Privacy Policy

Questa informativa descrive il trattamento dei dati personali relativi all'uso dei servizi digitali "EMSy".

Trattiamo i dati secondo liceità, correttezza, trasparenza, minimizzazione, integrità e riservatezza (art. 5 GDPR).

• Dati di account: nome, email, professione, ente/azienda, preferenze.
• Dati di utilizzo e log tecnici: indirizzo IP, identificatori del dispositivo, timestamp, eventi applicativi, errori.
• Contenuti immessi dall'Utente: testi e informazioni inserite nei moduli/aree di input escludendo qualsiasi dato che identifichi direttamente o indirettamente pazienti.
• Dati di fatturazione/pagamento: ragione sociale, P.IVA/C.F., indirizzo, importi e metadati di transazioni (i dati carta sono gestiti dai PSP).

• Erogazione dei Servizi (art. 6.1.b GDPR – contratto).
• Assistenza e comunicazioni operative (art. 6.1.b).
• Sicurezza, prevenzione frodi, difesa in giudizio (art. 6.1.f – legittimo interesse).
• Analytics, miglioramento prodotto e ricerca scientifica su dati aggregati o anonimizzati (art. 6.1.a – consenso tramite CMP, quando richiedono cookie/identificatori non tecnici).
• Marketing diretto (newsletter/aggiornamenti) solo con consenso (art. 6.1.a) e revocabile in ogni momento.
• Fatturazione e obblighi contabili/fiscali (art. 6.1.c – obbligo legale).

I Servizi sono vietati ai minori di 18 anni. Possiamo adottare verifiche ragionevoli sull'età e sull'abilitazione professionale.

Il mancato conferimento dei dati necessari all'erogazione contrattuale impedisce la fruizione dei Servizi. Il consenso per analytics/marketing è facoltativo.

Usiamo cookie/SDK tecnici per erogare i Servizi. Gli strumenti di analytics/marketing sono attivati solo previo consenso tramite un cookie banner/CMP con opzioni "Accetta tutto", "Rifiuta tutto" e scelte granulari. La revoca del consenso è possibile in ogni momento dal link "Preferenze cookie".

Trattiamo dati con fornitori che agiscono quali Responsabili del trattamento (art. 28 GDPR) o titolari autonomi per specifiche finalità.

I principali fornitori includono:

• Vercel, Inc. - hosting/app delivery (USA/UE, EU–US DPF)
• Stripe, Inc. - pagamenti PSP (USA/UE, EU–US DPF)
• Google LLC - analytics (USA/UE, EU–US DPF, solo con consenso)
• OpenAI - modelli linguistici (USA/UE, SCC + TIA, no training)
• Anthropic - modelli linguistici (USA, SCC + TIA, no training)
• Pinecone - database vettoriale (USA/UE, SCC + TIA)

Nota importante: Dove disponibile, privilegiamo regioni UE e misure di pseudonimizzazione/minimizzazione. Non utilizziamo i tuoi contenuti per addestrare modelli di terze parti. Nessun dato di pazienti viene mai condiviso con fornitori esterni.

Per i fornitori certificati EU–US Data Privacy Framework (DPF) (ad es. Vercel, Stripe, Google) il trasferimento avviene sulla base della decisione di adeguatezza. Per altri fornitori (ad es. OpenAI, Anthropic, Pinecone) utilizziamo le Clausole Contrattuali Standard (SCC) accompagnate da Transfer Impact Assessment (TIA) e misure tecniche supplementari (crittografia, minimizzazione, pseudonimizzazione).

• Dati di account: per tutta la durata del rapporto e fino a 24 mesi dall'ultimo accesso, salvo obblighi legali.
• Contenuti immessi (no dati di pazienti): fino a 90 giorni, poi pseudonimizzazione/anonimizzazione ove possibile.
• Log tecnici/sicurezza: 6 mesi (salvo necessità di ulteriore conservazione per sicurezza o difesa).
• Fatturazione: per i termini di legge (fino a 10 anni).
• Marketing: fino a revoca del consenso e, in ogni caso, 24 mesi di inattività.

Adottiamo misure tecniche e organizzative adeguate: crittografia in transito e a riposo ove applicabile, controllo accessi, logging, hardening, backup, minimizzazione dei dati, segregazione ambienti, revisione periodica dei fornitori.

Puoi esercitare i diritti di cui agli artt. 15–22 GDPR (accesso, rettifica, cancellazione, limitazione, portabilità, opposizione; revoca del consenso) scrivendo a info@emsy.io. Rispondiamo entro 30 giorni. È sempre possibile proporre reclamo all'Autorità Garante per la protezione dei dati personali (www.gpdp.it).

In caso di violazione dei dati personali:

• Notifica al Garante (art. 33 GDPR) entro 72 ore se il breach è suscettibile di comportare un rischio per i diritti e le libertà delle persone fisiche.
• Comunicazione agli interessati (art. 34 GDPR) senza ingiustificato ritardo se il breach è suscettibile di comportare un rischio elevato.

Possiamo impiegare logiche di profilazione leggera per gamification/leaderboard e personalizzazione non invasiva dell'esperienza. La profilazione non produce effetti giuridici significativi né incide in modo analogo significativamente sull'Utente. Puoi opporti in qualsiasi momento contattandoci.

Potremo aggiornare la presente informativa; in caso di modifiche sostanziali, forniremo adeguato preavviso.