Informativa sulla Privacy
Ultimo aggiornamento: Gennaio 2026
1. Introduzione
La presente Informativa sulla Privacy descrive come OpenLoop S.r.l. ("Società", "noi", "nostro") raccoglie, utilizza, conserva e protegge i dati personali degli utenti della piattaforma MediVault. Ci impegniamo a proteggere la privacy e la sicurezza dei tuoi dati personali e sanitari in conformità con il Regolamento Generale sulla Protezione dei Dati (GDPR - Regolamento UE 2016/679) e le normative italiane applicabili.
2. Titolare del Trattamento
Il Titolare del trattamento dei dati personali è: OpenLoop S.r.l. Via Armando Diaz 11, 07100 Sassari (SS), Italia P. IVA: IT03046850909 Email: privacy@openloop.co PEC: openloop@pec.it Per i dati delle immagini mediche, MediVault agisce come Responsabile del trattamento per conto delle organizzazioni sanitarie (Titolari del trattamento) che utilizzano la piattaforma.
3. Definizioni GDPR
• "Dati personali": qualsiasi informazione riguardante una persona fisica identificata o identificabile. • "Trattamento": qualsiasi operazione compiuta sui dati personali (raccolta, registrazione, conservazione, modifica, consultazione, comunicazione, cancellazione). • "Interessato": la persona fisica a cui si riferiscono i dati personali. • "Responsabile del trattamento": la persona fisica o giuridica che tratta dati personali per conto del Titolare. • "Categorie particolari di dati": dati che rivelano origine razziale, opinioni politiche, convinzioni religiose, dati genetici, dati biometrici, dati relativi alla salute.
4. Categorie di Dati Raccolti
Raccogliamo e trattiamo le seguenti categorie di dati personali: • Dati identificativi: nome, cognome, indirizzo email • Dati di contatto: numero di telefono (opzionale) • Dati professionali: qualifica professionale, organizzazione di appartenenza • Dati tecnici: indirizzo IP, tipo di browser, sistema operativo, log di accesso • Dati di utilizzo: interazioni con la piattaforma, funzionalità utilizzate • Dati sanitari: immagini mediche DICOM e metadati associati (trattati come Responsabile)
5. Dati di Registrazione Account
Per creare un account MediVault, raccogliamo: • Nome e cognome • Indirizzo email • Password (memorizzata in forma crittografata) • Organizzazione di appartenenza • Ruolo professionale Base giuridica: esecuzione del contratto (Art. 6(1)(b) GDPR) Conservazione: per tutta la durata dell'account attivo e per il periodo richiesto dalla legge dopo la chiusura
6. Dati delle Immagini Mediche
MediVault ospita immagini mediche in formato DICOM caricate dagli utenti. Questi dati possono includere: • Immagini diagnostiche (TC, RM, RX, ecografie, ecc.) • Metadati DICOM (informazioni paziente, studio, serie) • Annotazioni e misurazioni • Risultati di analisi AI Per questi dati, la tua organizzazione sanitaria rimane il Titolare del trattamento. MediVault agisce come Responsabile del trattamento, fornendo esclusivamente servizi di hosting, visualizzazione e analisi. Base giuridica: consenso esplicito dell'interessato o necessità per finalità di medicina preventiva, diagnosi, assistenza sanitaria (Art. 9(2)(a) e (h) GDPR)
7. Dati di Navigazione e Utilizzo
Raccogliamo automaticamente: • Indirizzo IP (in forma abbreviata/anonimizzata) • Tipo di browser e sistema operativo • Pagine visitate e funzionalità utilizzate • Timestamp delle sessioni • Eventuali errori riscontrati Questi dati sono necessari per il funzionamento tecnico della piattaforma e per migliorare il servizio. Base giuridica: legittimo interesse (Art. 6(1)(f) GDPR) per dati essenziali; consenso (Art. 6(1)(a) GDPR) per analytics non essenziali
8. Finalità del Trattamento
Trattiamo i tuoi dati personali per le seguenti finalità: • Fornitura del servizio: gestione dell'account, autenticazione, accesso alla piattaforma • Erogazione delle funzionalità: visualizzazione immagini, analisi AI, gestione studi • Assistenza clienti: risposta a richieste e segnalazioni • Sicurezza: prevenzione accessi non autorizzati, rilevamento anomalie • Conformità legale: adempimento obblighi normativi, risposta a richieste delle autorità • Miglioramento del servizio: analisi aggregate e anonime per ottimizzare la piattaforma • Comunicazioni: aggiornamenti sul servizio, notifiche di sicurezza
9. Basi Giuridiche del Trattamento
Il trattamento dei tuoi dati si basa su: • Esecuzione del contratto (Art. 6(1)(b)): per fornirti i servizi richiesti • Consenso (Art. 6(1)(a)): per trattamenti opzionali come newsletter o analytics • Obbligo legale (Art. 6(1)(c)): per adempiere a obblighi di legge • Legittimo interesse (Art. 6(1)(f)): per sicurezza, prevenzione frodi, miglioramento servizi Per i dati sanitari, il trattamento si basa sul consenso esplicito o sulla necessità per finalità di medicina (Art. 9(2)(a) e (h) GDPR).
10. Comunicazione e Condivisione dei Dati
I tuoi dati personali possono essere condivisi con: • Dipendenti e collaboratori autorizzati: limitatamente a quanto necessario per le loro funzioni, sotto vincolo di riservatezza • Fornitori di servizi (Responsabili del trattamento): hosting cloud, elaborazione pagamenti, assistenza tecnica - tutti vincolati da accordi conformi al GDPR • Autorità competenti: quando richiesto dalla legge o da provvedimenti giudiziari Non vendiamo, affittiamo o condividiamo i tuoi dati personali con terzi per finalità di marketing. I dati medici non vengono mai condivisi tra organizzazioni diverse: ogni organizzazione accede esclusivamente ai propri dati.
11. Fornitori Terzi e Sub-responsabili
Utilizziamo i seguenti fornitori per l'erogazione del servizio: • Amazon Web Services (AWS): hosting infrastruttura cloud (UE) • Stripe: elaborazione pagamenti - non accediamo mai ai dati bancari completi • Servizi di analisi: analytics anonimizzati per miglioramento servizio Tutti i fornitori sono selezionati per la loro conformità al GDPR e sono vincolati da accordi di trattamento dati (DPA) che garantiscono adeguate misure di sicurezza.
12. Conservazione dei Dati
I dati personali sono conservati per il tempo necessario alle finalità per cui sono stati raccolti: • Dati account: per tutta la durata dell'account e fino a 30 giorni dopo la chiusura per consentire l'esportazione • Dati medici: secondo le policy dell'organizzazione sanitaria titolare e i requisiti normativi applicabili • Log di accesso e sicurezza: minimo 6 mesi, massimo 24 mesi • Dati di fatturazione: 10 anni come richiesto dalla normativa fiscale italiana • Dati di audit: per il periodo richiesto dalle normative sanitarie applicabili Alla scadenza del periodo di conservazione, i dati vengono cancellati in modo sicuro o anonimizzati.
13. Misure di Sicurezza
Implementiamo misure tecniche e organizzative appropriate per proteggere i tuoi dati: Misure tecniche: • Crittografia AES-256 per i dati a riposo • Crittografia TLS 1.2+ per i dati in transito • Autenticazione multi-fattore • Controllo degli accessi basato sui ruoli • Firewall, antivirus e sistemi di rilevamento intrusioni • Backup automatici giornalieri con retention 35+ giorni • Penetration test e audit di sicurezza periodici Misure organizzative: • Formazione del personale sulla protezione dati • Procedure di risposta agli incidenti • Accordi di riservatezza con tutti i collaboratori • Revisione periodica delle policy di sicurezza Pur adottando le migliori pratiche del settore, non possiamo garantire la sicurezza assoluta. In caso di violazione dei dati, seguiremo le procedure previste dal GDPR per la notifica agli interessati e alle autorità competenti.
14. I Tuoi Diritti
Ai sensi del GDPR, hai i seguenti diritti: • Diritto di accesso (Art. 15): ottenere conferma del trattamento e copia dei tuoi dati • Diritto di rettifica (Art. 16): correggere dati inesatti o incompleti • Diritto alla cancellazione (Art. 17): richiedere la cancellazione dei dati ("diritto all'oblio") • Diritto di limitazione (Art. 18): limitare il trattamento in determinate circostanze • Diritto alla portabilità (Art. 20): ricevere i dati in formato strutturato e leggibile da dispositivo automatico • Diritto di opposizione (Art. 21): opporsi al trattamento basato su legittimo interesse • Diritto di revoca del consenso (Art. 7): revocare il consenso in qualsiasi momento Per esercitare i tuoi diritti, contattaci all'indirizzo privacy@openloop.co. Risponderemo entro 30 giorni dalla ricezione della richiesta.
15. Dati dei Minori
MediVault non è destinato a utenti di età inferiore ai 18 anni. Non raccogliamo consapevolmente dati personali di minori. Le immagini mediche di pazienti minorenni possono essere trattate sulla piattaforma, ma solo da professionisti sanitari autorizzati e nel rispetto delle normative applicabili alla tutela dei minori.
16. Cookie e Tecnologie Simili
Utilizziamo cookie e tecnologie simili per: Cookie essenziali (sempre attivi): • Autenticazione e gestione sessione (Amazon Cognito) • Preferenze utente (lingua, tema) • Memorizzazione del consenso cookie Cookie analitici (previo consenso): • Google Analytics per comprendere l'utilizzo della piattaforma e migliorare l'esperienza utente • I dati sono anonimizzati e aggregati Cookie di marketing (previo consenso): • Google Ads per misurare l'efficacia delle campagne pubblicitarie • Tracciamento delle conversioni (es. registrazioni completate dopo un clic su annuncio) • I dati vengono utilizzati per ottimizzare le nostre campagne e non per profilazione comportamentale Puoi gestire le tue preferenze sui cookie in qualsiasi momento tramite il banner cookie o cliccando su 'Gestisci Cookie' in fondo a qualsiasi pagina. La disabilitazione dei cookie essenziali potrebbe impedire l'utilizzo del Servizio.
Elenco Dettagliato dei Cookie
| Nome | Fornitore | Finalità | Durata | Tipo |
|---|---|---|---|---|
medivault_cookie_consent | MediVault | Memorizza le preferenze sui cookie | 1 anno | Essenziale |
NEXT_LOCALE | MediVault | Memorizza la preferenza di lingua | 1 anno | Essenziale |
CognitoIdentityServiceProvider.* | Amazon Cognito | Gestisce l'autenticazione e la sessione utente | Sessione | Essenziale |
__Host-next-auth.* | MediVault | Mantiene lo stato della sessione | Sessione | Essenziale |
_ga | Google Analytics | Distingue gli utenti per le statistiche aggregate | 2 anni | Analitico |
_ga_* | Google Analytics | Mantiene lo stato della sessione di analytics | 2 anni | Analitico |
_gid | Google Analytics | Distingue gli utenti per le statistiche giornaliere | 24 ore | Analitico |
_gcl_au | Google Ads | Collega i clic sugli annunci alle conversioni sul sito | 90 giorni | Marketing |
_gcl_aw | Google Ads | Traccia le conversioni dalle campagne Google Ads | 90 giorni | Marketing |
17. Modifiche all'Informativa
Possiamo aggiornare questa Informativa sulla Privacy per riflettere modifiche alle nostre pratiche o per altri motivi operativi, legali o regolamentari. In caso di modifiche sostanziali: • Ti informeremo via email almeno 30 giorni prima dell'entrata in vigore • Pubblicheremo la nuova versione sul sito con la data di ultimo aggiornamento • Per modifiche che richiedono il consenso, lo richiederemo esplicitamente Ti invitiamo a consultare periodicamente questa pagina per rimanere informato.
18. Autorità di Controllo
Se ritieni che il trattamento dei tuoi dati violi il GDPR, hai il diritto di proporre reclamo all'autorità di controllo competente. In Italia, l'autorità competente è: Garante per la Protezione dei Dati Personali Piazza Venezia 11, 00187 Roma www.garanteprivacy.it Email: protocollo@gpdp.it PEC: protocollo@pec.gpdp.it
19. Contatti
Per qualsiasi domanda relativa a questa Informativa sulla Privacy o al trattamento dei tuoi dati personali, puoi contattarci: • Email: privacy@openloop.co • PEC: openloop@pec.it • Indirizzo: OpenLoop S.r.l., Via Armando Diaz 11, 07100 Sassari (SS), Italia Ci impegniamo a rispondere a tutte le richieste entro 30 giorni.