Informativa sul Trattamento dei Dati Personali
ai sensi degli articoli 13 e 14 del Regolamento (UE) 2016/679 (GDPR)
1. Titolare del Trattamento
Dr. Cuono Cucco — Medico Specialista in Cardiologia
Partita IVA: 02183960505
Iscrizione Ordine dei Medici Chirurghi e degli Odontoiatri di Pisa — n. 5119
Sede legale: Via dell'Argine, 6 — Loc. Colignola, 56017 San Giuliano Terme (PI)
Email: info@drcuonocucco.it
PEC: cuono.cucco.7kva@pi.omceo.it
Telefono: (+39) 391 1868653
Sedi operative: Livorno (Via A. Lampredi, 45) e La Spezia (Via delle Cave 114). Per contatti relativi alla privacy: info@drcuonocucco.it.
2. Responsabile della Protezione dei Dati (DPO)
Ai sensi dell'art. 37 GDPR, il Titolare ha valutato che il volume di trattamenti effettuati non raggiunge la soglia di "larga scala" che rende obbligatoria la nomina di un Responsabile della Protezione dei Dati. Per qualsiasi questione relativa al trattamento dei dati personali, l'interessato puo rivolgersi direttamente al Titolare tramite i recapiti sopra indicati.
3. Categorie di Dati Trattati
3.1 Dati personali comuni (Art. 6 GDPR)
- Dati anagrafici: nome, cognome, data di nascita, sesso, codice fiscale
- Dati di contatto: email, telefono, cellulare, indirizzo di residenza
- Credenziali di accesso (password in forma cifrata)
- Dati tecnici: indirizzo IP, log di accesso, token di sessione, identificatori del dispositivo mobile per le notifiche push
3.2 Dati relativi alla salute (Art. 9 GDPR — categorie particolari)
Attraverso il sistema di messaggistica integrato e la sezione prenotazioni, possono essere trattati dati che rientrano nelle "categorie particolari" di dati ai sensi dell'Art. 9 GDPR:
- Sintomi, anamnesi, informazioni cliniche condivise nei messaggi con il medico
- Allegati sanitari (referti, esami, elettrocardiogrammi, immagini diagnostiche)
- Tipologia di visita o prestazione richiesta
- Note cliniche associate all'appuntamento
Il Titolare non utilizza questo sito per la tenuta della cartella clinica completa; i dossier clinici sono gestiti attraverso il software gestionale dedicato CardioCare PRO, conforme alle linee guida del Garante del 9 luglio 2015 sul dossier sanitario.
4. Finalita e Base Giuridica del Trattamento
| Finalita | Base giuridica | Obbligatorio |
|---|---|---|
| Registrazione account e autenticazione | Art. 6(1)(b) — contratto | Si |
| Gestione prenotazioni appuntamenti | Art. 6(1)(b) — contratto | Si |
| Invio email di conferma e promemoria | Art. 6(1)(b) — contratto | Si |
| Messaggistica e scambio allegati tra paziente e medico (dati sanitari) | Art. 9(2)(a) — consenso esplicito Art. 9(2)(h) — cure sanitarie | Opzionale (richiesto per usare la chat) |
| Notifiche push su dispositivo mobile | Art. 6(1)(a) — consenso | Opzionale |
| Adempimenti fiscali e contabili | Art. 6(1)(c) — obbligo di legge | Si (se fatturazione) |
| Newsletter o comunicazioni informative | Art. 6(1)(a) — consenso | No (opt-in) |
| Difesa in giudizio e gestione contenzioso | Art. 6(1)(f) — legittimo interesse | — |
In relazione alla finalita di difesa in giudizio (Art. 6(1)(f) GDPR), il Titolare ha condotto una valutazione di bilanciamento tra il proprio legittimo interesse a far valere o difendere un diritto in sede giudiziaria e i diritti e le liberta degli interessati, ritenendo prevalente l'interesse del Titolare alla luce della natura occasionale, proporzionata e necessaria del trattamento.
5. Modalita del Trattamento e Misure di Sicurezza
Il trattamento e effettuato con strumenti elettronici, adottando misure tecniche e organizzative adeguate a garantire un livello di sicurezza appropriato al rischio (Art. 32 GDPR), tra cui:
- Crittografia TLS in transito e AES a riposo sui server
- Row-Level Security sul database: ogni paziente accede solo ai propri dati
- Controllo degli accessi con autenticazione forte e token firmati JWT
- Log di audit su tutte le operazioni riguardanti dati personali e sanitari
- Backup periodici automatici con conservazione limitata nel tempo
- Validazione server-side di tutti gli input
- Soft-delete dei messaggi con conservazione del log per finalita di tracciabilita
6. Destinatari dei Dati (Responsabili del Trattamento)
I dati possono essere comunicati ai seguenti soggetti, designati Responsabili del Trattamento ai sensi dell'Art. 28 GDPR:
| Responsabile | Servizio fornito | Localizzazione |
|---|---|---|
| Supabase Inc. | Database e autenticazione | UE (Francoforte) |
| Hetzner Online GmbH | Hosting applicativo | UE (Germania) |
| Resend Inc. | Invio email transazionali | USA (SCC + DPF) |
| Apple Inc. | Notifiche push (APNs) su iOS | USA (SCC + DPF) |
| Google LLC | Notifiche push (FCM) su Android | USA (SCC + DPF) |
I dati non sono oggetto di diffusione ne venduti a terzi per finalita commerciali. Eventuali trasferimenti verso paesi terzi (USA) avvengono sulla base di Clausole Contrattuali Standard approvate dalla Commissione Europea e di adesione al Data Privacy Framework UE-USA.
7. Tempi di Conservazione
| Dato | Periodo di conservazione |
|---|---|
| Account paziente inattivo | 2 anni dall'ultima attivita, poi anonimizzazione automatica |
| Prenotazioni e appuntamenti | 10 anni (conservazione documentazione sanitaria) |
| Messaggi e allegati sanitari | 10 anni dalla chiusura del thread |
| Fatture e documenti fiscali | 10 anni (art. 2220 Codice Civile) |
| Log di accesso | 12 mesi |
| Audit log delle modifiche | 10 anni |
L'anonimizzazione degli account inattivi avviene automaticamente tramite procedura schedulata documentata. L'interessato puo richiedere la cancellazione anticipata (vedi punto 9).
8. Trattamento dei Dati dei Minori
Ai sensi dell'Art. 8 GDPR e dell'art. 2-quinquies del D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018, in Italia il minore di 14 anni non puo prestare autonomamente il consenso al trattamento dei dati personali: in tal caso la registrazione deve essere effettuata dal genitore o dal tutore legale, che sara considerato l'interessato per gli effetti della presente informativa. In fase di registrazione il sistema effettua una verifica anagrafica basata sulla data di nascita dichiarata dall'Utente, impedendo la registrazione a soggetti di eta inferiore alla soglia.
9. App Mobile e Permessi del Dispositivo
L'App AmbulCardio per iOS (e, in futuro, Android) richiede, solo se l'Utente intende utilizzare le relative funzionalita, i seguenti permessi a livello di sistema operativo:
- Notifiche push — per ricevere promemoria di appuntamenti e avvisi di nuovi messaggi (servizio APNs di Apple su iOS, FCM di Google su Android).
- Fotocamera — per scattare foto da inviare nella messaggistica con il medico.
- Libreria foto — per allegare immagini gia presenti sul dispositivo nella messaggistica.
I permessi sono concessi e revocabili in qualsiasi momento dalle Impostazioni del dispositivo (su iOS: Impostazioni → Notifiche/Privacy → AmbulCardio). L'App non utilizza tecnologie di tracciamento pubblicitario, non integra SDK di analytics di terze parti e non condivide identificatori del dispositivo per finalita di marketing.
10. Diritti dell'Interessato
In qualunque momento l'interessato puo esercitare i diritti previsti dagli articoli 15-22 del GDPR:
- Accesso (Art. 15): conoscere quali dati sono trattati e riceverne copia
- Rettifica (Art. 16): correggere dati inesatti o integrare quelli incompleti
- Cancellazione (Art. 17): richiedere la rimozione dei dati ("diritto all'oblio")
- Limitazione (Art. 18): sospendere temporaneamente il trattamento
- Portabilita (Art. 20): ricevere i dati in formato strutturato (JSON)
- Opposizione (Art. 21): opporsi al trattamento per motivi legittimi
- Revoca del consenso (Art. 7): ritirare il consenso prestato in qualsiasi momento, senza pregiudicare la liceita del trattamento svolto in precedenza
Alcuni di questi diritti sono esercitabili direttamente tramite l'area riservata (web e App): modifica del profilo, download dei propri dati in JSON ("Esporta i miei dati"), eliminazione dell'account. Per le altre richieste, per la revoca dei consensi prestati e per qualsiasi chiarimento e possibile scrivere a info@drcuonocucco.it o inviare PEC a cuono.cucco.7kva@pi.omceo.it.
Il Titolare risponde alle richieste di esercizio dei diritti entro 30 giornidal ricevimento, prorogabili di ulteriori 60 giorni in caso di particolare complessita o numero elevato di richieste, ai sensi dell'art. 12, paragrafo 3, GDPR.
L'interessato ha inoltre diritto di proporre reclamo al Garante per la Protezione dei Dati Personali (Piazza Venezia 11, 00187 Roma) ovvero, ai sensi dell'art. 77 GDPR, all'Autorita di controllo dello Stato membro UE in cui risiede o lavora abitualmente o nel quale si e verificata la presunta violazione.
11. Natura del Conferimento e Modalita di Revoca dei Consensi
Il conferimento dei dati contrassegnati come obbligatori in fase di registrazione e necessario per erogare il servizio: il rifiuto comporta l'impossibilita di utilizzare il portale e l'App.
Il consenso al trattamento dei dati sanitari (Art. 9(2)(a) GDPR) e richiesto unicamente per la funzionalita di messaggistica con il medico ed e liberamente revocabile in qualsiasi momento, mantenendo attivo l'account per la sola prenotazione. Il consenso alle comunicazioni informative (newsletter) e facoltativo e separatamente revocabile.
La revoca dei consensi puo essere effettuata, ai sensi dell'art. 7, paragrafo 3, GDPR, attraverso uno qualunque dei seguenti canali, con efficacia dal momento della richiesta:
- inviando una richiesta a info@drcuonocucco.it indicando il consenso che si intende revocare;
- inviando PEC a cuono.cucco.7kva@pi.omceo.it;
- eliminando l'account dall'area riservata (web o App, sezione "Profilo"), nel qual caso si avra l'effetto di cessare integralmente il trattamento, fermo restando il rispetto degli obblighi di conservazione di cui al punto 7.
La revoca non pregiudica la liceita del trattamento svolto sulla base del consenso prestato precedentemente alla revoca stessa.
12. Decisioni Automatizzate e Profilazione
Ai sensi dell'art. 13, paragrafo 2, lettera f), e dell'art. 22 GDPR, il Titolare informa l'interessato che, tramite il portale e l'App AmbulCardio, non vengono adottate decisioni basate unicamente su trattamenti automatizzati, inclusa la profilazione, che producano effetti giuridici sull'Utente o che incidano in modo analogo significativo sulla sua persona. Le scelte di natura clinica, organizzativa o contrattuale che riguardano l'Utente sono sempre adottate con l'intervento umano del medico e del personale autorizzato.
13. Cookie
Questo sito utilizza esclusivamente cookie tecnici strettamente necessari al funzionamento del servizio di autenticazione (sessione Supabase). Non sono installati cookie analitici, di profilazione o di marketing, per i quali non e pertanto richiesto alcun consenso preventivo ai sensi del Provvedimento del Garante del 10 giugno 2021.
14. Modifiche alla presente Informativa
Il Titolare si riserva il diritto di aggiornare questa informativa per adeguarla a modifiche normative o organizzative. In caso di modifiche sostanziali verra data comunicazione via email agli utenti registrati. La versione in vigore e sempre pubblicata a questa pagina con indicazione della data di ultimo aggiornamento.
Ultimo aggiornamento: Maggio 2026
