Informativa sul trattamento dei dati personali

1. Chi tratta i tuoi dati

Titolare del trattamento: lo studio medico / ambulatorio presso cui sei in cura (la "struttura"), che utilizza il software Kura per gestire la tua cartella clinica e i tuoi appuntamenti.

Responsabile del trattamento: Kura (TODO-RAGIONE-SOCIALE, TODO-INDIRIZZO, TODO-PEC, TODO-EMAIL-CONTATTO), in qualità di fornitore tecnico nominato dalla struttura ai sensi dell'art. 28 GDPR.

Una copia del contratto fra struttura e Kura (DPA — Data Processing Agreement) è disponibile su richiesta presso la struttura.

2. Quali dati trattiamo

• Dati identificativi: nome, cognome, data di nascita, sesso, codice fiscale, recapiti (telefono, email, indirizzo).
• Dati sanitari (categoria particolare ex art. 9 GDPR): anamnesi, diagnosi, terapie, referti, allegati clinici, appuntamenti.
• Dati di fatturazione: prestazioni, importi, pagamenti.
• Log tecnici: cronologia degli accessi al tuo fascicolo da parte del personale autorizzato (audit log immutabile).

3. Su quale base giuridica

• Cura e diagnosi (art. 9 §2 h GDPR): per erogare le prestazioni sanitarie richieste.
• Obblighi di legge: conservazione fatture (art. 2220 c.c. — 10 anni), audit log accessi a dati sanitari (Provvedimento Garante del 7 marzo 2019).
• Consenso esplicito: per la creazione del fascicolo digitale; viene raccolto al primo accesso e revocabile in qualsiasi momento.

4. Per quanto tempo

• Cartella clinica: 10 anni dall'ultima prestazione, poi cancellazione automatica.
• Fatture: 10 anni dall'emissione (obbligo civilistico).
• Audit log accessi: 10 anni dalla data dell'accesso.
• Dati prenotazione online non confermata: 30 giorni.

5. A chi comunichiamo i tuoi dati

I tuoi dati sono accessibili a:

• Medici e personale autorizzato della struttura.
• Sub-responsabili tecnici di Kura:
  • Supabase Inc. (database e storage) — server ubicati nell'Unione Europea (Irlanda, AWS eu-west-1).
  • Aruba S.p.A. (SMTP per email transazionali) — server in Italia.
  • Vercel Inc. (hosting applicazione web) — regione UE.
• Autorità pubbliche, solo su richiesta motivata (es. Garante, magistratura).

Nessun trasferimento extra-UE dei dati clinici.

6. I tuoi diritti

In qualsiasi momento puoi esercitare i diritti previsti dagli articoli 15-22 GDPR:

• Accesso (art. 15): ricevere una copia di tutti i tuoi dati. La struttura può fornirla in formato JSON tramite il pulsante "Esporta dati" presente nel tuo fascicolo, oppure su richiesta scritta entro 30 giorni.
• Rettifica (art. 16): correggere dati errati.
• Cancellazione (art. 17): chiedere la cancellazione del fascicolo clinico. Le fatture restano per obbligo fiscale.
• Limitazione e opposizione (art. 18 e 21).
• Portabilità (art. 20): ottenere i dati in formato strutturato.
• Reclamo al Garante: garanteprivacy.it.

7. Sicurezza

Adottiamo misure tecniche e organizzative adeguate al rischio (art. 32 GDPR), tra cui:

• Cifratura TLS in transito e at-rest (Supabase / AWS).
• Autenticazione a due fattori (TOTP) disponibile.
• Audit log immutabile di ogni accesso alla cartella clinica (impossibile da modificare o cancellare anche per il titolare).
• Backup giornalieri con Point-in-Time Recovery per 7 giorni e ripristino testato periodicamente.
• Segregazione dei dati per studio (Row-Level Security su database) verificata da test automatici.
• Separazione dei ruoli: la segretaria non accede alla cartella clinica.

8. Cookie

Kura usa esclusivamente cookie tecnici di sessione per mantenere l'autenticazione. Non sono presenti cookie di profilazione o di terze parti. Vedi la Cookie Policy.

9. Modifiche

Aggiorneremo questa informativa quando cambieranno funzionalità o sub-responsabili. La data in alto indica l'ultima revisione.