Informativa Privacy – GestAI

1. Titolare del Trattamento

Il Titolare del trattamento dei dati (relativamente ai dati di cui alla Sezione 2.A) è 4Mee S.r.l., con sede legale in Via Carrate 40, 41030 Solara di Bomporto (MO), Italia.

• Email di contatto: privacy@gestai.it

(Nota: 4Mee S.r.l. è la società proprietaria e gestore della piattaforma GestAI).

Non essendo richiesta dal tipo di trattamento effettuato, 4Mee S.r.l. non ha nominato un Responsabile della Protezione dei Dati (DPO). Per qualsiasi dubbio o richiesta inerente alla privacy, è possibile utilizzare i contatti sopra indicati.

Referenti interni per la gestione privacy (organizzazione e presidio operativo): Yassin Elouardi e Ayoub Sebbare.

In tale qualità, i Referenti Privacy coordinano e presidiano operativamente le attività di protezione dei dati personali connesse a GestAI, e in particolare:

• raccolgono e gestiscono le richieste privacy provenienti da utenti o da autorità competenti (es. esercizio dei diritti ex artt. 15–22 GDPR, richieste di chiarimenti, reclami), assicurando il corretto inoltro ai soggetti competenti e la tracciabilità delle risposte;
• curano l’aggiornamento e la coerenza della documentazione privacy e security (es. presente informativa, elenchi sub-responsabili, policy interne, template di comunicazione), coordinandosi con consulenti legali/tecnici quando necessario;
• presidiano il processo di nomina e verifica dei fornitori che trattano dati per conto di GestAI (sub-responsabili), inclusa la predisposizione e gestione dei relativi accordi/nomine ai sensi dell’art. 28 GDPR;
• supportano il team tecnico nell’adozione e nel mantenimento di misure tecniche e organizzative adeguate ai sensi dell’art. 32 GDPR (es. controllo accessi, logging, gestione backup, hardening, procedure operative), inclusa la revisione periodica dei presidi;
• coordinano la gestione degli incidenti e delle potenziali violazioni di dati personali (data breach), inclusa la raccolta delle informazioni, la valutazione preliminare dell’impatto, l’attivazione delle misure di contenimento e la predisposizione delle comunicazioni necessarie nei termini di legge.

Resta fermo che la titolarità del trattamento e le responsabilità legali ultime in materia di protezione dei dati personali fanno capo a 4Mee S.r.l., quale Titolare del trattamento, e che i Referenti Privacy operano per conto della Società nell’ambito delle rispettive deleghe organizzative interne.

2. Tipologie di Dati Trattati e Ruolo di GestAI

La piattaforma GestAI tratta diverse tipologie di dati personali. Di seguito distinguiamo tra:

A. Dati personali trattati da GestAI in qualità di Titolare del trattamento

si tratta delle informazioni fornite direttamente dall’Utente professionista durante la registrazione o nel corso dell’utilizzo della piattaforma, nonché dei dati raccolti automaticamente dal sistema per il funzionamento del servizio. In particolare, rientrano in questa categoria:

• Dati anagrafici e di contatto dell’Utente: nome, cognome, email, numero di telefono, professione e/o qualifica professionale (es. Psicologo, Psicoterapeuta, etc.), e altri dati eventualmente forniti in fase di creazione dell’account o successivamente nel profilo utente. Ad esempio, se l’Utente si registra tramite autenticazione Google, GestAI acquisirà dall’account Google le informazioni necessarie quali nome, cognome e indirizzo email.
• Credenziali di autenticazione: qualora l’Utente si registri con email e password (anziché login Google), verranno trattati l’indirizzo email e la password hash (la password è conservata in forma cifrata e non è accessibile in chiaro da GestAI).
• Dati di fatturazione e pagamento: denominazione o ragione sociale, indirizzo di fatturazione, codice fiscale/partita IVA, estremi dell’ordine di acquisto, importo pagato, metodo di pagamento utilizzato (es. circuito carta di credito, ultimi 4 numeri della carta, ecc. – non viene memorizzato il numero completo né il CVV). Queste informazioni sono raccolte quando l’Utente sottoscrive un abbonamento a pagamento. I dati della carta di credito o altri strumenti di pagamento vengono inseriti dall’Utente in apposite pagine gestite direttamente dal fornitore di pagamento terzo (es. Stripe) e non transitano nei server di GestAI, se non in forma tokenizzata.
• Dati tecnici di utilizzo e navigazione: log di accesso all’account (timestamp di login e logout, IP di provenienza, eventuali log di errore), informazioni sul dispositivo e software utilizzato (es. tipo di browser, sistema operativo), dati relativi alle operazioni svolte sulla piattaforma (es. creazione/modifica di un appuntamento, caricamento di un file – registriamo l’evento e l’orario). Questi dati sono raccolti automaticamente dai sistemi di GestAI principalmente per finalità di sicurezza, prevenzione di abusi e miglioramento del servizio.
• Comunicazioni scambiate con GestAI: copie delle comunicazioni via email, richieste di supporto, feedback inviati dall’Utente. Se l’Utente contatta l’assistenza GestAI, potremmo raccogliere ulteriori dati che l’Utente deciderà di fornire nel contesto della richiesta.

B. Dati personali trattati da GestAI in qualità di Responsabile del trattamento

(per conto dell’Utente Professionista): si tratta dei dati dei pazienti e di altre persone fisiche che l’Utente può inserire nella piattaforma nell’esercizio della propria attività professionale. Questi includono:

• Dati anagrafici dei pazienti: nome, cognome, data di nascita, recapiti (telefono, email, indirizzo) e altre informazioni anagrafiche raccolte dall’Utente per la gestione anagrafica del paziente.
• Dati riguardanti la salute e il percorso clinico: ad esempio anamnesi, appunti o note cliniche sulle sedute, diagnosi, piani terapeutici, eventuali test o valutazioni psicologiche, e qualunque altra informazione il professionista ritenga di inserire nella cartella clinica digitale del paziente tramite GestAI. Possono essere inclusi dati relativi allo stato di salute mentale o fisica del paziente, abitudini, situazione familiare, ecc., ossia categorie particolari di dati personali (dati sanitari) ai sensi dell’art. 9 GDPR.
• File e documenti caricati: registrazioni audio delle sedute (ove il professionista utilizzi la funzione di caricamento file audio per ottenere trascrizioni), trascrizioni testuali generate, eventuali referti o documenti sanitari allegati.
• Dettagli sugli appuntamenti e pagamenti: informazioni sugli incontri avuti col paziente (date, orari, luogo o modalità online), agenda degli appuntamenti, cronologia dei pagamenti delle sedute (importo, data, metodo, esito pagamento, ecc.) se gestiti attraverso la piattaforma.
• Altre informazioni inserite dall’Utente: qualsiasi altro dato personale riferito a clienti/pazienti o terzi che il professionista decida di archiviare su GestAI (ad es. nominativi di familiari per contatto di emergenza, coordinate bancarie per i rimborsi, etc.).

Per tutti i dati elencati al punto B, come spiegato nella Sezione 7 dei Termini di Servizio e nel DPA (Data Processing Agreement) reso disponibile dalla Società, GestAI agisce come Responsabile del trattamento, attenendosi alle istruzioni dell’Utente professionista che ne è il Titolare. L’Utente prende atto e accetta che l’accettazione dei Termini di Servizio e/o dei contratti applicabili e l’attivazione/uso del servizio comportano l’accettazione anche del DPA, ove applicabile. In caso di conflitto tra la presente Informativa e il DPA, prevale il DPA limitatamente agli aspetti inerenti al trattamento dei dati personali. Ciò significa, ad esempio, che GestAI:

• non decide autonomamente finalità e modalità del trattamento di tali dati, ma li elabora esclusivamente per fornire le funzionalità richieste dal professionista (es. conservazione, backup, elaborazione tramite AI su richiesta);
• non utilizza questi dati per scopi propri, estranei alla fornitura del servizio (niente marketing diretto ai pazienti, niente vendita di liste, niente utilizzo per addestrare algoritmi esterni, etc.);
• non comunica tali dati a terze parti se non su istruzione dell’Utente o se richiesto dalla legge;
• assiste l’Utente nel garantire i diritti degli interessati (come descritto più avanti).

Importante: Il professionista, quale Titolare dei dati dei pazienti, deve assicurarsi di avere una base legale valida per trattare tali informazioni e per inserirle in GestAI (es. consenso scritto del paziente). GestAI non ha un rapporto diretto con i pazienti e non raccoglie direttamente i loro dati: qualsiasi informazione presente in GestAI relativa ai pazienti è inserita volontariamente dall’Utente sotto la propria responsabilità.

3. Finalità e Basi Giuridiche del Trattamento

Di seguito indichiamo le finalità per cui GestAI tratta i dati personali, distinguendo tra i dati di cui è Titolare e quelli trattati per conto dell’Utente, e le relative basi giuridiche ai sensi del GDPR.

A. Dati dell’Utente (GestAI come Titolare)

1. Fornitura del servizio e gestione dell’account: utilizziamo i dati dell’Utente per consentire la registrazione e l’accesso alla piattaforma, fornire le funzionalità richieste (es. sincronizzazione agenda, generazione documenti, ecc.), e in generale per adempiere agli obblighi contrattuali verso l’Utente. Ciò include anche la gestione tecnica dell’infrastruttura, l’assicurare la sicurezza dell’account, l’erogazione di supporto tecnico e l’invio di comunicazioni di servizio (es. notifiche su aggiornamenti o manutenzioni).
   Base giuridica: esecuzione di un contratto di cui l’Utente è parte (art. 6(1)(b) GDPR).
2. Fatturazione e adempimenti legali/fiscali: i dati relativi alla fatturazione e pagamenti vengono trattati per emettere le fatture, gestire i pagamenti degli abbonamenti e adempiere agli obblighi contabili, fiscali e di legge correlati (es. conservazione registri, comunicazioni al commercialista o alle autorità fiscali se richiesto).
   Base giuridica: adempimento di un obbligo legale (art. 6(1)(c) GDPR) e, ove non strettamente imposto dalla legge, legittimo interesse di GestAI alla corretta gestione amministrativa (art. 6(1)(f) GDPR).
3. Comunicazioni informative e aggiornamenti: potremmo utilizzare l’email dell’Utente per inviare comunicazioni inerenti al servizio, come avvisi di nuove funzionalità, aggiornamenti dei termini di servizio o dell’informativa privacy, informazioni su modifiche tecniche rilevanti per l’uso della piattaforma. Queste comunicazioni fanno parte del servizio e non hanno natura promozionale.
   Base giuridica: esecuzione del rapporto contrattuale (art. 6(1)(b)) e/o legittimo interesse di GestAI a mantenere informati i propri clienti su aspetti importanti del servizio (art. 6(1)(f)).
4. Newsletter o comunicazioni commerciali (opzionali): solo se l’Utente ha espresso esplicito consenso, l’indirizzo email potrà essere usato per inviare newsletter, offerte o comunicazioni commerciali su prodotti e servizi di GestAI o della società 4Mee. L’Utente potrà in ogni momento revocare il consenso e opporsi a tali invii.
   Base giuridica: consenso dell’interessato (art. 6(1)(a) GDPR).
5. Miglioramento del servizio e analisi interna: i dati di utilizzo e i feedback possono essere analizzati da GestAI in forma aggregata o anonima per comprendere come viene utilizzata la piattaforma, individuare aree di miglioramento, sviluppare nuove funzioni e ottimizzare l’esperienza utente. Ove possibile, per queste finalità utilizziamo preferibilmente dati non personali (anonimi) o pseudonimizzati.
   Base giuridica: legittimo interesse di GestAI a migliorare i propri servizi (art. 6(1)(f)), previa valutazione che ciò non comporti un impatto eccessivo sui diritti degli interessati.
6. Sicurezza e prevenzione frodi/abusi: i log e i dati tecnici vengono monitorati per individuare attività sospette, prevenire accessi non autorizzati, usi illeciti della piattaforma o attacchi informatici. Possiamo sospendere o bloccare account in caso di violazioni di sicurezza.
   Base giuridica: legittimo interesse di GestAI alla sicurezza delle proprie infrastrutture e alla prevenzione di attività fraudolente (art. 6(1)(f)). Tale interesse è anche nell’interesse degli utenti, in quanto volto a proteggere i dati da essi caricati.

B. Dati dei pazienti (GestAI come Responsabile per conto dell’Utente)

GestAI tratta i dati personali dei pazienti (e di terzi) inseriti dall’Utente esclusivamente per le seguenti finalità, legate ai servizi richiesti dal Titolare-utente:

• Conservazione e organizzazione dei dati clinici: forniamo uno spazio cloud affinché l’Utente possa archiviare in modo strutturato le informazioni relative ai propri pazienti (anagrafiche, note cliniche, documenti). GestAI esegue operazioni di hosting, memorizzazione e backup di tali dati per conto dell’Utente.
• Gestione agenda e appuntamenti: trattiamo i dati dei pazienti nella misura in cui sono inseriti in calendario (nome paziente associato ad un appuntamento, note sull’incontro) per permettere al professionista di organizzare i propri incontri, inviare promemoria, ecc.
• Fatturazione e pagamenti delle sedute: se l’Utente utilizza le funzioni gestionali per registrare i pagamenti o generare fatture delle sedute, GestAI tratterà i dati dei pazienti necessari a tali scopi (es. nome, prestazione erogata, importo) per produrre i documenti amministrativi richiesti dall’Utente.
• Su iniziativa esclusiva del Professionista, GestAI mette a disposizione funzionalità basate su algoritmi di intelligenza artificiale proprietaria per elaborare i contenuti che l’Utente decide volontariamente di fornire alla Piattaforma. Tali contenuti possono includere registrazioni audio di sedute (previo consenso scritto del paziente), appunti vocali, note testuali o altri materiali inseriti dal Professionista nell’ambito della propria attività.
• A seconda delle operazioni richieste dall’Utente, la Piattaforma può effettuare elaborazioni automatizzate quali, a titolo esemplificativo: trascrizione del parlato, riformulazione del testo, produzione di sintesi, individuazione di elementi rilevanti o organizzazione dei contenuti in forma strutturata. Il Professionista può inoltre interagire con il modello AI tramite chat per ottenere supporto operativo nella gestione, comprensione o rielaborazione dei dati da lui forniti.
• Manutenzione e supporto tecnico: in caso di necessità di risoluzione di un problema tecnico che richieda l’accesso ai dati (ad es. un file corrotto, ripristino di un backup), GestAI potrà temporaneamente trattare dati dei pazienti, sempre nei limiti delle istruzioni ricevute e adottando misure di minimizzazione (es. il personale tecnico accederà solo ai dati strettamente necessari e sarà soggetto a obblighi di riservatezza).

Tutte le elaborazioni generate dall’intelligenza artificiale hanno finalità esclusivamente di supporto organizativo e operativo e non assumono in alcun modo carattere diagnostico, clinico o decisionale autonomo. Le informazioni restituite dall’AI non sostituiscono la valutazione professionale del terapeuta, che rimane l’unico responsabile dell’interpretazione, dell’uso e dell’eventuale inserimento dei risultati nel proprio percorso clinico.

Le operazioni vengono effettuate unicamente sui dati che il Professionista decide di caricare o utilizzare all’interno della Piattaforma e non comportano alcuna finalità ulteriore rispetto alla prestazione richiesta. I dati non vengono utilizzati per addestrare modelli esterni, né trasferiti a terzi, salvo eventuali integrazioni future con servizi conformi al GDPR, che saranno implementate nel rispetto delle garanzie previste dalla normativa.

L’elaborazione tramite AI avviene esclusivamente all’interno dell’infrastruttura tecnica di GestAI o dei suoi sub-responsabili localizzati nell’Unione Europea, secondo le misure di sicurezza descritte nella presente Privacy Policy.

Base giuridica per tali trattamenti: dal punto di vista di GestAI, quando agisce come Responsabile del trattamento la base giuridica risiede nel mandato contrattuale conferito dall’Utente per eseguire quei trattamenti per suo conto (art. 28 GDPR e art. 6(1)(b) – esecuzione di un contratto, dove il contratto è quello col professionista). Dal punto di vista dell’Utente-professionista (Titolare), le basi giuridiche comuni per trattare dati sanitari dei pazienti sono tipicamente il consenso esplicito del paziente (art. 9(2)(a) GDPR) oppure la necessità per finalità di cura sanitaria nell’ambito di un rapporto terapeutico (art. 9(2)(h), combinato all’art. 6(1)(e) o (b) se applicabile). È responsabilità del Titolare-utente assicurarsi che ricorra una di queste condizioni e che i pazienti siano stati informati e abbiano eventualmente acconsentito al trattamento dei dati tramite GestAI.

4. Modalità del Trattamento e Misure di Sicurezza

Il trattamento dei dati avviene prevalentemente con strumenti elettronici e telematici, adottando misure adeguate a garantire la sicurezza e la riservatezza delle informazioni, in conformità all’art. 32 GDPR In particolare, GestAI ha implementato le seguenti tutele:

• Crittografia: tutti i dati personali inseriti nella Piattaforma sono protetti mediante misure tecniche e organizzative adeguate ai sensi dell’art. 32 GDPR, che includono l’utilizzo di sistemi di cifratura sia durante la trasmissione sia a riposo sui server. Ciò garantisce che i dati archiviati nel database e nei backup non siano leggibili da soggetti non autorizzati. Anche in caso di accesso indebito ai sistemi, le informazioni sensibili rimangono protette e non intellegibili senza le opportune chiavi di decifratura.
• Autenticazione e accesso: l’accesso agli account utente è protetto da credenziali riservate; incoraggiamo gli utenti ad attivare strumenti di autenticazione a due fattori (2FA) se disponibili. L’accesso ai dati dei pazienti è riservato esclusivamente all’Utente titolare dell’account e ai soggetti dallo stesso autorizzati (es. collaboratori del suo studio, se previsti nelle funzionalità). Il personale di GestAI non accede ai contenuti dei dati di clienti/pazienti, salvo su richiesta esplicita dell’Utente per finalità di assistenza e comunque mai senza autorizzazione e controllo.
• Isolamento dei database: i dati di ciascun Utente sono logicamente separati da quelli di altri utenti. Ogni professionista ha uno spazio dedicato e protetto per i propri dati.
• Backup regolari: I dati sono sottoposti a backup automatici giornalieri gestiti dal provider dell’infrastruttura. Tali backup hanno lo scopo di prevenire la perdita accidentale dei dati e sono inclusi nei servizi del provider senza costi aggiuntivi per l’Utente. Sebbene GestAI adotti tutte le misure ragionevoli per la protezione e il ripristino dei dati, gli utenti riconoscono che i backup non costituiscono una garanzia assoluta di recupero in ogni circostanza. Eventuali interruzioni o malfunzionamenti legati ai servizi dei provider esterni non potranno essere imputati a GestAI.
• Logging e monitoraggio: sistemi di logging registrano gli accessi e le operazioni principali, così da individuare eventuali attività anomale. Sono in atto sistemi di firewalling e protezione da intrusioni sui server.
• Hosting sicuro: l’infrastruttura di GestAI risiede su server cloud situati all’interno dell’Unione Europea e gestiti da fornitori che adottano misure di sicurezza conformi all’art. 32 GDPR, incluse protezioni fisiche e logiche, certificazioni internazionali (es. ISO 27001) e sistemi di ridondanza geografica. Tali fornitori includono, a titolo esemplificativo, provider europei di servizi cloud e database (es. AWS EU, Supabase EU o equivalenti). Tali soggetti garantiscono elevati standard di affidabilità, continuità operativa e protezione dei dati personali. L’elenco aggiornato dei sub-responsabili tecnici è disponibile su richiesta dell’Utente o nella sezione dedicata della Piattaforma.
• Test e aggiornamenti: il software viene regolarmente aggiornato per applicare patch di sicurezza. Vengono svolti test (anche automatizzati) per verificare la robustezza dell’applicazione, incluso il trattamento dei dati sanitari.

In caso di violazione dei dati personali (data breach) relativa ai dati degli utenti o dei pazienti, GestAI ne darà notifica al professionista e, ove necessario, alle autorità competenti entro i termini prescritti dalle normative.

5. Comunicazione e Destinatari dei Dati

I dati personali raccolti potranno essere condivisi con specifiche categorie di destinatari, nel rispetto delle finalità già indicate. In particolare:

• Personale interno di 4Mee S.r.l.: i dipendenti e collaboratori autorizzati al trattamento, designati soggetti incaricati o amministratori di sistema, nell’ambito delle relative mansioni (es. team tecnico, team amministrativo). Tali persone sono tenute all’obbligo di riservatezza e hanno ricevuto istruzioni adeguate.
• Fornitori di servizi esterni (sub-responsabili): GestAI si avvale di fornitori terzi per alcuni servizi tecnici, ad esempio:
  • Servizi di hosting cloud e database: Per l’infrastruttura server e l’archiviazione dei dati (es. Amazon Web Services – regioni UE, Supabase – data center UE, o equivalenti). Tali fornitori garantiscono elevati standard di sicurezza e trattano i dati esclusivamente all’interno dello Spazio Economico Europeo (SEE). L’eventuale localizzazione precisa (es. Francoforte, Parigi, Milano) può variare nel tempo, mantenendo comunque il vincolo geografico UE.
  • Servizi di intelligenza artificiale: Attualmente GestAI utilizza esclusivamente un’infrastruttura AI proprietaria, ospitata su server localizzati nell’UE. In futuro, GestAI potrebbe integrare API o strumenti di terze parti per funzionalità specifiche (es. trascrizione o elaborazione linguistica), selezionando solo fornitori che offrano garanzie di conformità GDPR. Eventuali dati elaborati tramite tali servizi verrebbero trattati solo per il tempo necessario a restituire il risultato richiesto, senza conservazione ulteriore. Qualora i dati dovessero essere trasferiti fuori dall’UE, verranno adottate le misure adeguate previste dal GDPR (vedi Sezione 6).
  • Servizi di invio email e notifiche: per l’invio di email transazionali (come conferme di appuntamento, reset password, notifiche di pagamento) GestAI può usare provider specializzati (es. SendGrid, Mailgun) che tratteranno gli indirizzi email e il contenuto minimo necessario per recapitare la comunicazione.
  • Servizi di pagamento: quando l’Utente effettua un pagamento online, i dati necessari (importo, riferimento ordine, dati carta) sono processati da piattaforme come Stripe o PayPal. Queste piattaforme agiscono come autonomi titolari per la parte di loro competenza. GestAI riceve da esse solo informazioni limitate (conferma dell’esito del pagamento, identificativo transazione).
  • Altri fornitori ICT e di analisi: software di monitoraggio tecnico, servizi di backup esterni, consulenti IT.
• Consulenti legali, fiscali, autorità di controllo: i dati dell’Utente (non quelli dei pazienti, salvo che l’Utente stesso li comunichi) potranno essere comunicati a professionisti consulenti (es. commercialista, avvocato) o ad autorità pubbliche qualora ciò sia necessario per ottemperare ad obblighi di legge, tutelare i diritti di 4Mee S.r.l. o dell’Utente (es. in caso di controversie) o difendersi da reclami. In tali casi, verranno condivisi solo i dati pertinenti allo scopo.
• Trasferimento di azienda: nell’eventualità in cui 4Mee S.r.l. fosse coinvolta in operazioni societarie straordinarie (fusioni, acquisizioni, cessione di ramo d’azienda riguardante GestAI), i dati personali degli utenti potrebbero essere comunicati ai soggetti coinvolti e ai loro consulenti, impegnando questi ultimi alla riservatezza. In caso di trasferimento definitivo della titolarità della piattaforma a terzi, l’Utente ne sarà informato e potrà esercitare i propri diritti, ivi incluso – se lo desidera – chiedere la cancellazione dei dati.

Tutti i fornitori terzi che trattano dati personali per conto di GestAI sono vincolati da contratti di nomina a Responsabile del trattamento ai sensi dell’art. 28 GDPR, che impongono loro di usare i dati solo per le finalità stabilite da GestAI e di garantire misure di sicurezza adeguate. L’elenco aggiornato dei sub-responsabili del trattamento è disponibile e potrà essere fornito su richiesta dell’Utente.

Nessun dato personale è diffuso al pubblico generale. GestAI non pubblica o rende visibili a terzi i dati personali inseriti dall’Utente (a meno che sia l’Utente stesso a condividerli volontariamente, ad es. inviando un promemoria di appuntamento via email al paziente attraverso la piattaforma – in tal caso i dati sono comunicati al destinatario designato dall’Utente).

6. Trasferimenti di Dati all’Estero

I dati personali sono conservati su server localizzati nell’Unione Europea. Tuttavia, alcuni fornitori terzi di cui GestAI si avvale hanno sede o svolgono manutenzione anche in Paesi extra-UE (ad es. la società capogruppo di un servizio cloud potrebbe essere negli Stati Uniti, come Google LLC per Google Cloud). In tali circostanze, possono verificarsi trasferimenti di dati al di fuori dello Spazio Economico Europeo.

Quando ciò accade, ci assicuriamo che vengano adottate adeguate garanzie per proteggere i dati personali, in conformità al Capo V GDPR. In particolare, utilizziamo meccanismi quali:

• la sottoscrizione delle Clausole Contrattuali Standard (Standard Contractual Clauses – SCC) approvate dalla Commissione Europea, che vincolano contrattualmente il destinatario extra-UE a proteggere i dati secondo standard europei;
• ove applicabile, la verifica di certificazioni o adesioni a schemi internazionali riconosciuti (es. il nuovo EU-U.S. Data Privacy Framework, se e quando applicabile al fornitore);
• valutazioni caso per caso di eventuali rischi ulteriori e, se necessario, misure tecniche aggiuntive come crittografia end-to-end che impediscano al destinatario di accedere ai dati in chiaro.

L’Utente può chiedere maggiori informazioni sui trasferimenti extra-UE specifici che riguardano i propri dati e sulle garanzie adottate, contattando GestAI ai recapiti indicati. In generale, evitiamo per quanto possibile di trasferire dati personali identificativi all’estero, e non trasferiamo in alcun caso i dati sanitari dei pazienti per finalità diverse da quelle strettamente necessarie all’erogazione delle funzionalità richieste (ad esempio, se un servizio di trascrizione audio AI risiede fuori UE, limiteremo il trasferimento allo spezzone audio necessario e lo faremo in modo protetto). Nessun dato è mai condiviso con terzi per finalità commerciali.

7. Diritti degli Interessati

In conformità al GDPR, gli interessati (sia gli Utenti professionisti, sia eventualmente i pazienti i cui dati sono caricati sulla piattaforma) godono di una serie di diritti relativi ai propri dati personali. In particolare, in qualità di interessato hai il diritto di:

• Accesso: ottenere la conferma se sia in corso un trattamento di tuoi dati personali e, in tal caso, ricevere copia di tali dati e informazioni sul trattamento.
• Rettifica: chiedere la rettifica dei dati inesatti o l’aggiornamento di quelli incompleti che ti riguardano.
• Cancellazione: ottenere la cancellazione dei tuoi dati personali, se sussistono le condizioni previste dall’art. 17 GDPR (ad esempio, se i dati non sono più necessari rispetto alle finalità oppure se revochi il consenso su cui si basa il trattamento, etc.) Questo è detto anche “diritto all’oblio”.
• Limitazione del trattamento: ottenere che i tuoi dati siano conservati ma non trattati ulteriormente (se ricorre uno dei casi previsti dall’art. 18 GDPR, ad esempio contestazione dell’esattezza dei dati, opposizione al trattamento in attesa di verifica, ecc.)
• Opposizione: opporti in qualsiasi momento, per motivi connessi alla tua situazione particolare, al trattamento dei dati fondato sul legittimo interesse. In tal caso, GestAI si asterrà dal trattare ulteriormente i dati, salvo dimostrare l’esistenza di motivi legittimi cogenti per procedere (prevalenti sui tuoi diritti) oppure per l’accertamento, esercizio o difesa di un diritto in sede giudiziaria. Se i dati sono trattati per finalità di marketing diretto, puoi opporti in qualsiasi momento e GestAI interromperà tali attività nei tuoi confronti.
• Portabilità dei dati: se il trattamento si basa sul consenso o sull’esecuzione di un contratto ed è effettuato con mezzi automatizzati, puoi richiederci in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che ci hai fornito, così da poterli trasmettere ad un altro titolare, oppure – se tecnicamente fattibile – di trasmetterli direttamente da GestAI a tale altro titolare da te indicato.
• Revoca del consenso: per i trattamenti basati sul tuo consenso, hai il diritto di revocare in qualsiasi momento il consenso prestato. La revoca non pregiudica la liceità del trattamento effettuato prima di essa ma comporta la cessazione delle attività per le quali avevi acconsentito (ad es. invio newsletter).
• Reclamo al Garante Privacy: hai diritto di proporre reclamo all’Autorità Garante per la protezione dei dati personali (www.garanteprivacy.it) se ritieni che il trattamento che ti riguarda violi la normativa in materia di protezione dei dati.

Puoi esercitare i tuoi diritti in qualsiasi momento contattando GestAI all’indirizzo email indicato in questa informativa, oppure tramite eventuali funzioni automatizzate messe a disposizione (ad esempio, nell’area personale potresti avere strumenti per esportare i tuoi dati – funzione in sviluppo). Ti risponderemo senza ritardo e comunque entro 30 giorni, salvo necessità di proroga debitamente comunicata. L’esercizio dei diritti è in linea di massima gratuito, a eccezione di richieste manifestamente infondate o eccessive (ripetitive) per le quali potremmo addebitare un costo amministrativo come consentito dall’art. 12 GDPR.

Specificazioni per dati dei pazienti su GestAI: come spiegato, GestAI tratta tali dati in qualità di responsabile per conto del professionista. Pertanto, se sei un paziente di un professionista che utilizza GestAI, per esercitare i tuoi diritti sui dati (accesso, rettifica, cancellazione, etc.) dovrai rivolgerti direttamente al tuo psicologo/psicoterapeuta, che è il titolare del trattamento. GestAI non può per contratto fornire direttamente al paziente l’accesso ai dati senza istruzioni del titolare. In ogni caso, qualora un interessato dovesse contattare direttamente GestAI per l’esercizio dei propri diritti in relazione a dati trattati per conto di un Utente, GestAI provvederà a informarne tempestivamente il relativo Utente titolare, e lo assisterà – per quanto di competenza – nel dare seguito alla richiesta. Ad esempio, se un paziente chiede a GestAI la cancellazione dei propri dati, trasmetteremo la richiesta al professionista titolare e, su indicazione di quest’ultimo, cancelleremo o renderemo anonimi i dati in questione nei sistemi.

8. Conservazione dei Dati

GestAI conserva i dati personali per un periodo di tempo limitato, differenziato per tipologia di dato e finalità di trattamento, nel rispetto del principio di limitazione della conservazione (art. 5.1(e) GDPR). Di seguito i criteri applicati:

• Dati dell’account Utente (nome, contatto, profilo): conservati per tutta la durata del rapporto contrattuale attivo. In caso di account inattivo (ad es. Utente che non rinnova l’abbonamento ma non chiede la cancellazione), i dati saranno conservati per un periodo massimo di 24 mesi, dopodiché potremmo contattare l’Utente per confermare l’interesse a mantenere l’account. In mancanza di riscontro, ci riserviamo di eliminare o anonimizzare i dati dell’account inattivo. Fanno eccezione eventuali dati che dobbiamo conservare più a lungo per obbligo legale (vedi oltre).
• Dati di fatturazione e transazioni economiche: conservati per il periodo imposto dalla normativa fiscale e civilistica italiana, ovvero 10 anni dall’ultima registrazione, ai sensi dell’art. 2220 del Codice Civile e delle norme in materia tributaria.
• Log di accesso e dati tecnici: conservati tipicamente per 6-12 mesi. I log di sicurezza potrebbero essere mantenuti fino a 24 mesi in archivi protetti accessibili solo in caso di audit di sicurezza o incident response. Eventuali registrazioni di attività sul sistema utilizzate per metriche o debugging sono anonime o anonimizzate nel più breve tempo possibile.
• Comunicazioni di supporto: le email o ticket di supporto saranno conservati per il tempo necessario a gestire la richiesta e successivamente archiviati (generalmente fino a 24 mesi) per tenere traccia della cronologia delle assistenze fornite.
• Dati trattati come Responsabile (dati dei pazienti): conservati fino a quando l’Utente mantiene attivo il proprio account e non oltre 30 giorni dalla cessazione dell’account stesso (come dettagliato nei Termini di Servizio). Durante il periodo di utilizzo, l’Utente ha sempre la facoltà di modificare o cancellare singoli dati dei pazienti; tali modifiche si riflettono immediatamente nei nostri sistemi. Se un paziente chiede al professionista la cancellazione dei propri dati e il professionista ce lo comunica, provvederemo ad eliminare tali dati senza ingiustificato ritardo. Dopo la chiusura o cessazione dell’account, come già indicato, tutti i dati personali riferiti ai pazienti saranno rimossi definitivamente dai nostri sistemi (salvo diverse disposizioni di legge concordate, es. su richiesta dell’Utente potremmo restituirgli una copia di backup prima della cancellazione).

Trascorsi i termini sopra indicati, i dati saranno cancellati oppure resi anonimi in modo irreversibile. Una volta anonimizzati, GestAI potrà conservare in forma aggregata informazioni non più riconducibili a persone fisiche (ad esempio statistiche sull’utilizzo del servizio) per periodi più lunghi, senza ulteriore preavviso.

9. Aggiornamenti dell’Informativa

La presente informativa può essere soggetta a revisioni e aggiornamenti nel tempo, ad esempio in caso di modifiche ai trattamenti o evoluzioni normative. In caso di variazioni sostanziali, sarà nostra cura comunicarlo agli Utenti registrati attraverso i canali appropriati (ad es. email o avviso in piattaforma). In ogni caso, l’ultima versione aggiornata dell’informativa è sempre disponibile sul sito di GestAI. Si invita a consultare periodicamente questo documento per restare informati sulle nostre pratiche privacy.