Informativa Privacy

Nota preliminare. Ippocrate è una piattaforma SaaS utilizzata da studi medici, odontoiatrici e professionisti sanitari. Per i dati sanitari dei pazienti, il Titolare del trattamento è lo studio professionale che utilizza il servizio; Digital-Tech Web Agency (fornitore della piattaforma Ippocrate) agisce come Responsabile del trattamento ai sensi dell'art. 28 GDPR, secondo quanto previsto nel Data Processing Agreement (DPA) sottoscritto con ciascuno studio.

1. Titolare e Responsabile del trattamento

Titolare del trattamento (per i dati dei pazienti e dello staff dello studio): lo studio professionale registrato su Ippocrate, i cui estremi identificativi (ragione sociale, sede, P.IVA, contatti) sono indicati nella Console Ippocrate e nell'informativa resa direttamente dallo studio al paziente.

Responsabile del trattamento (fornitore tecnologico della piattaforma):

Digital-Tech Web Agency
Sede: Italia
Email privacy: privacy@ippocrate.cloud
PEC: privacy@pec.ippocrate.cloud (se disponibile)

Per l'utilizzo della piattaforma da parte dello staff (account Manager, Console, app mobile staff), Digital-Tech Web Agency può agire come Titolare autonomo per i dati strettamente necessari all'erogazione del servizio SaaS, come indicato nelle sezioni seguenti.

2. DPO / Referente privacy

Il referente privacy della piattaforma Ippocrate è raggiungibile all'indirizzo privacy@ippocrate.cloud. Gli studi clienti possono nominare un proprio DPO; in tal caso le richieste relative ai dati clinici dei pazienti devono essere inoltrate prioritariamente allo studio titolare.

3. Tipologie di dati trattati

Attraverso Ippocrate possono essere trattate, a seconda dei moduli attivati dallo studio, le seguenti categorie di dati:

3.1 Dati anagrafici e di contatto

Nome, cognome, data di nascita, codice fiscale
Indirizzo, email, telefono
Dati dello staff e dei collaboratori (ruolo, turni, buste paga ove previsto)

3.2 Dati sanitari e clinici (categorie particolari — art. 9 GDPR)

Anamnesi, note cliniche, piani di trattamento, protocolli
Agenda appuntamenti e prestazioni
Documenti clinici, identità, preventivi, fatture e pagamenti (vault documenti cifrato)
Immagini e allegati caricati dallo studio

3.3 Dati tecnici e di utilizzo

Indirizzo IP, log di accesso, timestamp, user agent
Cookie tecnici e di sessione (vedi Cookie Policy)
Log di audit (modifiche anagrafiche, consensi marketing, attività staff)
Metadati relativi all'uso delle funzionalità AI (ove attivate)

4. Finalità e base giuridica del trattamento

Finalità	Base giuridica	Dati coinvolti
Erogazione del servizio SaaS (gestione pazienti, agenda, documenti, magazzino, staff)	Art. 6(1)(b) GDPR — esecuzione contratto; art. 9(2)(h) — finalità di medicina preventiva/diagnostica/assistenza sanitaria	Anagrafici, sanitari, contrattuali
Adempimenti di legge (fatturazione, conservazione documenti, tracciabilità dispositivi medici)	Art. 6(1)(c) GDPR — obbligo legale	Anagrafici, amministrativi
Sicurezza, prevenzione abusi, backup e ripristino	Art. 6(1)(f) GDPR — legittimo interesse	Log tecnici, metadati
Funzionalità IppocrateAI (sintesi, assistenza redazione, riconoscimento etichette)	Art. 6(1)(b) contratto; art. 9(2)(h) o consenso esplicito del paziente ove richiesto dallo studio	Dati minimizzati inviati ai subprocessors AI
Comunicazioni marketing dello studio (newsletter, promozioni, richiami commerciali)	Art. 6(1)(a) GDPR — consenso; revocabile in qualsiasi momento	Contatti, preferenze marketing
App mobile paziente (notifiche, accesso area personale)	Art. 6(1)(b) contratto / consenso ove applicabile	Contatti, credenziali, dati di servizio

5. Modalità del trattamento

I dati sono trattati con strumenti informatici e telematici, con logiche strettamente correlate alle finalità indicate e nel rispetto dei principi di liceità, correttezza, trasparenza, minimizzazione, esattezza, limitazione della conservazione, integrità e riservatezza (art. 5 GDPR).

Misure di sicurezza applicate includono, tra l'altro:

Comunicazioni cifrate (HTTPS/TLS)
Autenticazione con password hash (bcrypt/argon) e, ove attivata, autenticazione a due fattori (2FA) e passkey
Isolamento multi-tenant per studio_id
Cifratura AES-256-GCM dei documenti paziente nel vault documenti
Backup cifrati e policy di accesso basata sui ruoli (RBAC)
Log di audit per operazioni sensibili e consensi

6. Destinatari e subprocessors

I dati possono essere comunicati a:

Personale autorizzato dello studio e del fornitore Ippocrate (need-to-know)
Fornitori di infrastruttura cloud e hosting (server UE/SEE ove possibile)
Fornitori email transazionali e SMS (comunicazioni di servizio)
Subprocessors AI (solo se IppocrateAI è attivato dallo studio): OpenAI LLC e/o Google (Gemini), per elaborazioni limitate e temporanee; i prompt sono minimizzati e non utilizzati per addestramento pubblico salvo diverse impostazioni contrattuali del subprocessor
Consulenti legali, fiscali o tecnici vincolati a NDA
Autorità competenti ove previsto dalla legge

L'elenco aggiornato dei subprocessors è disponibile su richiesta a privacy@ippocrate.cloud e nel DPA (template).

7. Trasferimenti extra-UE

Alcuni fornitori (es. OpenAI, Google Cloud) possono trattare dati negli Stati Uniti o in paesi terzi. Tali trasferimenti avvengono solo in presenza di garanzie adeguate ai sensi degli artt. 44–49 GDPR (Standard Contractual Clauses, Data Privacy Framework ove applicabile, misure supplementari di sicurezza).

8. Periodo di conservazione

Dati clinici e amministrativi del paziente: per la durata del rapporto di cura e successivamente per i termini di legge applicabili allo studio (es. conservazione documentazione sanitaria e fiscale — tipicamente 10 anni salvo norme settoriali diverse)
Log di accesso e sicurezza: fino a 12 mesi, salvo obblighi di legge o indagini
Consensi marketing: fino a revoca del consenso e per il tempo necessario a dimostrare la prova del consenso
Log consensi GDPR: minimo 5 anni dalla registrazione dell'evento
Account staff disattivati: dati conservati per il tempo necessario agli obblighi contrattuali e di legge, poi cancellati o anonimizzati

Al termine del contratto SaaS, lo studio può esportare i propri dati; Ippocrate procede alla cancellazione o restituzione entro i termini contrattuali concordati.

9. Diritti dell'interessato

In qualità di interessato, hai diritto di:

Accedere ai tuoi dati (art. 15)
Rettificarli (art. 16)
Ottenere la cancellazione («diritto all'oblio»), ove applicabile (art. 17)
Limitare il trattamento (art. 18)
Opporti al trattamento basato su legittimo interesse o marketing (art. 21)
Revocare il consenso in qualsiasi momento, senza pregiudicare la liceità del trattamento precedente (art. 7)
Richiedere la portabilità dei dati (art. 20), ove applicabile
Non essere sottoposto a decisioni basate unicamente su trattamento automatizzato, salvo eccezioni di legge (art. 22)

Per i dati sanitari: esercita i diritti contattando lo studio titolare che ti ha in cura. Per questioni relative alla piattaforma tecnologica, puoi scrivere a privacy@ippocrate.cloud; inoltreremo la richiesta allo studio ove necessario.

Hai inoltre diritto di proporre reclamo al Garante per la Protezione dei Dati Personali (www.garanteprivacy.it).

10. Obbligo o facoltà di conferimento

Il conferimento dei dati contrattuali e clinici è necessario per l'erogazione delle prestazioni sanitarie e per l'utilizzo della piattaforma da parte dello studio. Il mancato conferimento può impedire la corretta gestione del rapporto di cura o l'accesso a specifiche funzionalità.

Il consenso al marketing è facoltativo e la sua mancanza non pregiudica l'accesso alle cure.

11. Processi decisionali automatizzati e AI

IppocrateAI fornisce assistenza allo staff (sintesi testi, suggerimenti, riconoscimento codici prodotti) e non sostituisce il giudizio clinico del professionista. Non vengono prese decisioni automatizzate con effetti giuridici significativi sull'interessato senza intervento umano.

Le elaborazioni AI utilizzano dati minimizzati; lo studio può disattivare IppocrateAI in qualsiasi momento dalla Console Ippocrate.

12. Sicurezza dei dati sanitari

In conformità all'art. 32 GDPR e alle Linee guida del Garante in materia di sanità digitale, Ippocrate adotta misure tecniche e organizzative adeguate al rischio, inclusa pseudonimizzazione ove possibile, segregazione per studio, controllo accessi, monitoraggio e procedure di incident response.

In caso di violazione dei dati personali (data breach), il Responsabile informa il Titolare (studio) senza ingiustificato ritardo affinché possa valutare la notifica al Garante e agli interessati entro i termini di legge.

13. Modifiche all'informativa

La presente informativa può essere aggiornata per adeguamenti normativi o evoluzioni del servizio. La versione corrente è sempre disponibile su questa pagina con indicazione della data di ultimo aggiornamento.

14. Contatti

Privacy Ippocrate Platform
Email: privacy@ippocrate.cloud
Web: manager.ippocrate.cloud/legal/privacy_policy.php

Documenti correlati: Termini di Servizio · Cookie Policy · Data Processing Agreement