contrattuale conferito dall'Utente per eseguire i trattamenti per suo conto (art. 28 GDPR e art. 6(1)(b)). Dal punto di vista dell'Utente-professionista (Titolare), basi giuridiche tipiche per dati sanitari dei pazienti: consenso esplicito (art. 9(2)(a) GDPR) oppure necessità per finalità di cura sanitaria (art. 9(2)(h)). È responsabilità del Titolare-utente assicurarsi che ricorra una di queste condizioni e che i pazienti siano stati informati e abbiano acconsentito al trattamento tramite GestAI, nel rispetto della normativa di settore applicabile.

4. Modalità del Trattamento e Misure di Sicurezza

Il trattamento dei dati avviene prevalentemente con strumenti elettronici e telematici, adottando misure adeguate a garantire la sicurezza e la riservatezza delle informazioni, in conformità all'art. 32 GDPR:

  • Crittografia: TLS 1.3 in transito + AES-256 a riposo su database e backup.
  • Autenticazione e accesso: credenziali riservate, 2FA disponibile e raccomandata, accesso ai dati paziente riservato all'Utente e ai soggetti dallo stesso autorizzati. Il personale GestAI non accede ai contenuti dei dati paziente, salvo su richiesta esplicita dell'Utente per finalità di assistenza; ogni accesso è tracciato.
  • Isolamento dei database: dati di ciascun Utente logicamente separati.
  • Backup regolari: backup automatici giornalieri cifrati.
  • Logging e monitoraggio: log di sicurezza conservati per almeno 12 mesi.
  • Hosting sicuro: server cloud UE con certificazioni ISO 27001/27017/27018. Elenco aggiornato dei sub-responsabili tecnici su gestai.it/sub-processori.
  • Test e aggiornamenti di sicurezza periodici.

In caso di data breach, GestAI ne darà notifica senza ingiustificato ritardo: nei confronti del professionista Titolare, per i dati dei pazienti, in tempo utile a consentirgli di rispettare i propri termini di legge — in particolare la notifica al Garante entro 72 ore ai sensi dell'art. 33 GDPR; per i dati di cui GestAI è Titolare, all'Autorità di controllo e, ove necessario, agli interessati, nei termini e nei casi previsti dagli artt. 33-34 GDPR.

5. Comunicazione e Destinatari dei Dati

  • Personale interno di 4Mee S.r.l. designato ex art. 29 GDPR e Provv. Garante "Amministratori di Sistema" 27/11/2008.
  • Fornitori di servizi esterni (sub-responsabili): elenco aggiornato e completo su gestai.it/sub-processori, con denominazione, finalità, categorie di dati, paese server, garanzie extra-UE. Tutti i sub-responsabili sono vincolati da contratti ex art. 28 GDPR. L'Utente sarà informato con preavviso di almeno 30 giorni di qualsiasi aggiunta o sostituzione, con possibilità di opporsi.
  • Servizi di pagamento (Stripe) come autonomi titolari per la propria parte.
  • Consulenti legali, fiscali, autorità di controllo ove necessario per obblighi di legge.
  • Trasferimento di azienda — dati comunicati ai soggetti coinvolti in operazioni straordinarie con obbligo di riservatezza.

Ambito degli strumenti di analytics e advertising. Gli strumenti di analisi statistica e di marketing/pubblicità di terze parti (es. Google, Meta, LinkedIn, Hotjar) operano esclusivamente sul sito web pubblico gestai.it (pagine vetrina e di marketing). Tali strumenti non sono in alcun modo presenti all'interno del gestionale — l'ambiente applicativo in cui l'Utente professionista accede e tratta i dati dei propri pazienti — che è privo di cookie, pixel o tecnologie di tracciamento o profilazione di terze parti.

Nessun dato personale è diffuso al pubblico generale.

6. Trasferimenti di Dati all'Estero

I dati personali sono conservati esclusivamente su server localizzati nell'Unione Europea:

  • Hosting infrastruttura e database: UE (AWS EU o Supabase EU, vedi gestai.it/sub-processori).
  • Elaborazioni AI: infrastruttura UE.
  • Dati clinici dei pazienti: trattati unicamente in UE.

Alcuni fornitori operativi (email delivery, pagamenti) possono avere sede extra-UE — trasferimenti limitati a dati non sanitari, coperti da Clausole Contrattuali Standard (SCC), Data Privacy Framework UE-USA o altre garanzie ex Capo V GDPR. In nessun caso sono trasferiti extra-UE dati sanitari dei pazienti.

7. Diritti degli Interessati

L'interessato può esercitare i diritti previsti dagli artt. 15-22 GDPR:

  • Accesso (art. 15);
  • Rettifica (art. 16);
  • Cancellazione / diritto all'oblio (art. 17);
  • Limitazione del trattamento (art. 18);
  • Portabilità dei dati (art. 20);
  • Opposizione (art. 21);
  • Decisioni automatizzate e profilazione (art. 22) — GestAI non effettua profilazione automatizzata né adotta decisioni basate unicamente sul trattamento automatizzato che producano effetti giuridici o incidano in modo analogo significativamente sui pazienti ai sensi dell'art. 22 GDPR. Le funzionalità AI della piattaforma producono output di supporto che richiedono in ogni caso la valutazione e l'intervento autonomo del professionista;
  • Revoca del consenso;
  • Reclamo al Garante Privacy (www.garanteprivacy.it).

Puoi esercitare i tuoi diritti contattando GestAI all'indirizzo privacy@gestai.it. Ti risponderemo senza ritardo e comunque entro 30 giorni.

Specificazioni per dati dei pazienti. GestAI tratta tali dati come responsabile per conto del professionista. Pertanto, se sei un paziente di un professionista che utilizza GestAI, per esercitare i tuoi diritti dovrai rivolgerti direttamente al tuo psicologo/psicoterapeuta, che è il titolare del trattamento. Qualora un paziente contatti direttamente GestAI, la richiesta sarà trasmessa al relativo Utente titolare.

8. Conservazione dei Dati

  • Dati dell'account Utente: durata del rapporto contrattuale attivo. In caso di chiusura definitiva, cancellati entro 30 giorni (salvo obblighi legali).
  • Dati di fatturazione e transazioni: 10 anni (art. 2220 c.c.).
  • Log di accesso e dati tecnici: 6-12 mesi (log applicativi); 24 mesi (log di sicurezza).
  • Comunicazioni di supporto: fino a 24 mesi.
  • Dati trattati come Responsabile (dati paziente):
    • account chiuso su richiesta: cancellati entro 30 giorni dalla chiusura;
    • account in stato Free Limitato (senza chiusura esplicita): i dati restano conservati e accessibili nei limiti del piano senza cancellazione automatica, per tutta la durata del rapporto contrattuale. La conservazione è giustificata dalla continuità del rapporto contrattuale in essere e dall'interesse del Titolare-utente alla conservazione della propria documentazione professionale. GestAI si impegna a inviare all'Utente una comunicazione annuale di promemoria all'indirizzo email registrato, con indicazione della possibilità di esportare i dati o richiedere la chiusura definitiva dell'account. L'Utente può in qualsiasi momento richiedere la cancellazione definitiva dei propri dati e la chiusura dell'account secondo le modalità previste dalla Sezione 11 dei Termini e Condizioni;
    • è responsabilità dell'Utente esportare copie prima della chiusura definitiva (art. 17 Codice Deontologico Psicologi e analoghi).

Trascorsi i termini, i dati saranno cancellati o anonimizzati in modo irreversibile.

9. Valutazione d'Impatto sulla Protezione dei Dati (DPIA)

In considerazione del trattamento sistematico di dati di categoria art. 9 GDPR e dell'utilizzo di tecnologie di intelligenza artificiale, 4Mee S.r.l. ha condotto una Valutazione d'Impatto (DPIA) ai sensi dell'art. 35 GDPR. La DPIA è aggiornata periodicamente. Il documento è a disposizione dell'Autorità Garante su richiesta, e — in forma di executive summary — anche degli Utenti professionisti tramite richiesta scritta a privacy@gestai.it.

10. Aggiornamenti dell'Informativa

La presente informativa può essere soggetta a revisioni e aggiornamenti. In caso di variazioni sostanziali, GestAI comunicherà agli Utenti registrati tramite email o avviso in piattaforma con preavviso di almeno 30 giorni. L'ultima versione aggiornata è sempre disponibile sul sito di GestAI.

11. Documenti correlati

La presente Informativa è parte di un corpus più ampio di documenti:

In caso di conflitto tra la presente Informativa e il DPA, prevale il DPA per gli aspetti relativi al trattamento dei dati personali dei pazienti. In caso di conflitto con la Cookie Policy, per gli aspetti su cookie e tracciamento prevale la Cookie Policy.

Ultimo aggiornamento: 22/05/2026 | Versione: 2.1