1. Titolare del trattamento
Il titolare del trattamento dei dati personali è Medi Studio Demo
, con sede in Via Napoli, 766 - 15123 Palermo.
Email: privacy@medi.diomira.eu.
2. Dati trattati e finalità
La piattaforma Medi raccoglie e tratta le seguenti categorie di dati personali:
- Dati di identificazione: nome, cognome, email, numero di telefono — per la creazione e gestione dell'account.
- Dati professionali (per i professionisti): numero di albo, specializzazioni, curriculum — per la verifica e visualizzazione del profilo.
- Dati di pagamento: gestiti tramite Stripe Inc., soggetto terzo certificato PCI-DSS. La piattaforma non memorizza dati di carta di credito.
- Dati di utilizzo: log di accesso, indirizzo IP, tipo di browser — per sicurezza e manutenzione.
- Dati sanitari (categoria speciale): note delle sedute, cartelle cliniche — trattati esclusivamente dal professionista e visibili solo al professionista e al paziente interessato.
3. Base giuridica del trattamento
- Esecuzione del contratto (www.garanteprivacy.it/regolamentoue/basi-giuridiche" target="_blank" rel="noopener">art. 6, par. 1, lett. b GDPR) per la gestione dell'account e delle prenotazioni.
- Consenso esplicito (www.garanteprivacy.it/regolamentoue/categorie-particolari-di-dati" target="_blank" rel="noopener">art. 9 GDPR) per il trattamento dei dati sanitari.
- Legittimo interesse (www.garanteprivacy.it/regolamentoue/basi-giuridiche" target="_blank" rel="noopener">art. 6, par. 1, lett. f GDPR) per la sicurezza e il miglioramento del servizio.
- Obbligo legale (www.garanteprivacy.it/regolamentoue/basi-giuridiche" target="_blank" rel="noopener">art. 6, par. 1, lett. c GDPR) per la conservazione delle fatture.
4. Conservazione dei dati
I dati vengono conservati per il tempo strettamente necessario agli scopi per cui sono stati raccolti:
- Dati account: fino alla cancellazione dell'account + 30 giorni.
- Fatture e documenti fiscali: 10 anni ai sensi di legge.
- Log di sistema: 90 giorni.
- Dati sanitari: per tutta la durata del rapporto terapeutico + 10 anni.
5. Diritti dell'interessato
Hai il diritto di:
- Accedere ai tuoi dati personali (www.garanteprivacy.it/regolamentoue/diritti-degli-interessati" target="_blank" rel="noopener">art. 15 GDPR)
- Rettificare dati inesatti (www.garanteprivacy.it/regolamentoue/diritti-degli-interessati" target="_blank" rel="noopener">art. 16 GDPR)
- Richiedere la cancellazione ("diritto all'oblio", www.garanteprivacy.it/regolamentoue/diritti-degli-interessati" target="_blank" rel="noopener">art. 17 GDPR)
- Limitare il trattamento (www.garanteprivacy.it/regolamentoue/diritti-degli-interessati" target="_blank" rel="noopener">art. 18 GDPR)
- Richiedere la portabilità dei dati (www.garanteprivacy.it/regolamentoue/diritti-degli-interessati" target="_blank" rel="noopener">art. 20 GDPR)
- Opporti al trattamento (www.garanteprivacy.it/regolamentoue/diritti-degli-interessati" target="_blank" rel="noopener">art. 21 GDPR)
- Revocare il consenso in qualsiasi momento
- Proporre reclamo all'Autorità Garante per la Protezione dei Dati Personali (www.garanteprivacy.it)
Per esercitare i tuoi diritti, scrivi a: privacy@medi.diomira.eu
6. Cookie Policy
Questo sito utilizza cookie tecnici necessari al funzionamento della piattaforma (sessione, autenticazione).
Non vengono utilizzati cookie di profilazione o marketing di terze parti senza consenso esplicito.
| Cookie | Tipo | Durata | Finalità |
|---|
| PHPSESSID | Tecnico | Sessione | Gestione sessione utente |
| _identity | Tecnico | 30 giorni | Autenticazione (ricordami) |
| _csrf | Tecnico | Sessione | Protezione CSRF |
| cookies_accepted | Tecnico | 1 anno | Consenso cookie banner |
7. Destinatari dei dati
I dati possono essere condivisi con:
- Stripe (Stripe Payments Europe, Ltd.) — Irlanda — elaborazione pagamenti tramite Stripe Connect. Stripe opera come responsabile del trattamento per l'elaborazione delle transazioni e come titolare autonomo per gli adempimenti regolamentari (KYC, antiriciclaggio). I dati della carta di credito sono trattati esclusivamente da Stripe e non transitano sui server della piattaforma. Trasferimento coperto da DPA e Standard Contractual Clauses.
- Daily.co (Daily Co., Inc.) — San Francisco, USA — infrastruttura videosedute. I flussi audio/video transitano esclusivamente su server nella regione UE (eu-central-1, Francoforte). Le sedute non vengono registrate. Daily.co aderisce all'EU-US Data Privacy Framework ed ha sottoscritto un DPA conforme all'art. 28 GDPR.
- Brevo SAS (invio email transazionali) — sede UE.
- Fattureincloud (TeamSystem S.p.A.) — Italia — fatturazione elettronica e trasmissione allo SDI.
- Autorità competenti, ove richiesto dalla legge.
8. Ruoli nel trattamento dei dati
| Soggetto | Ruolo GDPR | Dati trattati |
|---|
| Medi | Titolare del trattamento | Account, prenotazioni, pagamenti |
| Professionista | Titolare autonomo | Note cliniche, cartelle cliniche |
| Diomira | Responsabile ex Art. 28 | Infrastruttura tecnica |
| Stripe | Sub-responsabile + Titolare autonomo (KYC/AML) | Pagamenti (PCI-DSS), compliance regolamentare |
| Daily.co | Sub-responsabile | Flusso audio/video sedute |
| Fattureincloud | Sub-responsabile | Fatturazione elettronica SDI |
| Brevo SAS | Sub-responsabile | Email transazionali |
9. Dati sanitari — Accesso riservato
Le note cliniche e le cartelle dei pazienti sono cifrate e accessibili esclusivamente al professionista che le ha create.
Medi e Diomira non accedono al contenuto clinico.
Il paziente può accedere solo ai documenti che il professionista sceglie esplicitamente di condividere.
Questa informativa è soggetta ad aggiornamenti. La versione aggiornata è sempre disponibile a questa pagina.
Ultima modifica: 18/03/2026.