Informativa sulla Privacy
Versione 2026-05-10 · Ai sensi degli artt. 13 e 14 del Regolamento UE 2016/679 (GDPR)
1. Titolare del trattamento
Il titolare del trattamento è: [DA REVISIONARE CON LEGALE — inserire ragione sociale, sede legale, P.IVA, indirizzo e-mail, PEC].
Per esercitare i propri diritti o per qualsiasi questione relativa al trattamento dei dati personali, è possibile contattare il titolare all'indirizzo: privacy@chir.one.
2. Tipologie di dati trattati
chir.one tratta le seguenti categorie di dati personali:
- Dati di account: nome, indirizzo e-mail e immagine del profilo forniti da Google al momento dell'autenticazione OAuth.
- Dati di sessione: token di sessione conservati nel database per mantenere l'utente autenticato.
- Dati di fatturazione: indirizzo e-mail e identificativo cliente trasmessi a Stripe per la gestione degli abbonamenti e dei pagamenti.
- Dati di utilizzo: registro delle transazioni di crediti (tipo operazione, importo, rotta API), senza contenuto clinico.
- Dati di consenso: data e versione di accettazione della presente informativa e dei termini di servizio.
- Dati tecnici: indirizzo IP, user agent, dati di navigazione raccolti da Vercel Analytics e Speed Insights (solo previo consenso).
Nota sulla pseudonimizzazione clinica:chir.one non conserva nel proprio database le descrizioni degli interventi chirurgici inserite dagli utenti. Tali descrizioni vengono elaborate in tempo reale da sistemi di intelligenza artificiale (Anthropic) e non vengono archiviate dalla piattaforma. I Termini di Servizio vietano espressamente l'inserimento di dati identificativi del paziente (nome, cognome, codice fiscale, data di nascita esatta).
3. Finalità e basi giuridiche del trattamento
| Finalità | Base giuridica (art. 6 GDPR) |
|---|---|
| Autenticazione e gestione dell'account | Esecuzione del contratto (art. 6.1.b) |
| Erogazione del servizio di codifica ICD-9-CM e calcolo DRG | Esecuzione del contratto (art. 6.1.b) |
| Gestione degli abbonamenti e dei pagamenti tramite Stripe | Esecuzione del contratto (art. 6.1.b) |
| Conservazione per obblighi fiscali e contabili (10 anni) | Obbligo legale (art. 6.1.c) |
| Sicurezza del servizio, prevenzione abusi, log di sistema | Legittimo interesse (art. 6.1.f) |
| Analisi aggregata dell'utilizzo (Vercel Analytics) | Consenso (art. 6.1.a) |
| Comunicazioni di marketing e novità del servizio | Consenso (art. 6.1.a) |
4. Destinatari e sub-responsabili del trattamento
I dati personali possono essere comunicati ai seguenti soggetti terzi, nominati responsabili del trattamento ai sensi dell'art. 28 GDPR:
- Anthropic PBC (USA) — elaborazione delle descrizioni cliniche tramite modelli di intelligenza artificiale. Trasferimento extra-UE regolato da Clausole Contrattuali Standard (SCC) ex Decisione UE 2021/914. [DA REVISIONARE CON LEGALE — verificare disponibilità DPA commerciale Anthropic]
- Stripe Payments Europe Ltd (Irlanda/USA) — elaborazione dei pagamenti e gestione degli abbonamenti. Trasferimento extra-UE coperto da certificazione Stripe al Data Privacy Framework UE-USA.
- Neon Inc. (USA) — hosting del database PostgreSQL. [DA REVISIONARE CON LEGALE — verificare regione del database (preferibilmente EU) e disponibilità DPA]
- Vercel Inc.(USA) — hosting dell'applicazione web, Analytics e Speed Insights. Trasferimento extra-UE coperto da SCC. Analytics attivato solo previo consenso dell'utente.
- Google LLC (USA) — autenticazione OAuth. Trasferimento extra-UE coperto da certificazione Google al Data Privacy Framework UE-USA.
I dati non vengono ceduti a terzi per finalità di profilazione commerciale o marketing di terze parti.
5. Trasferimenti extra-UE
Alcuni dei responsabili elencati nella sezione 4 sono stabiliti al di fuori dello Spazio Economico Europeo (SEE). I trasferimenti avvengono in presenza di adeguate garanzie ai sensi del Capo V del GDPR (Clausole Contrattuali Standard, decisioni di adeguatezza, Data Privacy Framework UE-USA a seconda del caso).
6. Periodo di conservazione
- Dati di account e sessione: per tutta la durata del rapporto contrattuale e per 12 mesi dalla cancellazione dell'account.
- Dati di fatturazione (Stripe): 10 anni dall'emissione della fattura, ai sensi dell'art. 2220 del Codice Civile.
- Log di consenso: 5 anni dall'evento di consenso.
- Dati tecnici e di navigazione: come da policy di Vercel (tipicamente 90 giorni per i dati analitici aggregati).
7. Diritti dell'interessato
Ai sensi degli artt. 15-22 del GDPR, l'utente ha il diritto di:
- Accesso (art. 15): ottenere conferma e copia dei dati trattati.
- Rettifica (art. 16): correggere dati inesatti o incompleti.
- Cancellazione (art. 17): richiedere la cancellazione dei propri dati («diritto all'oblio»).
- Limitazione (art. 18): limitare il trattamento in determinate circostanze.
- Portabilità (art. 20): ricevere i propri dati in formato strutturato e leggibile da dispositivo automatico.
- Opposizione (art. 21): opporsi al trattamento basato su legittimo interesse.
- Revoca del consenso: revocare in qualsiasi momento il consenso prestato, senza pregiudizio della liceità del trattamento precedente.
Per esercitare i propri diritti è possibile accedere alla sezione Account dell'applicazione oppure inviare una richiesta a privacy@chir.one. Il titolare risponderà entro 30 giorni dalla ricezione della richiesta.
8. Reclamo al Garante
L'utente ha il diritto di proporre reclamo all'Autorità Garante per la protezione dei dati personali (Garante Privacy — www.garanteprivacy.it) qualora ritenga che il trattamento dei propri dati violi il GDPR.
9. Modifiche alla presente informativa
Il titolare si riserva di modificare la presente informativa in qualsiasi momento. Le modifiche sostanziali saranno comunicate agli utenti registrati via e-mail con almeno 15 giorni di preavviso. L'uso continuato del servizio dopo la data di entrata in vigore della nuova versione costituisce accettazione delle modifiche.
Ultima revisione: 2026-05-10