I 6 pilastri della nostra conformità GDPR
La conformità al GDPR non è per noi un obbligo burocratico, ma una scelta di rispetto verso i tuoi pazienti e la tua professione.
Minimizzazione dei dati
Raccogliamo solo i dati strettamente necessari per erogare il servizio. Nessun dato superfluo viene richiesto o conservato.
Sicurezza by design
La sicurezza è integrata nell'architettura della piattaforma sin dalla progettazione. Cifratura AES-256, TLS 1.3 e accesso con privilegio minimo.
Trasparenza totale
Siamo chiari su cosa facciamo con i dati, perché lo facciamo e per quanto tempo li conserviamo. Nessuna sorpresa nascosta.
Diritti esercitabili
Garantiamo risposta entro 30 giorni per qualsiasi richiesta di accesso, rettifica, cancellazione o portabilità dei dati.
Dati in Europa
I dati vengono trattati e conservati in infrastrutture all'interno dello Spazio Economico Europeo, con adeguate garanzie per ogni trasferimento.
Risposta agli incidenti
In caso di data breach, notifichiamo le autorità entro 72 ore e gli interessati senza ritardo ingiustificato, come previsto dall'art. 33-34 GDPR.
Ruoli nel trattamento dei dati
Il GDPR distingue chiaramente tra Titolare del trattamento e Responsabile del trattamento. Nella relazione tra te e DietPlan Pro:
Determini le finalità e le modalità del trattamento dei dati dei tuoi pazienti. Sei responsabile di raccogliere il consenso informato e di rispettare i diritti degli interessati.
Trattiamo i dati dei pazienti esclusivamente su tua istruzione, con le garanzie tecniche e organizzative previste dall'art. 28 GDPR.
Questa distinzione è fondamentale: come Titolare, sei tenuto a stipulare con noi un Accordo per il trattamento dei dati (DPA - Data Processing Agreement) come previsto dall'art. 28 GDPR.
📋 Accordo di trattamento dei dati (DPA)
Il DPA definisce le istruzioni di trattamento, le misure di sicurezza, gli obblighi delle parti e le procedure per la gestione dei diritti degli interessati. È incluso nelle nostre condizioni di servizio per tutti i piani attivi.
📩 Richiedi DPA firmatoTrattamento di categorie particolari di dati
I dati sanitari dei pazienti appartengono alle "categorie particolari di dati" ai sensi dell'art. 9 GDPR, soggetti a protezione rafforzata.
Base giuridica per i dati sanitari (art. 9.2 GDPR)
Il trattamento dei dati sanitari dei pazienti da parte del professionista sanitario si basa sull'art. 9.2(h) GDPR: "finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi medica, fornitura di cure o terapie sanitarie o sociali…"
Obblighi del professionista
- Raccogliere il consenso specifico del paziente per il trattamento dei dati sanitari
- Informare il paziente del trattamento dei dati tramite un'informativa ex art. 13 GDPR
- Verificare che il paziente sia informato dell'uso di strumenti software per la gestione della sua cartella
- Rispettare il principio di minimizzazione: inserire solo i dati strettamente necessari alla cura
- Garantire la conservazione sicura delle credenziali di accesso alla piattaforma
Misure di sicurezza tecniche e organizzative
Adottiamo misure di sicurezza appropriate ex art. 32 GDPR. Ecco il nostro quadro di conformità:
| Misura | Implementazione | Stato |
|---|---|---|
| Cifratura in transito | TLS 1.3 per tutte le comunicazioni client-server | Attivo |
| Cifratura a riposo | AES-256 per database e backup | Attivo |
| Autenticazione | Password bcrypt + 2FA opzionale per tutti | Attivo |
| Controllo accessi | RBAC (Role-Based Access Control) con principio del minimo privilegio | Attivo |
| Audit log | Log completo degli accessi e delle operazioni sui dati | Attivo |
| Backup | Backup giornalieri cifrati con retention 30 giorni | Attivo |
| Test di vulnerabilità | Penetration test annuali da società esterna | Attivo |
| Formazione staff | Training annuale GDPR e sicurezza per tutto il team | Attivo |
| Sede dati | Infrastruttura all'interno dello SEE | Attivo |
| Data breach procedure | Procedura documentata, notifica entro 72 ore | Attivo |
Diritti degli interessati
Il GDPR garantisce agli interessati (inclusi i pazienti i cui dati sono gestiti tramite DietPlan Pro) i seguenti diritti:
Diritto di accesso
L'interessato può richiedere copia di tutti i propri dati personali trattati, con informazioni sulle finalità e sulla base giuridica.
Diritto di rettifica
Correzione di dati inesatti o incompleti. Il professionista è responsabile dell'aggiornamento dei dati del paziente.
Diritto alla cancellazione
Cancellazione dei dati nei casi previsti dalla normativa. La conservazione per obblighi legali (es. 10 anni per documentazione sanitaria) può prevalere.
Diritto di limitazione
L'interessato può richiedere la limitazione del trattamento in caso di contestazione dell'esattezza o di opposizione al trattamento.
Diritto alla portabilità
Ricezione dei dati in formato strutturato e leggibile da macchina (JSON/CSV) per trasferimento ad altro titolare.
Diritto di opposizione
Opposizione al trattamento basato su legittimo interesse o per finalità di marketing diretto.
Le richieste di esercizio dei diritti relative ai dati dei pazienti devono essere indirizzate al professionista sanitario (Titolare del trattamento). DietPlan Pro fornirà al professionista il supporto necessario per rispondere entro i termini GDPR (30 giorni).
Trasferimenti internazionali di dati
DietPlan Pro mantiene i dati all'interno dello Spazio Economico Europeo (SEE). Nel caso in cui un fornitore di servizi comporti trasferimenti di dati al di fuori del SEE (es. USA), garantiamo che tali trasferimenti avvengano con adeguate garanzie ai sensi dell'art. 46 GDPR, incluse:
- Standard Contractual Clauses (SCC) adottate dalla Commissione Europea
- Verifica dell'adeguatezza del paese destinatario (es. UK post-Brexit)
- Misure tecniche supplementari (cifratura end-to-end) quando necessario
Elenco dei sub-responsabili del trattamento
Ai sensi del DPA, puoi conoscere l'elenco dei sub-responsabili (fornitori terzi) che trattiamo dati per nostro conto:
| Fornitore | Servizio | Sede dati |
|---|---|---|
| Vercel Inc. | Hosting piattaforma web | UE (Germania) |
| FormSubmit | Moduli di contatto | UE |
| Google Fonts | Font tipografici (nessun dato personale) | CDN globale |
Ti notificheremo con almeno 30 giorni di anticipo in caso di aggiunta di nuovi sub-responsabili, come previsto dal DPA.
Contatti per questioni GDPR
Email: tommyteba04@gmail.com
Oggetto consigliato: "Richiesta GDPR — [descrizione della richiesta]"
Tempo di risposta: entro 5 giorni lavorativi (richieste urgenti) / 30 giorni (tutte le richieste)
Per reclami: Garante Privacy Italiano · Piattaforma ODR UE