Informativa sul trattamento dei dati personali

Unione Dentisti Srl
Sede legale: Via del Lavoro 10, 21013 Gallarate (VA) · P.IVA 03309770125
Email: [email protected]
Responsabile della protezione dei dati (DPO): [email protected]

• Dati identificativi: nome, cognome, indirizzo email, numero di telefono
• Dati di autenticazione: password in forma cifrata (bcrypt), token JWT
• Dati sanitari (categorie particolari ex art. 9 GDPR): immagini diagnostiche DICOM (CBCT, OPT, endorali), scansioni STL, anamnesi clinica, note di consulto tra professionisti
• Dati di pagamento: gestiti esclusivamente da Stripe Inc. — Surgivibe non archivia numeri di carta né dati bancari
• Dati tecnici: indirizzo IP, log di accesso, orari di connessione

Pseudonimizzazione: gli utenti sono tenuti a non inserire dati identificativi diretti del paziente nella piattaforma. Le immagini diagnostiche devono essere associate a codici paziente anonimi (es. PAZ-2024-001), non a nomi o codici fiscali.

• Dati sanitari e casi clinici: 10 anni dalla data di registrazione del caso, ai sensi del D.Lgs. 196/2003 e degli obblighi di conservazione della documentazione sanitaria previsti dalla normativa italiana
• Dati account: per tutta la durata del contratto + 3 anni dalla chiusura
• Dati di pagamento (Stripe): secondo la policy di conservazione di Stripe (normalmente 7 anni per obblighi fiscali)
• Log di accesso: 2 anni
• Token temporanei (reset password, verifica email): 1 ora – 24 ore (scadono automaticamente)

I dati non vengono ceduti a terzi per finalità commerciali. Possono essere comunicati a:

• Chirurghi e laboratori espressamente assegnati dalla clinica, per i soli casi loro condivisi
• Fornitori di infrastruttura tecnologica in qualità di Responsabili del trattamento (art. 28 GDPR)
• Autorità competenti, ove richiesto per legge

I dati sono prevalentemente trattati all'interno dello Spazio Economico Europeo (SEE). I seguenti trasferimenti verso paesi terzi avvengono con adeguate garanzie ai sensi degli artt. 44–49 GDPR:

Ai sensi degli artt. 15–22 GDPR, l'interessato ha diritto di:

• Accesso (art. 15): ottenere copia dei dati personali trattati
• Rettifica (art. 16): correggere dati inesatti o incompleti
• Cancellazione (art. 17): richiedere la cancellazione ("diritto all'oblio"), salvo obblighi di legge — inclusi i 10 anni per dati sanitari
• Limitazione (art. 18): limitare il trattamento in determinati casi
• Portabilità (art. 20): ricevere i dati in formato strutturato e leggibile da macchina
• Opposizione (art. 21): opporsi al trattamento basato su legittimo interesse
• Revoca del consenso (art. 7): senza pregiudizio per il trattamento effettuato precedentemente

Le richieste possono essere inviate a: [email protected]. Il titolare risponde entro 30 giorni (prorogabili di altri 60 in casi complessi). È possibile proporre reclamo all'Autorità Garante per la protezione dei dati personali (www.garanteprivacy.it).

Surgivibe utilizza esclusivamente:

• Cookie tecnici necessari: session storage e localStorage per il token di autenticazione JWT e le preferenze di sessione — non richiedono consenso (art. 122 D.Lgs. 196/2003)
• Cookie analytics (opzionali): utilizzati solo previo consenso esplicito tramite il banner cookie

Consulta la Cookie Policy per il dettaglio completo.

• Cifratura delle password con bcrypt (cost factor 12)
• Autenticazione tramite JWT con scadenza 24 ore + refresh token
• Comunicazioni cifrate via HTTPS/TLS
• Accesso ai dati sanitari limitato ai soli professionisti espressamente assegnati
• Log di audit per ogni accesso ai casi clinici
• Infrastruttura su server europei (Hetzner, Germania)
• Backup periodici del database

La presente informativa può essere aggiornata. Le modifiche sostanziali saranno comunicate via email agli utenti registrati con almeno 15 giorni di anticipo. La versione vigente è sempre disponibile su questa pagina.

Per qualsiasi domanda sulla presente informativa: [email protected]