Informativa GDPR completa
Ultimo aggiornamento: 28 giugno 2026
La presente informativa è resa ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 ("GDPR") a tutti gli utenti della piattaforma Nutri Clinic Pro (di seguito il "Servizio"), inclusi professionisti, assistenti e pazienti.
1. Titolare del trattamento
FRANCESCO PIRAS — VIA DRITTA 34B — P. IVA / C.F. 03995020926.
Contatto privacy: francescopiraslab@gmail.com.
2. Responsabile della Protezione dei Dati (DPO)
Non è stato nominato un DPO obbligatorio ai sensi dell'art. 37 GDPR poiché il trattamento, pur riguardando dati sanitari, non è effettuato su larga scala come attività principale. Per qualunque richiesta in materia di protezione dei dati è possibile scrivere a francescopiraslab@gmail.com.
3. Categorie di dati trattati
- Dati identificativi: nome, cognome, email, telefono, data di nascita, sesso.
- Dati di autenticazione: credenziali, token di sessione, log di accesso.
- Categorie particolari (art. 9 GDPR — dati sanitari): anamnesi, patologie, farmaci, allergie, intolleranze, misure antropometriche, esami ematici e strumentali, fotografie corporee, piani nutrizionali, integrazione, dati clinici condivisi dal paziente.
- Dati di fatturazione: trattati da Paddle.com Market Ltd in qualità di Merchant of Record.
- Dati di utilizzo: indirizzo IP, browser, data/ora delle operazioni, log applicativi.
4. Finalità e basi giuridiche
- Erogazione del Servizio ed esecuzione del contratto — art. 6.1.b GDPR.
- Trattamento dei dati sanitari per finalità di cura e gestione della cartella clinica nutrizionale — art. 9.2.h GDPR (medicina preventiva, diagnosi, assistenza o terapia sanitaria) e art. 9.2.a (consenso esplicito) ove richiesto.
- Adempimento di obblighi di legge fiscali, contabili e sanitari — art. 6.1.c GDPR.
- Sicurezza informatica e prevenzione frodi — art. 6.1.f GDPR (legittimo interesse).
- Difesa in giudizio — art. 6.1.f / 9.2.f GDPR.
5. Modalità del trattamento e misure di sicurezza
Il trattamento avviene con strumenti elettronici, con misure tecniche e organizzative adeguate al rischio (art. 32 GDPR):
- Cifratura in transito (TLS 1.2+) e at-rest sul database.
- Autenticazione con password hashing (bcrypt/argon2) e supporto a OAuth.
- Row-Level Security (RLS) server-side: ogni utente accede solo ai propri dati.
- Separazione dei ruoli (professionista / assistente / paziente) e principio del minimo privilegio.
- Audit log degli accessi e delle operazioni critiche.
- Backup giornalieri cifrati (vedi Disaster Recovery Plan).
- Server localizzati all'interno dello Spazio Economico Europeo (SEE).
6. Periodo di conservazione
- Dati account: durata del contratto + 24 mesi.
- Dati sanitari: fino a 10 anni dall'ultima prestazione (art. 2946 c.c. e prassi clinica), salvo richiesta di cancellazione anticipata o obblighi di legge differenti.
- Dati di fatturazione: 10 anni (art. 2220 c.c.).
- Log tecnici: massimo 12 mesi.
7. Comunicazione e trasferimenti
I dati non sono diffusi e non sono venduti a terzi. Possono essere comunicati a:
- Fornitori tecnici nominati Responsabili del trattamento ex art. 28 GDPR (hosting, email transazionali, servizi AI).
- Paddle.com Market Ltd, Merchant of Record per i pagamenti (autonomo titolare).
- Autorità competenti su richiesta, in adempimento di obblighi di legge.
Eventuali trasferimenti extra-SEE avvengono solo verso Paesi adeguati o con Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea.
8. Diritti dell'interessato
Ai sensi degli artt. 15-22 GDPR l'utente ha diritto di:
- accesso, rettifica, cancellazione, limitazione, opposizione, portabilità;
- revocare il consenso in qualsiasi momento (senza pregiudicare la liceità del trattamento precedente);
- proporre reclamo al Garante Privacy (garanteprivacy.it).
Le richieste vanno inviate a francescopiraslab@gmail.com e ricevono riscontro entro 30 giorni. Dal portale utente è inoltre possibile esportare i propri dati e richiedere la cancellazione dell'account.
9. Processi decisionali automatizzati
Il Servizio utilizza strumenti di intelligenza artificiale a supporto del professionista (es. generazione di bozze di piani alimentari, riconoscimento alimenti). Nessuna decisione clinica viene presa in modo automatizzato: ogni output AI è soggetto a revisione e approvazione del professionista sanitario.
10. Aggiornamenti
La presente informativa può essere aggiornata; le modifiche sostanziali saranno comunicate via email o in piattaforma.