Informativa sulla privacy

Prendiamo sul serio la privacy dei nostri utenti. La presente Informativa spiega come Scriva — software per la documentazione medica assistita dall'IA e la trascrizione vocale in tempo reale, sviluppato e gestito da TP53 S.r.l. (P.IVA IT02203290388), con sede legale in Via Pomposa 153, 44123 Ferrara (FE), Italia, legale rappresentante Matteo Melina — Amministratore Unico — tratta e protegge i tuoi dati personali nel rispetto della normativa applicabile, incluso il Regolamento Generale sulla Protezione dei Dati (GDPR).

Trattiamo solo i dati personali pertinenti e necessari alle finalità perseguite. Scriva agisce come Responsabile del trattamento rispetto ai dati dei pazienti o delle consulenze trattati tramite la piattaforma per conto dei propri clienti. Tale trattamento è regolato dall'Accordo sul Trattamento dei Dati (DPA) stipulato tra TP53 S.r.l. e il cliente e non è specificamente coperto dalla presente Informativa.

I dati dei tuoi pazienti sono al sicuro. I dati inseriti o trattati da Scriva non sono riconducibili a nessuno al di fuori dello studio del Professionista e non vengono mai utilizzati per finalità diverse dall'erogazione del servizio.

TP53 S.r.l. non ha né interesse né possibilità di accedere ai contenuti clinici dei pazienti per scopi diversi da quelli tecnici legati al funzionamento della piattaforma. I dati dei pazienti non vengono mai utilizzati per addestrare, affinare o migliorare modelli di IA, né da noi né da fornitori terzi.

Sebbene alcuni clienti siano organizzati in forma d'impresa, il nostro servizio richiede il trattamento di alcuni dati personali. Trattiamo solo i dati per i quali disponiamo di una base giuridica.

Finalità di marketing e informazione

Quando richiedi informazioni o ti iscrivi alle newsletter, raccogliamo, con il tuo consenso, i dati di contatto necessari come email, nome e numero di telefono. I destinatari possono revocare il consenso in qualsiasi momento. Base giuridica: art. 6(1)(a) GDPR — consenso.

Stipula del contratto per i nostri servizi

Per offrire ed erogare il servizio sono necessari alcuni dati personali, inclusi quelli utili alla fatturazione e all'assistenza. In fase di registrazione possono esserti richiesti nome, identificativo professionale o organizzativo (come numero di iscrizione all'albo o identificativo della struttura), email, telefono, indirizzo e centro medico di riferimento. Non raccogliamo codici identificativi nazionali salvo che siano specificamente richiesti per una finalità regolamentata. Base giuridica: art. 6(1)(b) GDPR — esecuzione di un contratto.

Analisi dell'attività per migliorare i servizi

Per analizzare e migliorare il servizio possiamo trattare dati di attività come indirizzo IP, tipo di browser, orario di visita e modalità di interazione con la piattaforma. Base giuridica: art. 6(1)(f) GDPR — legittimo interesse a migliorare funzionalità, stabilità ed esperienza d'uso, che abbiamo valutato non prevalente rispetto ai tuoi diritti e libertà fondamentali.

Obblighi di legge

Possiamo trattare dati personali per adempiere a obblighi di legge, ad esempio in materia contabile o fiscale. Base giuridica: art. 6(1)(c) GDPR — adempimento di un obbligo legale.

La corretta allocazione dei ruoli previsti dal Regolamento (UE) 2016/679 garantisce trasparenza del trattamento e tutela dei diritti degli interessati.

• Professionista sanitario — Titolare del trattamento: determina finalità e modalità del trattamento e mantiene il controllo sui dati dei propri pazienti.
• TP53 S.r.l. (Scriva) — Responsabile del trattamento: tratta i dati dei pazienti su istruzione documentata del Titolare, nei limiti del servizio.
• Paziente — Interessato: gode dei diritti di accesso, rettifica, cancellazione, portabilità e opposizione ai sensi degli artt. 15-22 GDPR.

Per i dati personali relativi all'account (es. registrazione, fatturazione e assistenza), Scriva agisce come Titolare del trattamento ai sensi della presente Informativa.

Dati identificativi / di contatto

Nome e cognome, email, telefono, indirizzo, data di nascita, genere, professione, credenziali di accesso, indirizzo IP e user-agent (log di audit).

Dati relativi alla salute (categoria particolare — art. 9 GDPR)

• Anamnesi e antecedenti medici, patologie, allergie e intolleranze
• Note cliniche e referti di consulenza generati dalla visita
• Trascrizione in tempo reale della consulenza parlata

Vengono raccolti e trattati esclusivamente i dati strettamente necessari all'erogazione del servizio, in applicazione del principio di minimizzazione sancito dall'art. 5(1)(c) del GDPR.

La trascrizione avviene in tempo reale. Nessuna registrazione audio della consulenza viene conservata: il flusso audio è elaborato al volo per produrre il testo e non viene mantenuto successivamente.

Le note e le trascrizioni generate vengono eliminate automaticamente entro ventiquattro (24) ore dalla fine della consulenza e i professionisti possono comunque eliminarle in qualsiasi momento.

• Supporto, non sostituzione del giudizio clinico. I contenuti generati dall'IA costituiscono un ausilio operativo e non sostituiscono il giudizio clinico, professionale o deontologico del Professionista. Ogni decisione rimane sotto la piena ed esclusiva responsabilità del Professionista.
• Nessun utilizzo dei dati per il training dei modelli. I dati dei pazienti non vengono in alcun caso impiegati per addestrare, affinare o migliorare modelli di IA, né da noi né da fornitori terzi.

TP53 S.r.l. non assume responsabilità per decisioni cliniche adottate sulla base degli output dell'IA. Il Professionista è tenuto a valutare criticamente ogni suggerimento prima di applicarlo alla pratica clinica.

Utilizziamo i cookie per registrare e analizzare l'attività sul nostro sito, al fine di migliorare il sito e i servizi e per finalità di marketing. Se non desideri che i cookie vengano memorizzati, puoi modificare le impostazioni del browser ed eliminare quelli esistenti; rifiutandoli potresti riscontrare funzionalità ridotte.

I cookie necessari e funzionali, così come quelli statistici, sono trattati sulla base del nostro legittimo interesse. Base giuridica: art. 6(1)(f) GDPR — legittimo interesse a migliorare funzionalità, stabilità ed esperienza d'uso della piattaforma.

Per offrire e ottimizzare i servizi ci avvaliamo di fornitori affidabili che offrono garanzie sufficienti a tutela dei dati personali e che possono trattarli solo secondo le nostre istruzioni e l'accordo di nomina a responsabile. Ci avvaliamo di fornitori IT, piattaforme per la gestione di clienti, vendite, marketing e assistenza, servizi di login e verifica, fatturazione ed elaborazione dei pagamenti e strumenti di analisi.

I nostri principali sub-responsabili, ciascuno vincolato da obblighi di protezione dei dati equivalenti ai nostri (DPA + Clausole Contrattuali Standard ove applicabili), includono:

• Vercel Inc. — hosting applicativo e calcolo (Francoforte, UE)
• Neon Inc. — database PostgreSQL, archiviazione primaria (Francoforte, UE)
• Cloudflare Inc. — backup cifrati del database (Europa occidentale, UE)
• Anthropic PBC — IA (Claude) per la generazione delle note; i dati direttamente identificativi sono oscurati prima della trasmissione e nessun dato API è usato per il training (USA)
• Deepgram Inc. — trascrizione vocale in tempo reale; nessun audio viene conservato (USA)
• Resend Inc. — email transazionali (USA)
• Twilio Inc. — SMS per promemoria e OTP (USA)

Alcuni fornitori si trovano al di fuori dello Spazio Economico Europeo (SEE) o possono trattare dati su server al di fuori del SEE. Quando i dati sono trasferiti verso un Paese privo di decisione di adeguatezza, garantiamo adeguate garanzie ai sensi del Capo V del GDPR, tipicamente Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea.

I dati dei pazienti trattati tramite il servizio non sono soggetti ad alcun trasferimento internazionale al di fuori dell'UE/SEE e sono trattati esclusivamente in data center europei. Puoi richiedere ulteriori informazioni sulle garanzie in essere contattandoci all'indirizzo indicato in basso.

Durata di conservazione

Conserviamo i dati per il tempo necessario a erogare il servizio e per le finalità per cui sono stati raccolti, tenendo conto dei nostri obblighi legali e contrattuali. Cessata l'esigenza legittima e pratica — o in caso di revoca del consenso — i dati vengono cancellati tempestivamente, salvo obblighi di legge (es. norme contabili) che impongano periodi più lunghi.

• Alla cessazione, i dati sono resi disponibili per l'esportazione per 90 giorni, dopodiché i dati identificabili vengono cancellati in modo sicuro, salvo obblighi di legge.
• Dati fiscali / fatture: 10 anni (art. 2220 c.c.).
• Log di audit: 12-24 mesi.
• Backup: cancellati entro 7 giorni (rotazione automatica).

Misure di sicurezza (art. 32 GDPR)

• Cifratura in transito: TLS/HTTPS su tutte le connessioni.
• Cifratura a riposo garantita dai fornitori infrastrutturali.
• Password sottoposte ad hashing bcrypt; mai memorizzate in chiaro.
• Controllo degli accessi basato su ruoli con isolamento multi-tenant: ogni professionista accede esclusivamente ai propri pazienti.
• Link autenticati, monouso e a tempo limitato per le esportazioni dei dati.
• Registrazione di audit di accessi, creazioni, modifiche, cancellazioni ed esportazioni con IP e user-agent.
• Backup cifrati periodici con conservazione breve e rotazione automatica.
• Monitoraggio continuo e gestione documentata degli incidenti, inclusa la notifica all'autorità di controllo ai sensi dell'art. 33 GDPR.

Le informazioni sono accessibili solo ai dipendenti che ne necessitano per svolgere i propri compiti. Resta responsabilità del cliente prevenire accessi non autorizzati al proprio account.

In relazione al trattamento dei tuoi dati personali, hai il diritto di:

• Richiedere l'accesso ai tuoi dati personali
• Richiedere la rettifica di informazioni inesatte o incomplete
• Richiedere la cancellazione dei dati quando non più necessari
• Revocare il consenso, ove non siamo tenuti per legge a conservare i dati
• Richiedere la limitazione del trattamento
• Ricevere i dati personali che abbiamo raccolto (portabilità)
• Opporti al trattamento basato sul nostro legittimo interesse

Per esercitare questi diritti puoi contattarci a privacy@tp53.com. Risponderemo entro un mese dal ricevimento; nei casi complessi tale termine può essere esteso di ulteriori due mesi, di cui ti informeremo entro il primo mese. Le richieste relative ai dati dei pazienti vanno rivolte al Titolare (il professionista sanitario).

Se ritieni che abbiamo trattato i tuoi dati in violazione della normativa applicabile, hai il diritto di proporre reclamo a un'autorità di controllo — nel Paese di residenza, di lavoro o dove è avvenuta la presunta violazione. In Italia l'autorità competente è il Garante per la protezione dei dati personali (www.garanteprivacy.it).

Possiamo modificare la presente Informativa a nostra discrezione. In caso di modifiche sostanziali informeremo i nostri clienti. La versione più recente sarà sempre disponibile sul nostro sito.

Per qualsiasi domanda, commento o per esercitare i tuoi diritti puoi contattarci: TP53 S.r.l., Via Pomposa 153, 44123 Ferrara (FE), Italia — Email: privacy@tp53.com. Non è stato designato un Responsabile della Protezione dei Dati (DPO); le richieste in materia di privacy sono gestite a questo indirizzo.