1. Titolare del Trattamento

Il Titolare del trattamento è il medico che utilizza la piattaforma ObGynManager per gestire i propri pazienti.

Il medico è responsabile del trattamento dei dati sanitari ai sensi del Regolamento (UE) 2016/679 e del D.Lgs. 196/2003.

ObGynManager fornisce strumenti software e conserva i dati per conto del medico, senza poter accedere ai dati sanitari in chiaro, poiché tali informazioni sono cifrate lato client e decifrabili esclusivamente dal medico.

2. Base Giuridica del Trattamento

Il trattamento dei dati sanitari tramite la piattaforma avviene sulla base di:

• esecuzione delle attività di diagnosi, cura e assistenza sanitaria (art. 6.1.b e art. 9.2.h GDPR)
• adempimento di obblighi di legge in materia sanitaria
• consenso informato quando richiesto dalla normativa sanitaria

Il medico informa i pazienti e ottiene eventuale consenso necessario.

3. Tipologie di Dati Trattati

3.1 Dati del Medico (Account Utente)

• nome e cognome
• email professionale
• numero e provincia di iscrizione all'Ordine dei Medici
• luogo di esercizio
• password hashata, non leggibile né recuperabile

3.2 Dati Sanitari dei Pazienti

I dati sanitari inseriti dal medico includono, a titolo esemplificativo:

• dati anagrafici
• anamnesi medica
• visite e referti
• diagnosi e terapie
• dati di gravidanza
• documenti e immagini diagnostiche

Tali dati sono cifrati lato client con AES-256-GCM.

4. Modalità di Trattamento e Sicurezza

4.1 Crittografia End-to-End

Tutti i dati sanitari sensibili sono cifrati direttamente sul dispositivo del medico prima della trasmissione.

Solo il medico può decifrarli tramite la propria chiave.

4.2 Sistema di Cifratura per Utente

• ogni medico dispone di propria chiave crittografica
• le chiavi sono derivate localmente tramite PBKDF2 e non archiviate sui server

4.3 Gestione Password

• la password del medico non è recuperabile
• la perdita della password implica perdita definitiva dei dati cifrati

4.4 Archiviazione

I dati sono archiviati su infrastruttura UE ospitata da Nhost AB.

I dati sanitari sono memorizzati in forma cifrata; i dati non sanitari (parametri account, log, configurazioni) possono essere conservati in chiaro ai soli fini tecnici.

5. Responsabilità del Medico (Titolare)

Il medico è responsabile di:

• informare i pazienti sul trattamento dei dati
• raccogliere e documentare il consenso quando richiesto
• custodire le credenziali di accesso
• rispondere alle richieste dei pazienti sui loro dati
• notificare eventuali violazioni ai sensi degli artt. 33 e 34 GDPR

6. Diritti degli Interessati (Pazienti)

I pazienti possono esercitare i propri diritti GDPR presso il proprio medico:

• accesso ai dati
• rettifica
• cancellazione
• limitazione
• portabilità
• opposizione

Poiché ObGynManager non accede ai dati sanitari in chiaro, tali richieste sono gestite esclusivamente dal medico.

7. Conservazione dei Dati

I dati sanitari devono essere conservati per i periodi previsti dalla normativa sanitaria italiana, tra cui:

• cartelle cliniche: almeno 10 anni
• dati ostetrici: almeno 25 anni
• dati relativi a minori: 18 anni + 10 anni

Tali obblighi ricadono esclusivamente sul medico titolare del trattamento, che decide tempi e modalità di conservazione della documentazione sanitaria ai sensi della legge.

ObGynManager conserva i dati soltanto per la durata del rapporto contrattuale con il medico, o fino a istruzioni contrarie del medico stesso.

Alla cessazione del rapporto o su richiesta del medico:

• l'accesso alla piattaforma viene disattivato
• i dati vengono cancellati in modo definitivo dai sistemi della piattaforma,
• salvo eventuale esportazione richiesta dal medico entro i tempi tecnici indicati nei Termini di Servizio.

8. Trasferimenti di Dati

I dati sono conservati su infrastruttura situata nell'Unione Europea.

Non vengono trasferiti al di fuori dello Spazio Economico Europeo senza garanzie adeguate ai sensi del Capo V del GDPR.

9. Sicurezza del Trattamento

La piattaforma adotta misure tecniche e organizzative adeguate, tra cui:

• cifratura end-to-end dei dati sanitari
• cifratura per utente basata su password
• HTTPS/TLS obbligatorio
• backup cifrati
• logging tecnico di sistema
• limitazione accesso ai soli medici titolari dei dati
• protezione infrastrutturale e monitoraggio continuo

10. Violazioni di Dati

In caso di violazioni:

• ObGynManager informa tempestivamente il medico titolare
• il medico valuta il rischio e, se necessario, notifica il Garante entro 72 ore e informa i pazienti interessati

11. Cookie e Tecnologie Simili

La piattaforma utilizza:

• cookie tecnici di sessione
• strumenti di archiviazione locale/SessionStorage per la chiave crittografica

Eventuali cookie aggiuntivi saranno gestiti secondo specifica cookie policy.

12. Registro delle Attività di Trattamento

Il medico mantiene il proprio registro ex art. 30 GDPR.

ObGynManager mantiene un registro separato per le attività svolte come Responsabile del trattamento.

13. Contatti per Richieste o Chiarimenti

• Il medico titolare del trattamento dei dati
• Supporto tecnico ObGynManager: supporto@obgynmanager.it
• PEC del fornitore: medsoftsrl@pec.it
• Autorità Garante: www.garanteprivacy.it

14. Aggiornamenti dell'Informativa

Questa informativa può essere aggiornata.

Le modifiche sostanziali saranno comunicate tramite notifica in piattaforma o email associata al medico.