Informativa sul Trattamento dei Dati Personali

ai sensi dell'art. 13 del Regolamento UE 2016/679 (GDPR) e del D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018

Ultimo aggiornamento: marzo 2026

1. Titolare del trattamento

Il Titolare del trattamento dei dati personali è:

  • Ragione sociale: CardioLog S.r.l. [da confermare]
  • Sede legale: [da inserire]
  • P.IVA / C.F.: [da inserire]
  • Email: privacy@cardiolog.it

2. Categorie di dati personali trattati

Nell'ambito dell'erogazione del Servizio, CardioLog raccoglie e tratta le seguenti categorie di dati:

a) Dati identificativi e di contatto

  • Nome e cognome
  • Numero di telefono
  • Indirizzo email
  • Codice fiscale (ove fornito)
  • Data di nascita, sesso, luogo di nascita, indirizzo di residenza (ove forniti)

b) Dati relativi alla salute (art. 9 GDPR — categorie particolari)

  • Misurazioni della pressione arteriosa (sistolica e diastolica)
  • Frequenza cardiaca
  • Farmaci assunti, dosaggio e aderenza terapeutica
  • Note cliniche inserite dal medico curante
  • Messaggi scambiati tra paziente e medico relativi al percorso di cura

c) Dati tecnici e di navigazione

  • Indirizzo IP
  • Tipo di browser e dispositivo
  • Dati di sessione e cookie tecnici strettamente necessari al funzionamento

d) Dati di pagamento

I dati di pagamento (numero carta, scadenza, CVV) sono trattati esclusivamente da Stripe, Inc. in qualità di responsabile del trattamento, certificato PCI-DSS Level 1. CardioLog non memorizza né accede ai dati completi della carta di credito.

3. Finalità e base giuridica del trattamento

FinalitàBase giuridica
Erogazione del servizio di monitoraggio pressorio e comunicazione medico-pazienteEsecuzione del contratto (art. 6.1.b GDPR)
Trattamento dei dati sanitari ai fini della cura e del monitoraggio clinicoConsenso esplicito dell'interessato (art. 9.2.a GDPR) e finalità di medicina preventiva (art. 9.2.h GDPR)
Gestione dell'account, autenticazione e sicurezzaEsecuzione del contratto (art. 6.1.b GDPR)
Gestione dei pagamenti e della fatturazioneEsecuzione del contratto (art. 6.1.b) e obbligo di legge (art. 6.1.c GDPR)
Invio di notifiche relative al servizio (allarmi pressori, promemoria farmaci)Esecuzione del contratto (art. 6.1.b GDPR)
Adempimento di obblighi di legge (fiscali, contabili)Obbligo di legge (art. 6.1.c GDPR)

I dati personali non vengono mai utilizzati per finalità di profilazione, marketing diretto, cessione a terzi o processo decisionale automatizzato.

4. Modalità del trattamento e misure di sicurezza

Il trattamento è effettuato con strumenti elettronici, nel rispetto dei principi di liceità, correttezza, trasparenza, minimizzazione, esattezza, limitazione della conservazione, integrità e riservatezza (art. 5 GDPR).

Sono adottate le seguenti misure tecniche e organizzative ai sensi dell'art. 32 GDPR:

  • Crittografia dei dati in transito tramite TLS 1.2+
  • Crittografia dei dati a riposo tramite AES-256
  • Controllo degli accessi tramite Row Level Security (RLS) a livello di database
  • Autenticazione a due fattori disponibile per i medici
  • Separazione logica dei dati tra diversi medici e pazienti
  • Monitoraggio degli accessi e logging delle operazioni critiche
  • Rate limiting per la protezione contro attacchi brute-force
  • Backup automatici con retention policy definita

5. Luogo del trattamento e trasferimento dei dati

I dati personali sono archiviati su infrastruttura Supabase ospitata presso Amazon Web Services (AWS), regione eu-central-1 (Francoforte, Germania), all'interno dell'Unione Europea.

I seguenti sub-responsabili del trattamento possono trattare i dati per conto del Titolare:

  • Supabase, Inc. — Hosting del database e autenticazione (server UE)
  • Vercel, Inc. — Hosting dell'applicazione web (edge network con CDN europeo)
  • Stripe, Inc. — Elaborazione dei pagamenti (certificato PCI-DSS Level 1)
  • Resend, Inc. — Invio di email transazionali (notifiche e allarmi)
  • Sentry (Functional Software, Inc.) — Monitoraggio errori applicativi (dati tecnici)

Qualora i sub-responsabili trattino dati al di fuori dello Spazio Economico Europeo, il trasferimento avviene sulla base di Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea ai sensi dell'art. 46.2.c GDPR, o sulla base di una decisione di adeguatezza ai sensi dell'art. 45 GDPR (EU-US Data Privacy Framework).

6. Periodo di conservazione dei dati

I dati personali sono conservati per il tempo strettamente necessario al perseguimento delle finalità per cui sono stati raccolti:

  • Dati dell'account e dati sanitari: per tutta la durata dell'account attivo, e cancellati entro 30 giorni dalla richiesta di cancellazione dell'account.
  • Dati di fatturazione: conservati per 10 anni dalla data della transazione, come previsto dalla normativa fiscale italiana (art. 2220 c.c. e art. 22 DPR 600/73).
  • Dati tecnici e log: conservati per un massimo di 12 mesi per finalità di sicurezza e debug.

7. Diritti dell'interessato

In conformità agli articoli 15-22 del GDPR, l'interessato ha diritto di:

  • Accesso (art. 15) — ottenere conferma dell'esistenza di un trattamento e copia dei dati personali
  • Rettifica (art. 16) — ottenere la correzione di dati inesatti o l'integrazione di dati incompleti
  • Cancellazione (art. 17) — ottenere la cancellazione dei propri dati (“diritto all'oblio”), salvo obblighi di legge
  • Limitazione (art. 18) — ottenere la limitazione del trattamento in determinati casi
  • Portabilità (art. 20) — ricevere i propri dati in formato strutturato, di uso comune e leggibile da dispositivo automatico (CSV/JSON). CardioLog offre una funzione di esportazione dati integrata nell'applicazione
  • Opposizione (art. 21) — opporsi al trattamento per motivi legittimi
  • Revoca del consenso (art. 7.3) — revocare in qualsiasi momento il consenso prestato, senza pregiudizio per la liceità del trattamento basato sul consenso prestato prima della revoca

Le richieste possono essere inoltrate a privacy@cardiolog.it e saranno evase entro 30 giorni dal ricevimento, come previsto dall'art. 12.3 GDPR.

8. Cookie

CardioLog utilizza esclusivamente cookie tecnici strettamente necessari al funzionamento dell'applicazione (gestione della sessione di autenticazione). Non vengono utilizzati cookie di profilazione, di terze parti o per finalità di marketing.

Ai sensi dell'art. 122 del D.Lgs. 196/2003 e delle Linee Guida del Garante Privacy del 10 giugno 2021, i cookie tecnici non richiedono il consenso dell'utente.

9. Natura del conferimento dei dati

Il conferimento dei dati identificativi (nome, telefono) è obbligatorio per la registrazione e l'utilizzo del Servizio. Il mancato conferimento rende impossibile l'erogazione del Servizio.

Il conferimento dei dati sanitari (misurazioni, farmaci) è volontario e basato sul consenso esplicito dell'interessato. L'utente può in qualsiasi momento interrompere l'inserimento dei dati sanitari senza conseguenze sull'accesso al Servizio.

10. Diritto di reclamo

L'interessato che ritenga che il trattamento dei propri dati personali sia effettuato in violazione del GDPR ha diritto di proporre reclamo al Garante per la Protezione dei Dati Personali (art. 77 GDPR):

11. Contatti del Titolare

Per esercitare i diritti di cui all'art. 7, o per qualsiasi domanda relativa al trattamento dei dati personali: