HeyDottore ricopre un duplice ruolo ai sensi del GDPR:
HeyDottore S.r.l.
Via Mario Pagano 63, 20145 Milano (MI)
P.IVA: 14781390969
Email: [email protected]
Referente privacy: [email protected]
Protezione Dati Avanzata: I dati sono protetti da crittografia in transito (TLS) e da crittografia a riposo a livello di infrastruttura (AES-256), fornita dai nostri provider cloud in Unione Europea.
HeyDottore opera come Titolare per i dati di piattaforma e come Responsabile per i dati sanitari, per conto del Medico curante in conformità al DPA sottoscritto ai sensi dell’Art. 28 GDPR. Non eroga prestazioni sanitarie e non è parte del rapporto medico-paziente.
| Trattamento | Base Giuridica |
|---|---|
| Erogazione servizio | Contratto |
| Dati sanitari nell’ambito del consulto | Finalità di cura (Art. 9(2)(h) GDPR) — Titolare: il Medico curante |
| Strumenti AI facoltativi | Consenso esplicito (Art. 9(2)(a) GDPR) |
| Obblighi legali | Obbligo di legge |
| Miglioramento servizio | Interesse legittimo |
| Tipo di dato | Periodo |
|---|---|
| Dati account | Fino alla cancellazione dell’account |
| Documenti clinici (consulti, prescrizioni, certificati) | 10 anni in forma anonimizzata/pseudonimizzata dopo la cancellazione dell’account (obblighi di conservazione sanitaria e difesa in giudizio, Art. 17(3) GDPR) |
| Documenti fiscali (fatture e ricevute) | 10 anni (art. 2220 c.c.) |
| Log di sicurezza | Massimo 12 mesi |
| Consensi | Conservati come prova del consenso prestato (Art. 7 GDPR) |
I tuoi dati sono comunicati esclusivamente ai destinatari elencati di seguito, nominati responsabili del trattamento ai sensi dell’Art. 28 GDPR ove applicabile:
| Destinatario | Funzione | Paese di trattamento | Dati sanitari | Garanzia per il trasferimento |
|---|---|---|---|---|
| Supabase Inc. | Database e storage | UE (Francoforte); società USA | Sì | Clausole Contrattuali Standard (SCC) |
| Encore (Encore Cloud) su Google Cloud Platform | Hosting applicativo | UE (regione europe-west) | Sì (in transito) | SCC / Data Processing Addendum GCP |
| CometChat Inc. | Infrastruttura di messaggistica in chat | UE; società USA | Sì (contenuti delle conversazioni) | Clausole Contrattuali Standard (SCC) |
| OpenAI | Strumenti AI di supporto al medico | USA | Solo dati minimizzati/pseudonimizzati, e solo previo tuo consenso esplicito | SCC (verifica della certificazione EU-US Data Privacy Framework in corso) |
| Stripe, Inc. | Pagamenti | USA/UE | No | Certificata EU-US Data Privacy Framework |
| Twilio Inc. | SMS (verifica numero e autenticazione a due fattori) | USA | No (solo numero di telefono) | Certificata EU-US Data Privacy Framework |
| Cloudflare, Inc. | Sicurezza e protezione anti-bot (Turnstile) | USA / edge globale | No | Certificata EU-US Data Privacy Framework |
| Resend | Email transazionali | USA | No (indirizzo email e contenuto delle notifiche) | Clausole Contrattuali Standard (SCC) |
| Functional Software, Inc. (Sentry) | Monitoraggio errori tecnici | USA | No (configurato senza identificativi utente) | Clausole Contrattuali Standard (SCC) |
Inoltre, i tuoi dati sono comunicati a:
Non vendiamo MAI i tuoi dati a terzi per scopi commerciali o pubblicitari.
I dati sono conservati principalmente su server nell’Unione Europea. Alcuni dei nostri fornitori sono però società statunitensi o trattano dati negli Stati Uniti. Per ciascuno di essi il trasferimento è assistito da una delle seguenti garanzie previste dal Capo V del GDPR:
I dati sanitari trattati da Supabase, Encore/Google Cloud e CometChat restano ospitati in regione UE. OpenAI riceve esclusivamente dati minimizzati o pseudonimizzati, e solo previo tuo consenso esplicito.
Puoi richiedere copia delle garanzie applicate scrivendo a [email protected].
Ai sensi del GDPR, hai diritto di:
La revoca del consenso non pregiudica la liceità del trattamento effettuato prima della revoca (Art. 7(3) GDPR).
Contatto: [email protected]
Il servizio è riservato alle persone che hanno compiuto 18 anni. Non raccogliamo consapevolmente dati di minori di 18 anni. In fase di registrazione è richiesta la data di nascita per verificare il requisito di età. Se veniamo a conoscenza che un account è stato creato da un minore di 18 anni, provvederemo a cancellarlo.
La Piattaforma mette a disposizione dei Medici strumenti AI facoltativi di supporto alla redazione delle risposte. L’utilizzo degli strumenti AI sui tuoi dati avviene solo previo tuo consenso esplicito (Art. 9(2)(a) GDPR), revocabile in qualsiasi momento, e comporta l’invio a OpenAI di soli dati minimizzati o pseudonimizzati (vedi sezioni 6 e 7).
Importante: L’AI non prende decisioni cliniche autonome. Tutti i contenuti sono sempre rivisti e approvati dal Medico prima dell’invio.
Questa informativa può essere aggiornata periodicamente. Le modifiche significative saranno comunicate via email almeno 15 giorni prima dell’entrata in vigore.