Informativa sulla Privacy
Trattamento dei dati personali ai sensi del GDPR.
Ultimo aggiornamento: 24 aprile 2026·v1.1
1. Titolare del trattamento
Il Titolare del trattamento dei dati personali e` Dario Boni — Libero Professionista (Dario Boni, Medico Chirurgo, Founder & CEOdi MEDICHOME, iscritto all'Ordine dei Medici Chirurghi e Odontoiatri di Firenze con il n. 15329), con sede legale in Via Piero Cironi 51, 50134 Firenze (FI), Italia. P.IVA IT07066360483 — C.F. BNODRA94C10D612N.
- Email: info@getmedichome.com
- Privacy: privacy@getmedichome.com
- PEC: dario.boni.ldpe@fi.omceo.it
- Responsabile Protezione Dati (DPO): Responsabile Protezione Dati MEDICHOME, contattabile a dpo@getmedichome.com
2. Tipologia di dati raccolti
Dati identificativi
- Nome e cognome
- Data di nascita
- Indirizzo di residenza o domicilio
- Numero di telefono
- Indirizzo email
Dati di utilizzo della piattaforma
- Credenziali di accesso (email e password criptata)
- Cronologia delle prenotazioni e delle ricerche
- Preferenze di utilizzo e impostazioni dell'account
- Log di accesso e dati di navigazione
Dati di geolocalizzazione
Posizione geografica approssimativa (centroide citta/quartiere) fornita volontariamente dall'utente per la ricerca di professionisti nelle vicinanze. Non vengono effettuati tracciamenti GPS ne viene registrata la cronologia degli spostamenti.
Dati sanitari
Medichome raccoglie dati relativi alla salute esclusivamente quando strettamente necessario alla fornitura del servizio e solo previo consenso esplicito dell'utente. Per maggiori dettagli, consultare l'Informativa sul Trattamento dei Dati Sanitari.
3. Finalita del trattamento
I dati personali degli utenti sono trattati per le seguenti finalita:
- Registrazione e gestione dell'account sulla piattaforma
- Gestione delle prenotazioni di prestazioni sanitarie domiciliari
- Intermediazione del contatto tra paziente e professionista sanitario
- Gestione dei pagamenti e della fatturazione
- Sicurezza della piattaforma, prevenzione frodi e abusi
- Miglioramento dell'esperienza utente e ottimizzazione del servizio
- Adempimento di obblighi di legge, regolamentari e fiscali
4. Base giuridica del trattamento
Il trattamento dei dati personali si fonda sulle seguenti basi giuridiche ai sensi del Regolamento (UE) 2016/679 (GDPR):
- Esecuzione del contratto(art. 6, par. 1, lett. b): per la registrazione, la gestione delle prenotazioni e l'erogazione del servizio di intermediazione
- Consenso(art. 6, par. 1, lett. a): per l'invio di comunicazioni promozionali e per il trattamento di dati non strettamente necessari al servizio
- Obbligo legale (art. 6, par. 1, lett. c): per adempiere a obblighi fiscali, contabili e normativi
- Legittimo interesse (art. 6, par. 1, lett. f): per la sicurezza della piattaforma e la prevenzione di frodi
Il trattamento di dati sanitari (categorie particolari di dati ai sensi dell'art. 9 GDPR) avviene esclusivamente sulla base del consenso esplicito dell'interessato.
5. Conservazione dei dati
I dati personali sono conservati per il tempo strettamente necessario al raggiungimento delle finalita` per le quali sono stati raccolti (art. 5.1.e GDPR — storage limitation) e comunque nel rispetto degli obblighi di legge. Di seguito il dettaglio per categoria:
| Categoria dato | Periodo | Base legale |
|---|---|---|
| Dati identificativi (nome, cognome, email, telefono, CF) | 10 anni post-chiusura account | Obblighi fiscali e conservazione scritture contabili (DPR 600/1973 art. 22; DL 82/2005) |
| Dati sanitari (note prenotazione, report visita) | Durata del rapporto + 10 anni post ultima visita | Obbligo civilistico prescrizione ordinaria (art. 2946 c.c.) + art. 9 GDPR |
| Prenotazioni, fatture, pagamenti | 10 anni | Obblighi IVA (DPR 633/1972) e conservazione elettronica sostitutiva |
| Messaggi chat paziente-professionista | 2 anni post ultima interazione | Minimizzazione (art. 5.1.c GDPR) + eventuale contenzioso |
| Documenti verifica albo (foto tesserino, documento identita`) | 30 giorni post-upload | Eliminazione automatica via pg_cron + Supabase Storage; solo esito conservato |
| Log accesso (auth login, IP, user-agent) | 12 mesi | Sicurezza sistema, indagini abusi (Provvedimento Garante 27/11/2008) |
| Audit log azioni admin | 10 anni | Accountability (art. 5.2 GDPR) e forensics |
| Backup crittografati database | 90 giorni rolling | Business continuity e disaster recovery; rotazione automatica |
| Recensioni pubbliche | Illimitato finche` il professionista e` attivo | Interesse legittimo piattaforma + paziente autore (anonimizzabile su richiesta) |
| Cookie tecnici di sessione | Fine sessione o max 8 ore (modalita` paziente) | Strettamente necessari (art. 6.1.f + Provvedimento Garante cookie 10/6/2021) |
| Cookie analitici anonimizzati (PostHog) | 12 mesi | Consenso (art. 6.1.a) + anonimizzazione IP |
Al termine del periodo indicato i dati vengono cancellati o anonimizzati in forma irreversibile. L'utente puo` in qualsiasi momento richiedere la cancellazione anticipata scrivendo a privacy@getmedichome.com, fatti salvi gli obblighi legali di conservazione.
6. Diritti degli utenti
Ai sensi degli articoli 15-22 del GDPR, gli utenti hanno diritto di:
- Accesso(art. 15): ottenere conferma dell'esistenza di un trattamento e accedere ai propri dati
- Rettifica(art. 16): ottenere la correzione di dati inesatti o l'integrazione di dati incompleti
- Cancellazione (art. 17): ottenere la cancellazione dei propri dati, nei casi previsti dalla legge
- Limitazione (art. 18): ottenere la limitazione del trattamento in determinate circostanze
- Portabilita (art. 20): ricevere i propri dati in formato strutturato, di uso comune e leggibile da dispositivo automatico
- Opposizione (art. 21): opporsi al trattamento dei propri dati per motivi legittimi
Per esercitare i propri diritti, l'utente può contattare il Titolare a privacy@getmedichome.com o il DPO a dpo@getmedichome.com. L'utente ha inoltre il diritto di proporre reclamo all'Autorita` Garante per la Protezione dei Dati Personali (www.garanteprivacy.it).
7. Trasferimenti extra-UE
I dati sono conservati principalmente nello Spazio Economico Europeo (infrastruttura Supabase — regione eu-west-1). Alcuni servizi essenziali processano dati al di fuori del SEE, sempre con garanzie adeguate ai sensi degli artt. 44-46 GDPR:
| Destinatario | Finalita` | Dati | Garanzia |
|---|---|---|---|
| Stripe Inc. (USA) | Processamento pagamenti subscription professionisti | Email, nome, dati pagamento (tokenizzati), storico fatture | Clausole Contrattuali Standard (SCC) Commissione UE 2021/914 |
| Stripe Tax (USA) | Calcolo imposte automatic IVA UE (one stop shop) | Ragione sociale, P.IVA, indirizzo fatturazione | SCC + DPA Stripe firmato |
| PostHog Inc. (USA, region EU) | Analytics prodotto anonimizzato (no PII) | Eventi UI, pagine visitate, user-agent — nessun PII | SCC + DPA + IP truncation |
Le Clausole Contrattuali Standard (SCC) sono quelle approvate dalla Commissione Europea con Decisione 2021/914. L'elenco dei DPA firmati e` disponibile su richiesta.
8. Modifiche all'informativa
Il Titolare si riserva il diritto di modificare la presente informativa in qualsiasi momento. Le modifiche saranno pubblicate su questa pagina con indicazione della data di ultimo aggiornamento. Si consiglia di consultare periodicamente questa pagina.