Informativa sulla Privacy

Il Titolare del trattamento dei dati personali è:

Per qualsiasi questione relativa al trattamento dei dati personali, è possibile contattare il Titolare all'indirizzo email privacy@osteopaty.it.

Nell'ambito dell'erogazione del Servizio, il Titolare tratta le seguenti categorie di dati personali:

2.1 Dati di registrazione e identificazione

• Nome e cognome forniti in fase di registrazione
• Indirizzo email utilizzato come identificativo dell'account
• Credenziali di autenticazione: password (conservata in forma criptata tramite hashing) oppure token di autenticazione Google (in caso di accesso tramite Google Sign-In)
• Identificativo univoco utente (UID) generato da Firebase Authentication
• Foto profilo (se fornita tramite Google Sign-In)

2.2 Dati di utilizzo del Servizio

• Conversazioni con l'assistente AI: testo dei messaggi inviati dall'utente e risposte generate dall'intelligenza artificiale, archiviati in Google Cloud Firestore
• Documenti e immagini caricati: file PDF, immagini e altri documenti caricati dall'utente per l'analisi da parte dell'assistente AI, conservati in Firebase Storage
• Immagini generate: contenuti grafici prodotti dall'assistente AI su richiesta dell'utente, conservati in Firebase Storage
• Documenti generati: file PDF e altri documenti creati dall'assistente AI (es. schede esercizi, locandine), conservati in Firebase Storage

2.3 Dati di memoria e personalizzazione

• Memoria utente (User Memory): fatti estratti automaticamente dall'intelligenza artificiale dalle conversazioni, relativi al profilo professionale dell'utente (ruolo, specializzazione, tipo di studio, preferenze professionali). Questi dati servono a personalizzare le risposte dell'assistente AI nel tempo
• Memoria episodica (Episodic Memory): sintesi tematiche delle conversazioni precedenti, includendo argomenti clinici discussi (es. tipologie di sintomi, diagnosi differenziali, approcci terapeutici menzionati). Questi dati consentono all'assistente AI di mantenere continuità tra le sessioni di chat

2.4 Dati di ricerca nella Knowledge Base

• Query di ricerca: interrogazioni effettuate sulla base di conoscenza (Knowledge Base) osteopatica integrata nella Piattaforma
• Risultati di ricerca: documenti e passaggi restituiti dalla Knowledge Base in risposta alle query dell'utente
• Embedding vettoriali: rappresentazioni numeriche delle query, generate tramite modelli di OpenAI e conservate nel database vettoriale Qdrant

2.5 Dati di pagamento

• Informazioni di fatturazione: gestite integralmente tramite Stripe. Il Titolare NON memorizza né ha accesso ai dati completi della carta di credito/debito dell'utente. Stripe trasmette al Titolare unicamente: identificativo cliente Stripe, stato dell'abbonamento, date di inizio/rinnovo/scadenza, importi delle transazioni e ultime 4 cifre della carta

2.6 Dati tecnici e metriche di utilizzo

• Contatore messaggi giornalieri: numero di messaggi inviati dall'utente per ciascun giorno, utilizzato per la gestione dei limiti del piano di abbonamento
• Feedback: valutazioni e commenti inviati dall'utente sulle risposte dell'assistente AI
• Dati tecnici di navigazione: indirizzo IP, tipo e versione del browser, sistema operativo, dispositivo utilizzato, pagine visitate, timestamp di accesso (raccolti automaticamente dai sistemi di hosting)

I dati personali sono trattati per le seguenti finalità, ciascuna associata a una specifica base giuridica ai sensi dell'art. 6 del GDPR:

Nota sul legittimo interesse: nei casi in cui il trattamento si basa sul legittimo interesse del Titolare (art. 6(1)(f) GDPR), il Titolare ha effettuato un bilanciamento (Legitimate Interest Assessment) verificando che i propri interessi non prevalgano sui diritti e le libertà fondamentali degli interessati. L'utente ha in ogni caso il diritto di opporsi a tali trattamenti ai sensi dell'art. 21 del GDPR (si veda la Sezione 9).

Nota sul consenso: laddove il trattamento si basi sul consenso, l'utente può revocarlo in qualsiasi momento senza che ciò pregiudichi la liceità del trattamento effettuato prima della revoca. La revoca del consenso alla memoria utente e alla memoria episodica può essere esercitata dalle impostazioni dell'account o contattando il Titolare.

4.1 Utilizzo dell'intelligenza artificiale

La Piattaforma utilizza modelli di intelligenza artificiale generativa per fornire le proprie funzionalità principali. In particolare:

• Generazione di risposte testuali: i messaggi dell'utente vengono trasmessi a modelli AI di xAI (Grok) per generare risposte pertinenti all'ambito osteopatico
• Generazione di embedding: le query di ricerca vengono trasformate in rappresentazioni vettoriali tramite il modello text-embedding-3-large di OpenAI, al fine di effettuare ricerche semantiche nella Knowledge Base
• Generazione di immagini: immagini didattiche, locandine ed esercizi vengono generati tramite modelli di Google (Gemini)
• Ottimizzazione dei prompt per immagini: OpenAI viene utilizzato per perfezionare le descrizioni prima della generazione delle immagini
• Estrazione automatica della memoria: il sistema estrae automaticamente informazioni professionali rilevanti dalle conversazioni per costruire il profilo professionale dell'utente e mantenere la continuità tra le sessioni
• Generazione di contesto: Google (Gemini) viene utilizzato per generare contesto arricchito per i documenti della Knowledge Base

4.2 Processi decisionali automatizzati

Ai sensi dell'art. 22 del GDPR, si precisa che la Piattaforma non effettua processi decisionali interamente automatizzati che producano effetti giuridici o incidano in modo analogo significativamente sull'interessato. Le risposte dell'assistente AI:

• Hanno natura di supporto informativo e non sostituiscono il giudizio professionale dell'osteopata
• Non generano diagnosi, prescrizioni o decisioni cliniche vincolanti
• Non determinano l'accesso o l'esclusione dell'utente da servizi o opportunità

4.3 Profilazione

La Piattaforma effettua una forma di profilazione limitata ai fini della personalizzazione del Servizio, attraverso:

• Memoria utente: costruzione progressiva di un profilo professionale (specializzazione, tipo di studio, preferenze) per adattare le risposte dell'AI
• Memoria episodica: tracciamento degli argomenti clinici discussi per garantire continuità e pertinenza nelle conversazioni successive

Tale profilazione si basa sul consenso dell'interessato (art. 6(1)(a) GDPR). L'utente può in qualsiasi momento:

• Visualizzare i dati di memoria estratti dall'AI dalle impostazioni del proprio account
• Richiedere la cancellazione parziale o totale della memoria
• Disattivare la funzionalità di memorizzazione automatica

4.4 Addestramento dei modelli AI

Il Titolare non utilizza le conversazioni, i documenti o i dati degli utenti per addestrare o perfezionare (fine-tuning) modelli di intelligenza artificiale propri o di terze parti. I dati vengono trasmessi ai provider AI esclusivamente per generare risposte in tempo reale. Si rimanda alle informative dei singoli provider AI per le rispettive politiche sull'utilizzo dei dati (si veda la Sezione 5).

Per l'erogazione del Servizio, il Titolare si avvale dei seguenti fornitori terzi, nominati Responsabili del trattamento ai sensi dell'art. 28 del GDPR mediante la stipula di appositi Data Processing Agreement (DPA):

I dati personali non vengono comunicati a soggetti terzi per finalità di marketing, pubblicità o cessione commerciale. I dati possono essere comunicati ad autorità competenti esclusivamente nei casi previsti dalla legge.

Alcuni dei Responsabili del trattamento indicati nella Sezione 5 hanno sede negli Stati Uniti d'America. Il trasferimento dei dati personali verso gli USA avviene nel rispetto del Capo V del GDPR (artt. 44-49), sulla base delle seguenti garanzie:

6.1 EU-US Data Privacy Framework

A seguito della Decisione di adeguatezza della Commissione Europea del 10 luglio 2023 (Decisione di esecuzione (UE) 2023/1795), i trasferimenti verso organizzazioni statunitensi certificate nell'ambito dell'EU-US Data Privacy Framework (DPF) sono considerati conformi al GDPR. I seguenti provider sono certificati DPF:

• Google LLC (Firebase, Gemini) — certificato DPF
• Stripe, Inc. — certificato DPF
• OpenAI — verificare la certificazione DPF aggiornata su dataprivacyframework.gov
• Vercel Inc. — verificare la certificazione DPF aggiornata

6.2 Clausole Contrattuali Standard (SCC)

Per i provider non certificati DPF o come garanzia supplementare, il Titolare si avvale delle Clausole Contrattuali Standard approvate dalla Commissione Europea con Decisione di esecuzione (UE) 2021/914 del 4 giugno 2021 ("SCC"). In particolare:

• xAI (Grok): il trasferimento dei dati avviene sulla base di SCC stipulate con il provider, integrate da una Transfer Impact Assessment (TIA) che valuta il livello di protezione nel paese di destinazione e le misure supplementari adottate
• OpenAI: SCC integrate nel Data Processing Addendum (DPA) del provider

6.3 Misure supplementari

In conformità alle raccomandazioni 01/2020 dell'EDPB (European Data Protection Board), il Titolare adotta le seguenti misure tecniche supplementari per proteggere i dati trasferiti al di fuori dello SEE:

• Crittografia dei dati in transito tramite TLS 1.2 o superiore
• Minimizzazione dei dati trasmessi ai provider AI (vengono inviati solo i dati strettamente necessari per la generazione della risposta)
• Pseudonimizzazione ove possibile (i messaggi trasmessi ai provider AI non contengono l'identità dell'utente)
• Obbligo contrattuale per i provider di non utilizzare i dati per finalità proprie diverse dall'erogazione del servizio

L'utente può ottenere copia delle garanzie adeguate adottate per i trasferimenti extra-UE contattando il Titolare all'indirizzo privacy@osteopaty.it.

I dati personali sono conservati per il tempo strettamente necessario al conseguimento delle finalità per cui sono stati raccolti, nel rispetto del principio di limitazione della conservazione (art. 5(1)(e) GDPR):

Alla scadenza dei periodi indicati, i dati personali vengono cancellati in modo irreversibile oppure anonimizzati in modo da non consentire più l'identificazione dell'interessato.

Il Titolare adotta misure tecniche e organizzative adeguate al rischio, ai sensi dell'art. 32 del GDPR, per proteggere i dati personali da accesso non autorizzato, perdita, distruzione o alterazione. In particolare:

• Crittografia in transito: tutte le comunicazioni avvengono tramite protocollo HTTPS con TLS 1.2 o superiore
• Crittografia a riposo: i dati archiviati in Google Cloud Firestore e Firebase Storage sono crittografati a riposo con chiavi gestite da Google (AES-256)
• Autenticazione sicura: gestita tramite Firebase Authentication con supporto per autenticazione a più fattori
• Hashing delle password: le password sono conservate esclusivamente in forma di hash crittografico (bcrypt/scrypt) e non sono mai memorizzate in chiaro
• Controllo degli accessi: accesso ai sistemi limitato al personale autorizzato su base "need-to-know", con autenticazione a più fattori per gli account amministrativi
• Firestore Security Rules: regole di sicurezza a livello di database che garantiscono che ogni utente possa accedere esclusivamente ai propri dati
• Monitoraggio: sistemi di monitoraggio continuo per rilevare accessi anomali o potenziali violazioni
• Backup: procedure di backup regolari con piani di disaster recovery

Ai sensi degli artt. 15-22 del GDPR, l'utente ha il diritto di:

• Diritto di accesso (art. 15): ottenere conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e, in caso affermativo, ottenere l'accesso ai dati e alle informazioni sul trattamento
• Diritto di rettifica (art. 16): ottenere la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo, nonché l'integrazione dei dati personali incompleti
• Diritto alla cancellazione / diritto all'oblio (art. 17): ottenere la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo, quando ricorra uno dei motivi previsti dal GDPR (es. i dati non sono più necessari, revoca del consenso, trattamento illecito)
• Diritto di limitazione del trattamento (art. 18): ottenere la limitazione del trattamento quando ricorra una delle condizioni previste dal GDPR (es. contestazione dell'esattezza dei dati, trattamento illecito, opposizione al trattamento)
• Diritto alla portabilità dei dati (art. 20): ricevere i dati personali forniti al Titolare in un formato strutturato, di uso comune e leggibile da dispositivo automatico (es. JSON, CSV), e trasmettere tali dati a un altro titolare senza impedimenti
• Diritto di opposizione (art. 21): opporsi in qualsiasi momento al trattamento dei dati personali basato sul legittimo interesse del Titolare, compresa la profilazione. Il Titolare si astiene dal trattare ulteriormente i dati personali salvo che dimostri l'esistenza di motivi legittimi cogenti
• Diritto di revoca del consenso (art. 7(3)): revocare in qualsiasi momento il consenso prestato, senza pregiudizio per la liceità del trattamento basato sul consenso prima della revoca
• Diritto di proporre reclamo (art. 77): proporre reclamo all'autorità di controllo competente. Per l'Italia, l'autorità competente è il Garante per la protezione dei dati personali
  • Sito web: www.garanteprivacy.it
  • Email: garante@gpdp.it
  • PEC: protocollo@pec.gpdp.it
  • Piazza Venezia 11, 00187 Roma
  • Centralino: (+39) 06.696771

Come esercitare i diritti

Per esercitare i diritti sopra elencati, l'utente può inviare una richiesta tramite:

• Email: privacy@osteopaty.it
• PEC: osteopaty@pec.it
• Posta ordinaria: Salugenesis S.r.l., Via Ofanto 26L, 00071 Pomezia (RM), Italia — all'attenzione del Responsabile Privacy

Il Titolare darà riscontro alla richiesta senza ingiustificato ritardo e, in ogni caso, al più tardi entro un mese dal ricevimento della stessa. Tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste. Il Titolare informerà l'utente di tale proroga entro un mese dal ricevimento della richiesta. Per verificare l'identità del richiedente, il Titolare può chiedere informazioni aggiuntive.

Azioni disponibili direttamente nella Piattaforma

Alcune operazioni possono essere eseguite direttamente dall'utente attraverso le impostazioni del proprio account:

• Modifica dei dati di profilo (nome, email)
• Eliminazione di singole conversazioni
• Visualizzazione e cancellazione della memoria utente
• Cancellazione dell'intero account e di tutti i dati associati

La Piattaforma utilizza cookie e tecnologie analoghe (Local Storage) per garantire il funzionamento del Servizio. In sintesi:

• Cookie essenziali/tecnici: necessari per l'autenticazione dell'utente (Firebase) e per l'elaborazione sicura dei pagamenti (Stripe). Non richiedono consenso in quanto strettamente necessari all'erogazione del servizio richiesto dall'utente (art. 122, comma 1, Codice Privacy)
• Cookie di preferenza: memorizzano le preferenze dell'utente (tema, lingua, stato della sidebar)
• Local Storage: dati tecnici memorizzati localmente sul dispositivo dell'utente (bozze messaggi, agente selezionato)

La Piattaforma non utilizza cookie analitici, di profilazione o pubblicitari di terze parti.

Per informazioni dettagliate su ciascun cookie utilizzato, si rimanda alla nostra Cookie Policy.

La Piattaforma è destinata esclusivamente a professionisti dell'osteopatia e, pertanto, a soggetti maggiorenni (età minima 18 anni). Il Titolare non raccoglie consapevolmente dati personali di minori di 18 anni.

Qualora il Titolare venga a conoscenza di aver raccolto dati personali di un minore senza il consenso verificabile del genitore o tutore, provvederà alla cancellazione tempestiva di tali dati. Se si ritiene che il Titolare abbia raccolto dati di un minore, si prega di contattare immediatamente privacy@osteopaty.it.

12. Natura del conferimento dei dati e conseguenze del rifiuto

Il conferimento dei dati di registrazione (nome, email, credenziali) è necessario per l'esecuzione del contratto e l'erogazione del Servizio. Il mancato conferimento di tali dati rende impossibile la creazione dell'account e l'utilizzo della Piattaforma.

Il conferimento dei dati per la personalizzazione tramite memoria utente e memoria episodica è facoltativo e basato sul consenso. Il rifiuto o la revoca del consenso non pregiudica l'utilizzo del Servizio, ma può limitare la personalizzazione delle risposte dell'assistente AI.

Il conferimento dei dati di pagamento è necessario per l'attivazione del piano a pagamento (Pro). Il mancato conferimento impedisce l'accesso alle funzionalità premium, ma non preclude l'utilizzo del piano gratuito.

13. Modifiche alla presente Informativa

Il Titolare si riserva il diritto di modificare, integrare o aggiornare la presente Informativa in qualsiasi momento. Le modifiche saranno pubblicate su questa pagina con indicazione della data di ultimo aggiornamento.

In caso di modifiche sostanziali che incidano sui diritti degli interessati o sulle modalità di trattamento dei dati, il Titolare provvederà a informare gli utenti tramite:

• Notifica via email all'indirizzo associato all'account
• Banner informativo sulla Piattaforma
• Richiesta di presa visione e accettazione al successivo accesso

Si consiglia agli utenti di consultare periodicamente questa pagina per verificare eventuali aggiornamenti.

14. Legge applicabile e foro competente

La presente Informativa è regolata dal diritto italiano e dal Regolamento (UE) 2016/679. Per qualsiasi controversia relativa all'interpretazione o all'applicazione della presente Informativa, sarà competente il Foro di Genova, fatta salva l'applicazione di norme inderogabili a tutela del consumatore che prevedano un foro diverso.