Vai al contenuto principale

Privacy Policy

Versione 2026-04-28 · Titolare del trattamento: Sanità a Domicilio di Francesco Bonetti — P.IVA 04942670235 — Sede legale: Via Canove 4, 37060 San Giorgio in Salici (VR) — Codice ATECO 86.97.00.

Per contatti privacy: privacy@sanitaadomicilio.it

1. A chi si rivolge

Questa informativa si applica a chi visita il sito sanitaadomicilio.it, a pazienti/utenti che prenotano un professionista, a professionisti sanitari/parasanitari registrati e ai "profili esterni" creati dalla piattaforma da fonti pubbliche (OpenStreetMap, Google Places).

2. Dati che raccogliamo

2.1 Pazienti/utenti registrati

  • Dati anagrafici: nome, cognome, email, numero di telefono.
  • Dati di prenotazione: indirizzo prestazione, data/ora, servizio richiesto.
  • Messaggi scambiati in chat con il professionista (vedi §8).
  • Dati di pagamento gestiti da Stripe (non memorizziamo numeri carta).

2.2 Professionisti registrati

  • Dati anagrafici, email, telefono, indirizzo studio se fornito.
  • Categoria/specialità, bio, servizi offerti, prezzi.
  • Dati di verifica identità (KYC): documento d'identità (fronte/retro), tessera sanitaria / codice fiscale, numero di iscrizione a un albo. Trattamento dettagliato in §6.
  • Token OAuth Google Calendar (cifrati AES-256-GCM) se attivato il sync.
  • Endpoint VAPID per Web Push notifications (subscription endpoint, chiave pubblica p256dh, auth secret) se il pro/utente attiva le notifiche dal browser. Conservato fino a unsubscribe esplicito.
  • Numero di telefono verificato via SMS (Twilio) durante l'onboarding pro: serve a confermare titolarità del numero e a prevenire registrazioni automatizzate.

2.3 Profili esterni (non registrati)

Creiamo "profili esterni" unicamente a partire da fonti pubbliche (OpenStreetMap CC-BY-SA, Google Places con attribution obbligatoria). Contenuto:

  • Base (sempre salvato): identificativo esterno (place_id/osm_id), categoria, città/provincia, zona geografica (non indirizzo esatto).
  • Arricchito (cache lazy 30 giorni): nome, rating, foto, telefono, indirizzo, orari. Viene recuperato solo quando un utente apre la card, e riscade dopo 25 giorni conservando solo la base. Gestione conforme a Google Maps Platform Terms §3.2.3.

Ogni profilo esterno include box informativo + link al modulo di rimozione su /profilo/ext/[id]/rimuovi.

3. Finalità e base giuridica

  • Prenotazione e gestione del servizio (art.6.1.b GDPR — esecuzione del contratto): gestione account, ricerca e prenotazione, messaggi, pagamenti, recensioni.
  • Verifica identità professionista (KYC) (art.6.1.c + interesse legittimo art.6.1.f): prevenzione frodi, tutela dei pazienti, compliance con normativa sanitaria.
  • Profili esterni e anti-frode (art.6.1.f — interesse legittimo): agevolare il match fra pazienti e professionisti già operanti, ridurre asimmetria informativa. Trattasi di dati di attività professionale pubblica, non di categorie particolari.
  • Email transazionali (art.6.1.b): conferma prenotazione, reminder, conferma opt-out.
  • Sicurezza e audit (art.6.1.f): log di azioni admin, rate-limit, rilevazione anomalie.

Non viene effettuato marketing profilato, non cediamo dati a terzi per finalità commerciali, non costruiamo profili pubblicitari.

4. Chi tratta i dati (responsabili / sub-processor)

  • Supabase (infrastruttura DB + auth + storage + Realtime) — Irlanda, data residency eu-central-1 (Francoforte).
  • Vercel (hosting frontend, edge runtime) — USA/EU, SCC.
  • Vercel Analytics + Speed Insights (Real User Monitoring cookieless per Core Web Vitals) — USA, SCC. Non utilizza cookie, non tratta identificatori personali persistenti, non costruisce profili.
  • Stripe (pagamenti, Stripe Connect Express) — Irlanda/USA, SCC. Non memorizziamo numeri carta, solo ID transazione e ID account connesso.
  • Resend (email transazionali) — USA, SCC.
  • Twilio (verifica SMS numero di telefono in fase di onboarding pro) — USA, SCC.
  • Google (Calendar API per sync agende pro · Places API per arricchimento profili esterni · Google Analytics 4 per statistiche aggregate) — USA, SCC. GA4 è attivato solo previo consenso esplicito raccolto via banner cookie, con Consent Mode v2 in modalitàdefault-denied; senza consenso non vengono inviati dati a Google.
  • Sentry (error monitoring + session replay sample 10%) — piattaforma sanita-a-domicilio.sentry.io, hosting USA, SCC. Le sessioni replay applicano masking aggressivo di tutti i campi di input e sono disattivate su /messaggi, /dashboard,/onboarding-pro, /prenota e su tutti i form KYC.
  • Cloudflare (CDN/edge security) — USA/UE, SCC. Aruba(DNS, registrazione dominio) — IT/UE.

Dove il dato esce dallo SEE, è tutelato da Standard Contractual Clauses (SCC) e da misure tecniche aggiuntive (cifratura in transito TLS 1.2+, cifratura at-rest, chiavi gestite, accesso ristretto).

5. Retention (tempi di conservazione)

CategoriaRetention
Account utente/pro (attivo)Per tutta la durata dell'account
Account cancellatoDati anagrafici anonimizzati entro 30gg; dati fiscali 10 anni (obbligo di legge)
Prenotazioni10 anni (obblighi fiscali / antifrode)
Messaggi chat2 anni dalla chiusura della conversazione
Documenti KYC (blob)Cancellati entro 48h dalla decisione admin
Hash KYC (SHA-256 doc + HMAC-SHA256 CF)5 anni (anti-frode e prevenzione doppi profili)
Log audit (admin_actions)3 anni
Profili esterni — campi arricchiti25 giorni dalla cache (poi solo base)
Profili esterni — baseFino a opt-out o a rimozione da fonte pubblica
Push subscription (endpoint VAPID + p256dh + auth)Fino a unsubscribe esplicito o invalidazione browser
Cache Google Calendar busy events15 minuti (TTL on-demand, refresh quando l'utente apre lo slot picker)
Google Analytics 4 (eventi aggregati)14 mesi (default GA4, configurabile)
Sentry — eventi errore90 giorni
Sentry — session replay (10% sample)30 giorni
Vercel Analytics (RUM cookieless)30 giorni

6. Verifica identità professionista (KYC)

Prima di ottenere il badge "Documenti verificati", un professionista deve caricare tre documenti: fronte e retro di un documento d'identità e tessera sanitaria / codice fiscale.

6.1 Come conserviamo i file

  • Storage privato su Supabase (bucket kyc-documents), cifrato at-rest.
  • Accesso limitato all'admin, tramite URL firmati a scadenza breve (5 min).
  • Cancellazione definitiva entro 48h dalla decisione (approve o reject). Non c'è copia di backup dei file.

6.2 Cosa resta dopo la cancellazione

  • Un hash SHA-256 del contenuto dei file (non reversibile al file originale).
  • Un HMAC-SHA256 del codice fiscale (chiave segreta gestita server-side): serve esclusivamente a rilevare tentativi di registrazione con identità già usata su un altro profilo.
  • Metadati minimi: data approvazione, admin che ha deciso, motivazione in caso di reject.

6.3 Retention hash

Gli hash sono conservati 5 anni dalla data di approvazione, solo a fini anti-frode. Non consentono di ricostruire il documento né il codice fiscale senza la conoscenza dell'originale.

6.4 Base giuridica

Art.6.1.c (adempimento obbligo legale di identificazione per servizi sanitari/parasanitari) + art.6.1.f (interesse legittimo anti-frode). Se la foto del documento dovesse contenere dati di categoria particolare (es. segni particolari di salute visibili), il trattamento è consentito ex art.9.2.f (tutela di diritti in sede giudiziale) e §g (motivi di interesse pubblico), ma l'accesso al file è strettamente limitato alla review e il file viene cancellato immediatamente dopo. Vedi DPIA art.35.

6.5 Verifica albo

Per il badge "Albo verificato" il pro fornisce tipo di albo, numero di iscrizione, cognome. Quando l'albo pubblico lo permette e l'uso è compatibile con i termini della fonte, effettuiamo un crossmatch automatico (es. FNOMCeO) — altrimenti un admin verifica manualmente consultando il registro pubblico. Tipo + numero + cognome sono conservati sul profilo pro.

7. Chat e messaggi (no end-to-end)

I messaggi scambiati fra paziente e professionista sono conservati in chiaro nel nostro database (cifrati at-rest a livello disco). Non utilizziamo E2E encryption perché la piattaforma deve poter intervenire (su richiesta) in caso di dispute o segnalazioni di abuso.

Ruolo della piattaforma per i contenuti dei messaggi: coerentemente con il Compendio Garante 2024 sulle piattaforme paziente-pro, per i dati di gestione (calendario, prenotazioni, pagamenti) Sanità a Domicilio è Titolare autonomo; per gli eventuali dati clinici (sintomi, anamnesi, descrizioni terapie) scambiati nei messaggi, il professionista sanitario resta unico Titolare ai sensi della propria informativa professionale e la piattaforma agisce come Responsabile del trattamento ex art. 28 GDPR limitatamente alla conservazione tecnica del messaggio. L'accordo è formalizzato nel Contratto Pro (sezione DPA).

L'accesso admin ai messaggi avviene esclusivamente su richiesta esplicita (ticket di dispute o ordine dell'autorità) e viene registrato in admin_actions.

8. I tuoi diritti (art.15–22 GDPR)

  • Accesso: ottenere copia dei tuoi dati.
  • Rettifica: correggere dati inesatti dal tuo profilo.
  • Cancellazione: chiedere la cancellazione. I dati fiscali e gli hash KYC possono essere esclusi dalla cancellazione per conflitto con obblighi di legge; in quel caso ti forniamo motivazione.
  • Limitazione del trattamento.
  • Portabilità: ricevere i dati in formato strutturato.
  • Opposizione al trattamento basato su interesse legittimo. Per i profili esterni, opposizione = rimozione dal catalogo (vedi endpoint dedicato).
  • Reclamo al Garante per la Protezione dei Dati Personali (garanteprivacy.it).

Per esercitare questi diritti: privacy@sanitaadomicilio.it. Rispondiamo entro 30 giorni.

9. Cookie e tecnologie simili

Utilizziamo cookie e tecnologie simili in due categorie:

  • Cookie tecnici strettamente necessari (art.122 c.1 Codice Privacy — non richiedono consenso): sessione di autenticazione Supabase (sb-*-auth-token), CSRF OAuth, preferenza lingua (locale), memorizzazione della scelta cookie (cookie_consent_v1 in localStorage).
  • Cookie statistici di Google Analytics 4 (_ga,_ga_<container>, _gid) — caricati solo previo consenso espresso tramite il banner cookie. Senza consenso, gli script GA4 sono attivi in modalità Consent Mode v2default-denied: nessun dato di tracciamento viene inviato a Google. La scelta è revocabile in qualsiasi momento dal banner stesso.

Stripe può depositare cookie tecnici necessari all'esecuzione delle transazioni di pagamento. Vercel Analytics e Speed Insights non utilizzano cookie.

Dettaglio completo, finalità, durata e gestione del consenso nella Cookie Policy.

9-bis. Segnalazione contenuti illegali (Digital Services Act)

Ai sensi del Regolamento (UE) 2022/2065 (Digital Services Act), Sanità a Domicilio mette a disposizione un meccanismo di notifica per segnalare contenuti potenzialmente illegali presenti sulla piattaforma (profili falsi, recensioni calunniose, messaggi abusivi, ecc.).

Punto di contatto DSA: info@sanitaadomicilio.it (oggetto: "Segnalazione DSA").

La segnalazione deve indicare: motivo (con riferimento alla norma violata se nota), URL del contenuto, identificativo dell'utente coinvolto se disponibile, dati di contatto del segnalante. Sanità a Domicilio risponde con motivazione della decisione (rimozione, mantenimento, sospensione) entro tempi ragionevoli e fornisce informazioni sulle possibilità di reclamo. In quanto microimpresa ai sensi della Raccomandazione 2003/361/CE, alcune disposizioni del DSA non si applicano (artt. 19-32); restano applicabili gli obblighi base per intermediari (artt. 11, 12, 14-18).

10. Valutazione d'impatto (DPIA art.35)

Abbiamo effettuato una DPIA per i trattamenti a rischio (profili esterni + KYC). Sintesi disponibile nel nostro repository pubblico (docs/DPIA.md). I rischi residui identificati e le misure tecniche/organizzative adottate (TOMs) sono sintetizzati in §6 e §11.

11. Sicurezza

  • TLS 1.2+ in transito, cifratura at-rest lato DB e storage.
  • Row-Level Security (RLS) su tutte le tabelle con dati personali.
  • Accesso admin con auth + log di audit (admin_actions, retention 3 anni).
  • Credenziali Google Calendar cifrate AES-256-GCM con chiave distinta.
  • Rate limit su endpoint pubblici sensibili: /cerca 30 req/min, /api/* 60 req/min, opt-out form throttled.
  • Sentry per error monitoring proattivo: cattura eccezioni e log applicativi anonimizzati per individuare e correggere malfunzionamenti. Session replay con masking aggressivo dei campi input e disattivazione su pagine sensibili.
  • HMAC-SHA256 per la deduplicazione codici fiscali KYC (chiave segreta gestita server-side, ruotabile).
  • Minimizzazione: raccogliamo solo ciò che serve al servizio.

12. Minori

Il servizio non è destinato a minori di 16 anni. Se un minore prenota una prestazione, questa deve essere effettuata da chi esercita la responsabilità genitoriale.

13. Modifiche a questa informativa

Ogni modifica sostanziale viene comunicata via email agli utenti registrati. La versione corrente è la 2026-04-28. Le versioni precedenti sono archiviate nel repository pubblico.