Informativa sul trattamento dei dati personali

Il Titolare del trattamento è CENTRO MEDICO SPECIALISTICO FISIOSALUS S.R.L. (di seguito il “Titolare”).

• Denominazione: Centro Medico Specialistico Fisiosalus S.r.l.
• Sede legale: Strada Tiberina Nord, 24 – 06134 Ponte Felcino (PG)
• P.IVA: 03581720541
• Telefono: 075 691752
• Email: privacy@fisiosalusperugia.it · info@fisiosalusperugia.it

Il Titolare ha nominato un Responsabile della Protezione dei Dati (RPD/DPO) nella persona dell'Avv. Cristina Rastelli (Studio in Perugia, via Dottori 85 – 06132), contattabile all'indirizzo dpo@fisiosalusperugia.it.

Tramite l'app FisiosalusCare il Titolare tratta:

• Dati dell'account: nome e cognome, indirizzo email, ruolo aziendale, credenziale di accesso (la password è conservata esclusivamente in forma cifrata con hashing).
• Dati di servizio: turni di lavoro, richieste di ferie e permessi, prestazioni domiciliari, dati di rendicontazione e i relativi riferimenti organizzativi (sedi, farmacie, pazienti assistiti) necessari all'erogazione del servizio.
• Token per notifiche push: identificativo del dispositivo fornito da Apple/Expo per l'invio delle notifiche di servizio.
• Dati tecnici e diagnostici: in caso di errore o crash dell'app vengono raccolti modello di dispositivo, versione del sistema operativo e dell'app, stato dell'applicazione al momento dell'errore, un identificativo utente pseudonimizzato ed eventualmente uno screenshot della schermata, al solo fine di diagnosi e correzione (tramite il fornitore Sentry).

Nell'ambito della gestione dell'attività sanitaria, i dati trattati possono riguardare prestazioni di cura e l'organizzazione del personale sanitario. Tali trattamenti, ove riguardino dati relativi alla salute, trovano base giuridica nell'art. 9, par. 2, lett. h) GDPR (finalità di assistenza e gestione dei servizi di cura) e sono svolti da soggetti tenuti al segreto professionale. L'app non è destinata alla raccolta diretta di dati sanitari dei pazienti all'interno dei dati diagnostici di crash.

• Erogazione del servizio (gestione account, turni, ferie, rendicontazione) — base giuridica: esecuzione di un contratto / del rapporto di lavoro e legittimo interesse del Titolare alla gestione organizzativa (art. 6, par. 1, lett. b) e f) GDPR).
• Invio di notifiche di servizio (assegnazione turni, comunicazioni operative) — base giuridica: legittimo interesse / esecuzione del rapporto (art. 6, par. 1, lett. f) e b)).
• Sicurezza, stabilità e diagnostica dell'app — base giuridica: legittimo interesse del Titolare a garantire il corretto funzionamento e la sicurezza dell'applicazione (art. 6, par. 1, lett. f)).
• Adempimenti di legge (es. obblighi in materia di lavoro e fiscali) — base giuridica: obbligo legale (art. 6, par. 1, lett. c)).

Il conferimento dei dati dell'account e di servizio è necessario per l'utilizzo dell'app: il mancato conferimento impedisce l'accesso e l'uso delle funzionalità. Il conferimento del token per le notifiche è facoltativo e può essere revocato disattivando le notifiche dalle impostazioni del dispositivo.

I dati sono trattati dal personale autorizzato del Titolare e possono essere comunicati a fornitori che agiscono quali Responsabili del trattamento (art. 28 GDPR):

• Vercel Inc. — hosting dell'applicazione web e delle API.
• Neon — servizio di database in cui sono conservati i dati.
• Functional Software, Inc. (Sentry) — raccolta dei dati diagnostici di errore; i dati sono ospitati nella region europea (Unione Europea).
• Apple Inc. e Expo — invio delle notifiche push.

Alcuni fornitori possono trattare dati al di fuori dell'Unione Europea. In tali casi il trasferimento avviene nel rispetto del Capo V del GDPR, sulla base di decisioni di adeguatezza o di Clausole Contrattuali Standard (SCC) adottate dalla Commissione Europea, con misure supplementari ove necessario.

• Dati dell'account e di servizio: per la durata del rapporto e nei termini previsti dagli obblighi di legge applicabili.
• Dati diagnostici di crash: per un periodo limitato (di norma 90 giorni), trascorso il quale sono cancellati o anonimizzati.

L'interessato può esercitare in qualsiasi momento i diritti previsti dagli artt. 15-22 GDPR: accesso, rettifica, cancellazione, limitazione, portabilità, opposizione, nonché revoca del consenso ove applicabile. Le richieste possono essere inoltrate a privacy@fisiosalusperugia.it o al DPO dpo@fisiosalusperugia.it. Il riscontro è fornito entro 30 giorni.

Gli account dell'app sono creati e gestiti dall'organizzazione (datore di lavoro) per i propri operatori. L'utente può richiedere la cancellazione del proprio account e dei dati associati direttamente dall'app (sezione Profilo → Elimina account) oppure scrivendo a privacy@fisiosalusperugia.it. La cancellazione è evasa nei termini di legge, fatti salvi i dati che il Titolare è tenuto a conservare per obblighi normativi.

L'interessato ha diritto di proporre reclamo al Garante per la protezione dei dati personali (www.garanteprivacy.it) qualora ritenga che il trattamento violi il GDPR.

Il Titolare si riserva di aggiornare la presente informativa. Le modifiche sono pubblicate su questa pagina con indicazione della data di ultimo aggiornamento.