Informativa privacy ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 (GDPR)

Gentile utente, ai sensi della normativa europea vigente in materia di protezione dei dati personali desideriamo informarti sul modo in cui i dati personali oggetto del nostro rapporto sono trattati e sul tipo di controllo e di diritti che puoi esercitare su essi, sia in caso di semplice navigazione sul nostro sito che di utilizzo dei nostri software. Prendi visione dell’informativa e non esitare a contattarci per ogni dubbio o evenienza attraverso i canali che ti indicheremo. Dopo il download di Medicami, consigliato dal medico, ti sarà chiesto di prendere visione di quest’informativa in fase di registrazione. Una volta letta, per utilizzare il prodotto dovrai confermarci di aderire in maniera espressa e inequivocabile all’utilizzo del software come strumento di intermediazione tra te e il medico. Tale consenso sarà notificato al professionista per i suoi fini e necessario a te per l’utilizzo corretto dell’applicazione.

  1. Titolare e Responsabile del trattamento

Se ti limiti a utilizzare il Sito Web di Medicami senza aderire al servizio, il Titolare del trattamento è Coderpillar s.r.l. unicamente per le finalità e la tipologia di dati personali indicati al successivo paragrafo 2. Coderpillar s.r.l. è una società di sviluppatori con sede a Siracusa, via Costanza Bruno n. 21, il cui contatto e-mail è privacy@coderpillar.it. Puoi utilizzare questa casella rispetto a qualunque chiarimento relativo alla tua privacy, all’esercizio dei tuoi diritti o di quelli del paziente.

Qualora avessi installato Medicami presso un tuo dispositivo mobile o lo utilizzassi da PC/Mac dietro consiglio del medico, il Titolare del trattamento dei dati personali effettuato con la piattaforma Medicami (sia come software PC/Mac che come applicazione mobile) è il professionista della sanità che ha preso in cura il paziente, i cui dati di contatto ed estremi identificativi ti sono forniti al momento della presa in carico e/o del paziente e/o della singola prestazione erogata. Il medico raccoglie e gestisce le informazioni, stabilendo quanti e quali dati personali è utile conferire per la cura e assistenza del paziente. I dati personali conferiti dall’utente al medico, anche tramite l’ausilio dell’app Medicami, sono inseriti dal professionista all’interno delle piattaforme tecnologiche gestite dalla società Coderpillar s.r.l., che è il Responsabile del trattamento dei dati personali ai sensi dell’art. 28 GDPR, come più avanti verrà chiarito. I dati saranno gestiti mediante i software messi a disposizione del Titolare del trattamento. L’indirizzo e-mail fornito all’inizio del paragrafo è lo stesso che puoi utilizzare per esercitare i diritti previsti dal GDPR, in maniera mediata, nei confronti del Titolare del trattamento. Il Responsabile del trattamento si occuperà di interfacciarsi con il medico per dare una risposta adeguata alle tue domande, come di seguito indicheremo più dettagliatamente. Rispetto ai dati personali utili a rivelare lo stato di salute trattati dal medico per le finalità di cura e assistenza, dunque non raccolti per le finalità del Responsabile del trattamento, è il Titolare stesso a determinare le finalità e a garantire i diritti previsti dal GDPR.

  1. Tipo di dati trattati, finalità e base giuridica

Di seguito un riepilogo dei dati personali che possono essere trattati dal Titolare e dal Responsabile, distinto per ruoli, unitamente alle finalità di utilizzo degli stessi, base giuridica sottesa al trattamento e tempi di conservazione:

Tipologia di dati personali trattatiChi tratta i dati personaliFinalità di utilizzo dei dati personaliBase giuridica del trattamentoPeriodo di conservazione dei dati
Dati anagrafici e di contatto del paziente o del genitore/dei genitori/del tutore, aggiornamento degli stessi e dati del contratto medico/genitoreTitolare del trattamento, Responsabile del trattamentoDati relativi all’esecuzione del rapporto contrattuale tra medico e pazienteIl trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso (art. 6, par. 1, lett. b) GDPR)Secondo le norme di legge che regolano la materia (10 anni in materia contrattuale, 5 anni in materia extracontrattuale)
Dati anagrafici e di contatto del paziente o del genitore/tutore, aggiornamento degli stessiTitolare del trattamento, Responsabile del trattamentoDati relativi all’esecuzione del rapporto contrattuale tra medico e pazienteIl trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso (art. 6, par. 1, lett. b) GDPR)Secondo le norme di legge che regolano la materia (10 anni in materia contrattuale, 5 anni in materia extracontrattuale)
Numero di cellulare del paziente o del genitore/tutore, e-mail del paziente o del genitore/tutoreTitolare del trattamentoComunicazione, in forma sicura, dell’inserimento di un referto all’interno dell’applicazioneConsenso facoltativo, revocabile in ogni momento dall’interessato (art. 6, par. 1, lett. a)Finché è dato il consenso. L’alternativa è la comunicazione attraverso le vie tradizionali
Dati anagrafici e di contatto del genitore/dei genitoriResponsabile del trattamentoMarketing diretto o informazioni circa iniziative della società tramite posta elettronica automatizzata, nonché realizzazione di studi di mercato e analisi statisticheConsenso facoltativo, revocabile in ogni momento dall’interessato (art. 6, par. 1, lett. a) GDPR e art. 7 GDPR)Finché è dato il consenso e, in ogni caso, fin quando non siano trascorsi 2 anni dall’ultimo utilizzo
Dati anagrafici e di contatto del genitore/dei genitoriResponsabile del trattamentoMarketing indiretto, con finalità di interscambio con partner commerciali/terzi per l’invio di eventuale materiale promozionale. Utilizzo della sezione “contatti” del sito web Consenso facoltativo, revocabile in ogni momento dall’interessato (art. 6, par. 1, lett. a) GDPR e art. 7 GDPR)Finché è dato il consenso e, in ogni caso, fin quando non siano trascorsi 2 anni dall’ultimo utilizzo
Dati anagrafici dei genitori, dati di contatto e relativi al contratto medico/genitoreTitolare del trattamento, Responsabile del trattamentoSolo se necessario, per accertare, esercitare o difendere i diritti di Titolare o Responsabile del trattamento in sede giudiziariaLegittimo interesse (tutela giudiziaria)Solo per il tempo necessario all’esercizio dei propri diritti innanzi all’Autorità giurisdizionale 
Dati anagrafici e di contatto del genitore/dei genitori, dati log di sistema, indirizzo IP del dispositivo, dati di utilizzo Responsabile del trattamentoNecessità di intervento assistenziale sui prodotti gestiti da Coderpillar s.r.l. nel caso di debugging o problematiche di tipo tecnico. Tra i dati di utilizzo sono annoverati, a titolo di mero esempio, i tempi di utilizzo e gli orari di accesso. Il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso (art. 6, par. 1, lett. b) GDPR).Inoltre, il Responsabile del trattamento ha il legittimo interesse a perseguire il miglioramento dei propri serviziFinché dura il rapporto contrattuale fra medico e paziente
Dati idonei a rivelare lo stato di salute intesi in senso ampioTitolare del trattamentoAnamnesi e cura del paziente, nonché obblighi sia contrattuali che deontologici del medico curante e comunicazione di eventuali risultati afferenti esami cinici/diagnostici.Il trattamento è necessario per finalità di medicina preventiva o di cura del paziente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri anche conformemente al contratto con il professionista della sanità (art. 9, par. 2, lett. h) GDPR)Finché dura il rapporto contrattuale con il medico, nonché per ulteriori 10 anni relativamente agli obblighi previsti dalla legge (a titolo esemplificativo, per la conservazione delle cartelle cliniche)
Dati anagrafici dei genitori; immagini, suoni, di geolocalizzazione, ruolo ed esperienza professionale del/dei genitori, nickname, profilo dei social networksResponsabile del trattamentoValutazioni e altri contenuti che l’interessato può liberamente decidere di condividere con il Responsabile del trattamento tramite i propri softwareConsenso facoltativo, revocabile in ogni momento dall’interessato (art. 6, par. 1, lett. a) GDPR e art. 7 GDPR)Fino a quando non siano trascorsi 5 anni dall’ultima interazione tra il genitore e le applicazioni del Responsabile del trattamento 
Fascicolo sanitario elettronico (FSE), inteso come l’insieme dei dati personali generati da eventi clinici presenti e trascorsi riguardanti l’interessato (dossier sanitario)Titolare del trattamento, Responsabile del trattamentoCostituzione della storia sanitaria del soggetto in cura, utile al Titolare del trattamento.Al fine di semplificare l’eventuale avvicendamento tra medici diversi che utilizzano la medesima piattaforma, fatta salva la portabilità dei dati, si può scegliere che le informazioni del paziente restino giacenti sui database del Responsabile in modo da metterle subito a disposizione del medico successivo utilizzatore dei software del Responsabile del trattamento.Per il medico curante, il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso (art. 6, par. 1, lett. b) GDPR). Per il Responsabile del trattamento, è necessario consenso facoltativo, revocabile in ogni momento (art. 6, par. 1, lett. a) GDPR e art. 7 GDPR)Le informazioni sono gestite dal Titolare del trattamento fino al termine del rapporto contrattuale e per i 10 anni successivi alla conclusione dello stesso. Nel caso in cui sia revocato il consenso per il trattamento del Responsabile, fino a quando non siano trascorsi 5 anni dall’ultima interazione tra il genitore e le applicazioni del Responsabile del trattamento
Fotografie o di parti del corpo atte a identificare il paziente in maniera inequivocabile che possano rivelare lo stato di salute o patologieTitolare del trattamentoFinalità diagnostica e di cura del paziente, prescrizione di farmaci o di visite allo studio medico. Fra questi dati rientrano solo quelli che sono atti a rendere il paziente identificato o identificabile, correlando la fotografia a patologie autoevidenti.Il trattamento è necessario al medico curante per finalità di medicina preventiva o di cura del paziente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri anche conformemente al contratto con il professionista della sanità (art. 9, par. 2, lett. h) GDPR).Finché dura il rapporto contrattuale con il medico, ovvero fino a esplicita richiesta di cancellazione delle immagini su istanza del genitore o tutore legale dell’interessato. Il dato può essere conservato oltre tale termine esclusivamente per il periodo necessario alla tutela legale del professionista.
  1. Conferimento obbligatorio dei dati personali al Responsabile del trattamento/Amministratore di sistema

Il Titolare del trattamento e il Responsabile del trattamento hanno stipulato un contratto, ai sensi dell’art. 28 del GDPR, che prevede l’immagazzinamento dei dati personali conferiti dall’utente all’interno dei software gestiti dal Responsabile del trattamento, che è anche Amministratore e manutentore di sistema. Pertanto, i dati personali di genitori e pazienti, nonché le eventuali informazioni inerenti allo stato di salute dei minori, anche in virtù dei servizi di erogazione telematica delle prestazioni assistenziali forniti dagli applicativi di Coderpillar s.r.l., sono conferiti obbligatoriamente alla citata società dal Titolare del trattamento e gestiti per tutte le finalità previste dalla legge, dai regolamenti, dalla normativa dell’Unione europea, ovvero da disposizioni di Autorità a ciò legittimate dalla legge e da organi di vigilanza e controllo. Il Responsabile del trattamento non verrà a conoscenza dei dati personali di tipo sanitario inseriti nei propri database, se non per finalità di assistenza tecnica in modo incidentale e previa richiesta di consenso trasmessa al genitore via mail. Coderpillar s.r.l. non risponde di eventuali violazioni dei dati personali causate dal Titolare del trattamento che siano dovute a comunicazione o divulgazione dei dati derivanti alla loro estrazione volontaria dal sistema ai fini di trasmissione mediante canali diversi da Medicami.  

  1. Modalità del trattamento dei dati personali e tecnologie di partner terzi utilizzate da Medicami

I dati personali sono trattati secondo i migliori standard di sicurezza ai sensi dell’art. 32 GDPR. Per la definizione di “trattamento”, si rinvia all’art. 4, par. 1, comma 2 del GDPR, in cui si descrivono le operazioni che possono essere compiute con i dati personali conferiti. Il Titolare e il Responsabile del trattamento dei dati personali agiscono seguendo i principi di privacy by design e privacy by default di cui all’art. 25 GDPR. Per questo motivo, qualora ci fossero delle novità rispetto al trattamento dei tuoi dati personali o di quelli dei tuoi figli o tutelati, non esiteremo a informarti e aggiornarti. Abbiamo previsto specifiche procedure di controllo e di incident management che ci consentono di tenerti sempre informata/o sullo “stato di salute” dei dati personali che vi riguardano. 

Il sistema di hosting è garantito da Amazon Web Services (AWS) – aws.amazon.com. Il sito, il servizio e i dati relativi a essi sono ospitati su server gestiti da Amazon e trattati secondo la policy di riferimento (Tutte le informazioni su https://aws.amazon.com/it/compliance/gdpr-center ). In particolare, ti invitiamo a visionare il white paper “Conformità al Regolamento generale sulla protezione dei dati in AWS -https://d1.awsstatic.com/whitepapers/it_IT/compliance/GDPR_Compliance_on_AWS.pdf . 

Ai sensi dell’art. 33 GDPR, nel caso in cui accadesse una violazione di dati personali, il Titolare del trattamento, per il tramite del Responsabile che lo informa tempestivamente, notifica la violazione all’Autorità di controllo competente a norma dell’art. 55 GDPR senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per il paziente. Qualora la notifica all’Autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo. 

Di seguito indichiamo le tecnologie presenti nel Sito Web:

Gestione dei tag: Questo tipo di servizi è funzionale alla gestione centralizzata dei tag o script utilizzati su questo Sito Web. L’uso di tali servizi comporta il fluire dei dati dell’utente attraverso gli stessi e, se del caso, la loro ritenzione.

Google Tag Manager (Google Ireland Limited): Google Tag Manager è un servizio di gestione dei tag fornito da Google Ireland Limited. Dati Personali raccolti: Cookie; Dati di utilizzo. Luogo del trattamento: Irlanda (privacy policy: https://policies.google.com/privacy).

Interazione con social network e piattaforme esterne: Questo tipo di servizi permette di effettuare interazioni con i social network, o con altre piattaforme esterne, direttamente dalle pagine del Sito Web. Le interazioni e le informazioni acquisite dal Sito Web sono in ogni caso soggette alle impostazioni privacy dell’Utente relative a ogni social network. Questo tipo di servizio potrebbe comunque raccogliere dati sul traffico per le pagine dove il servizio è installato, anche quando gli utenti non lo utilizzano. Si raccomanda di disconnettersi dai rispettivi servizi per assicurarsi che i dati elaborati sul Sito Web non vengano ricollegati al profilo dell’Utente.

Widget sociali di Facebook (Facebook, Inc.): Il pulsante “Mi Piace” e i widget sociali di Facebook sono servizi di interazione con il social network Facebook, forniti da Facebook, Inc. Dati personali raccolti: Cookie; Dati di utilizzo. Luogo del trattamento: Stati Uniti – Privacy Policy: https://www.facebook.com/privacy/explanation.

Statistica: I servizi contenuti nella sezione permettono al Responsabile del trattamento di monitorare e analizzare i dati di traffico e servono a tenere traccia del comportamento dell’utente.

Google Analytics con IP anonimizzato: Google Analytics è un servizio di analisi web fornito da Google Inc. Google utilizza i dati personali raccolti allo scopo di tracciare ed esaminare l’utilizzo del Sito Web, compilare report e condividerli con gli altri servizi sviluppati da Google. Google potrebbe utilizzare i dati personali conferiti per contestualizzare e personalizzare gli annunci del proprio network pubblicitario. L’integrazione di Google Analytics rende anonimo il tuo indirizzo IP. L’anonimizzazione funziona abbreviando entro i confini degli stati membri dell’Unione europea o in altri Paesi aderenti all’accordo sullo Spazio Economico Europeo l’indirizzo IP degli Utenti. Solo in casi eccezionali, l’indirizzo IP sarà inviato ai server di Google ed abbreviato all’interno degli Stati Uniti. In quel caso, ci accerteremo che vengano rispettati gli standard di sicurezza UE sul trattamento dei dati personali. Dati personali raccolti: Cookie; Dati di utilizzo. Luogo del trattamento: Stati Uniti – Privacy Policy: https://policies.google.com/privacy – Opt Out: https://tools.google.com/dlpage/gaoptout?hl=it Irlanda – Privacy Policy: https://policies.google.com/privacy.

Visualizzazione di contenuti da piattaforme esterne: Questo tipo di servizi permette di visualizzare contenuti ospitati su piattaforme esterne direttamente dalle pagine del Sito Web e di interagire con essi. Questo tipo di servizio potrebbe comunque raccogliere dati sul traffico web relativo alle pagine dove il servizio è installato, anche quando gli utenti non lo utilizzano.

Font Awesome (Fonticons, Inc.): Font Awesome è un servizio di visualizzazione di stili di carattere gestito da Fonticons, Inc. che permette al Sito Web di integrare tali contenuti all’interno delle proprie pagine. Dati personali raccolti: Dati di utilizzo. Luogo del trattamento: Stati Uniti – Privacy Policy: https://fontawesome.com/privacy).

Google Fonts (Google Ireland Limited): Google Fonts è un servizio di visualizzazione di stili di carattere gestito da Google Ireland Limited che permette a questo Sito Web di integrare tali contenuti all’interno delle proprie pagine. Dati personali raccolti: dati di utilizzo; varie tipologie di dati secondo quanto specificato dalla privacy policy del servizio. Luogo del trattamento: Irlanda – Privacy Policy: https://policies.google.com/privacy .

Cookie: Il Sito Web utilizza la tecnologia dei cookies. Ti invitiamo a leggere la cookie policy e prenderne visione per comprenderne il funzionamento.

Servizi aggiuntivi: Medicami utilizza i seguenti servizi al fine di poter erogare e migliorare il servizio.
Firebase Authentication, Firestore e Firebase Cloud Messaging
https://firebase.google.com/support/privacy. 

  1. Categorie di destinatari dei dati personali

I dati non rientranti nelle categorie particolari, oltre che dal Titolare e dal Responsabile, possono essere comunicati e trattati da soggetti esterni operanti in qualità di titolari autonomi ai sensi degli artt. 4 e 24 GDPR quali, a titolo esemplificativo e non esaustivo, Autorità ed organi di vigilanza e controllo. Inoltre, in generale, i dati personali non particolari potrebbero essere comunicati a soggetti, pubblici o privati, legittimati a richiedere i dati e/o a soggetti operanti in qualità di Responsabili o sub-responsabili del trattamento ai sensi dell’art. 28 GDPR (che a loro volta, a titolo esemplificativo e non esaustivo, possono essere società di consulenza e/o studi professionali e/o legali o compagnie di assicurazioni).

I dati non particolari potranno inoltre essere comunicati a nostri partner commerciali/concessionari per l’adempimento di attività connesse all’esecuzione del contratto o per lo svolgimento – da parte degli stessi – di azioni commerciali, previo tuo espresso consenso come già chiarito nel punto 2 della presente informativa.

  1. Trasferimento dei dati in paesi extra-UE

I dati personali sanitari forniti al medico e al Responsabile del trattamento sono trattati conservandoli sempre all’interno di server situati nel territorio dell’Unione europea per mantenere una tutela più elevata dei diritti e delle libertà degli interessati. Qualora categorie differenti e non particolari di dati personali dovessero, per motivi di gestione dei database o per altra causa, uscire dal territorio dell’Unione europea, ci assicureremo di garantire ai dati personali le medesime condizioni di sicurezza che garantiamo nel territorio eurounitario e ti verrà data comunicazione tempestiva del loro trasferimento. 

  1. I tuoi diritti

La normativa europea in materia di protezione dei dati personali ti attribuisce diritti che puoi esercitare nei confronti del Titolare e/o del Responsabile del trattamento, diritti previsti dagli artt. 15 ss. GDPR, ti invitiamo a leggerli. Di seguito una sintesi:

  1. accesso: si può chiedere conferma o meno che sia in corso un trattamento dei tuoi dati personali o del paziente, quanti e quali sono a disposizione; chiariamo fin d’ora che non risponderemo a richieste ritenute manifestamente infondate, eccessive o ripetitive;
  2. rettifica: correzione dei dati personali, se errati o obsoleti e possibilità di completarli o integrarli, se incompleti;
  3. cancellazione/oblio: puoi ottenere, in alcuni casi, la cancellazione dei dati personali forniti; questo non è un diritto assoluto, in quanto il Titolare o i Responsabili potrebbero avere legittimi interessi/prerogative legali per la conservazione rispetto a un certo periodo di tempo (vedi punto 2 presente informativa);
  4. limitazione: i dati saranno archiviati, ma non potranno essere né trattati, né elaborati ulteriormente, nei casi previsti dalla normativa;
  5. portabilità: puoi richiedere copia in formato interoperabile dei tuoi dati per trasferirli ad altri database. Questo vale solo per i dati che hai fornito, quando il trattamento si basa sull’esecuzione di un contratto o sul consenso e il trattamento viene eseguito con mezzi automatizzati;
  6. opposizione al marketing diretto;
  7. revoca del consenso in qualsiasi momento, qualora il trattamento si basi sul consenso.

Ai sensi dell’art. 2-undecies del d.lgs. 196/2003, l’esercizio dei diritti può essere ritardato, limitato o escluso, con comunicazione motivata e resa senza ritardo, a meno che la comunicazione possa compromettere la finalità della limitazione, per il tempo e nei limiti in cui ciò costituisca una misura necessaria e proporzionata, tenuto conto dei diritti fondamentali e dei legittimi interessi dell’interessato, al fine di salvaguardare gli interessi di cui al comma 1, lett. a (interessi tutelati in materia di riciclaggio), lett. e (svolgimento delle investigazioni difensive o all’esercizio di un diritto in sede giudiziaria) e lett. f (riservatezza dell’identità del dipendente che segnala illeciti di cui sia venuto a conoscenza in ragione del proprio ufficio). In tali casi, i diritti dell’interessato possono essere esercitati anche tramite il Garante con le modalità di cui all’articolo 160 del decreto legislativo già citato. In questa ipotesi, il Garante per la protezione dei dati personali ti informerà di aver eseguito tutte le verifiche necessarie o di aver svolto un riesame, come anche della tua facoltà di proporre ricorso giurisdizionale.

Precisiamo anche che – prima dell’evasione di qualsiasi istanza ai sensi degli artt. 15 ss. GDPR – il Responsabile del trattamento può effettuare un accertamento della tua identità per valutarne la legittimità. 

Per esercitare in modo semplice ed efficace i tuoi diritti, invia una comunicazione all’indirizzo privacy@coderpillar.it o una lettera raccomandata A.R. all’indirizzo di recapito del medico che ha in cura il paziente. Ti risponderemo nel più breve tempo possibile, in ogni caso entro 30 giorni dalla richiesta. Nel caso in cui la richiesta fosse particolarmente complessa, ci riserviamo di rispondere dopo un periodo di tempo maggiore, ma comunque avvisandoti della complessità della richiesta e della nostra necessità di approfondirne gli aspetti. 

In ogni caso, ti ricordiamo che, qualora ritenessi violato un tuo diritto, puoi proporre reclamo all’Autorità di controllo nazionale, che per l’Italia è il Garante della protezione dei dati personali.

Ti ringraziamo per aver scelto Medicami e ci auguriamo che il servizio ti semplifichi la vita!

Coderpillar s.r.l.