EMSy Logo

Privacy Policy

EMSy S.r.l. - Versione del 15 settembre 2025

Versione: 15/09/2025
Via degli Anziani 14, 11013 Courmayeur (AO)
Contatti privacy: info@emsy.io
DPM: Simon Grosjean

1. Ambito

Questa informativa descrive il trattamento dei dati personali relativi all'uso dei servizi digitali "EMSy".

2. Principi

Trattiamo i dati secondo liceità, correttezza, trasparenza, minimizzazione, integrità e riservatezza (art. 5 GDPR).

3. Categorie di dati trattati

  • Dati di account: nome, email, professione, ente/azienda, preferenze.
  • Dati di utilizzo e log tecnici: indirizzo IP, identificatori del dispositivo, timestamp, eventi applicativi, errori.
  • Contenuti immessi dall'Utente: testi e informazioni inserite nei moduli/aree di input escludendo qualsiasi dato che identifichi direttamente o indirettamente pazienti.
  • Dati di fatturazione/pagamento: ragione sociale, P.IVA/C.F., indirizzo, importi e metadati di transazioni (i dati carta sono gestiti dai PSP).

4. Finalità e basi giuridiche

  • Erogazione dei Servizi (art. 6.1.b GDPR – contratto).
  • Assistenza e comunicazioni operative (art. 6.1.b).
  • Sicurezza, prevenzione frodi, difesa in giudizio (art. 6.1.f – legittimo interesse).
  • Analytics e miglioramento prodotto (art. 6.1.a – consenso tramite CMP, quando richiedono cookie/identificatori non tecnici).
  • Marketing diretto (newsletter/aggiornamenti) solo con consenso (art. 6.1.a) e revocabile in ogni momento.
  • Fatturazione e obblighi contabili/fiscali (art. 6.1.c – obbligo legale).

5. Minori

I Servizi sono vietati ai minori di 18 anni. Possiamo adottare verifiche ragionevoli sull'età e sull'abilitazione professionale.

6. Conferimento

Il mancato conferimento dei dati necessari all'erogazione contrattuale impedisce la fruizione dei Servizi. Il consenso per analytics/marketing è facoltativo.

7. Cookie e tecnologie simili

Usiamo cookie/SDK tecnici per erogare i Servizi. Gli strumenti di analytics/marketingsono attivati solo previo consenso tramite un cookie banner/CMP con opzioni "Accetta tutto", "Rifiuta tutto" e scelte granulari. La revoca del consenso è possibile in ogni momento dal link "Preferenze cookie".

8. Destinatari e categorie di fornitori

Trattiamo dati con fornitori che agiscono quali Responsabili del trattamento (art. 28 GDPR) o titolari autonomi per specifiche finalità.

📋 Lista completa sub-processori: Per informazioni dettagliate su tutti i fornitori, categorie di dati trattati, basi giuridiche e link ai Data Processing Agreement, consulta la nostra Lista Sub-Processori dedicata.

I principali fornitori includono:

  • Vercel, Inc. - hosting/app delivery (USA/UE, EU–US DPF)
  • Stripe, Inc. - pagamenti PSP (USA/UE, EU–US DPF)
  • Google LLC - analytics (USA/UE, EU–US DPF, solo con consenso)
  • OpenAI - modelli linguistici (USA/UE, SCC + TIA, no training)
  • Anthropic - modelli linguistici (USA, SCC + TIA, no training)
  • Pinecone - database vettoriale (USA/UE, SCC + TIA)

Nota importante: Dove disponibile, privilegiamo regioni UE e misure di pseudonimizzazione/minimizzazione. Non utilizziamo i tuoi contenuti per addestrare modelli di terze parti. Nessun dato di pazienti viene mai condiviso con fornitori esterni.

9. Trasferimenti extra-SEE

Per i fornitori certificati EU–US Data Privacy Framework (DPF) (ad es. Vercel, Stripe, Google) il trasferimento avviene sulla base della decisione di adeguatezza. Per altri fornitori (ad es. OpenAI, Anthropic, Pinecone) utilizziamo le Clausole Contrattuali Standard (SCC)accompagnate da Transfer Impact Assessment (TIA) e misure tecniche supplementari (crittografia, minimizzazione, pseudonimizzazione).

10. Tempi di conservazione

  • Dati di account: per tutta la durata del rapporto e fino a 24 mesi dall'ultimo accesso, salvo obblighi legali.
  • Contenuti immessi (no dati di pazienti): fino a 90 giorni, poi pseudonimizzazione/anonimizzazione ove possibile.
  • Log tecnici/sicurezza: 6 mesi (salvo necessità di ulteriore conservazione per sicurezza o difesa).
  • Fatturazione: per i termini di legge (fino a 10 anni).
  • Marketing: fino a revoca del consenso e, in ogni caso, 24 mesi di inattività.

11. Sicurezza

Adottiamo misure tecniche e organizzative adeguate: crittografia in transito e a riposo ove applicabile, controllo accessi, logging, hardening, backup, minimizzazione dei dati, segregazione ambienti, revisione periodica dei fornitori.

12. Diritti degli interessati

Puoi esercitare i diritti di cui agli artt. 15–22 GDPR (accesso, rettifica, cancellazione, limitazione, portabilità, opposizione; revoca del consenso) scrivendo a info@emsy.io. Rispondiamo entro30 giorni. È sempre possibile proporre reclamo all'Autorità Garante per la protezione dei dati personali (www.gpdp.it).

13. Data breach

In caso di violazione dei dati personali:

  • Notifica al Garante (art. 33 GDPR) entro 72 ore se il breach è suscettibile di comportare un rischio per i diritti e le libertà delle persone fisiche.
  • Comunicazione agli interessati (art. 34 GDPR) senza ingiustificato ritardo se il breach è suscettibile di comportare un rischio elevato.

14. Profilazione e decisioni automatizzate

Possiamo impiegare logiche di profilazione leggera per gamification/leaderboarde personalizzazione non invasiva dell'esperienza. La profilazione non produce effetti giuridici significativiné incide in modo analogo significativamente sull'Utente. Puoi opporti in qualsiasi momento contattandoci.

15. Aggiornamenti

Potremo aggiornare la presente informativa; in caso di modifiche sostanziali, forniremo adeguato preavviso.

Versione corrente: 15 settembre 2025
Ultima modifica sostanziale: Prima versione ufficiale (sostituisce la versione Beta)

Contatti

EMSy S.r.l.

Via degli Anziani 14, 11013 Courmayeur (AO), Italia

Email: info@emsy.io