Informativa sulla Privacy
Ultimo aggiornamento: aprile 2026
1. Titolare del trattamento
Marco Nucci — Sviluppo software
Viale Garibaldi 40 — 51017 Pescia (PT)
P.IVA 01944260478 — C.F. NCCMRC92D01A657M
Email: marconucci1@gmail.com
PEC: marco.nucci1@pec.it
2. Dati raccolti
Il portale Odontotech raccoglie e tratta le seguenti categorie di dati:
- Dati identificativi: nome, cognome, email, ragione sociale, P.IVA, codice fiscale, indirizzo, telefono
- Dati di autenticazione: username, password (hash crittografico)
- Dati sanitari (art. 9 GDPR): prescrizioni mediche, dati pazienti (nome, cognome, patologie), dispositivi medici, lavorazioni odontotecniche
- Dati di pagamento: gestiti interamente da Stripe Inc. (non conservati sui nostri server)
- Dati tecnici: indirizzo IP, user agent, log di accesso
3. Finalita e base giuridica
| Finalita | Base giuridica |
|---|---|
| Erogazione del servizio gestionale | Esecuzione del contratto (Art. 6(1)(b) GDPR) |
| Gestione prescrizioni e dati sanitari | Finalita di cura (Art. 9(2)(h) GDPR) |
| Fatturazione e pagamenti | Obbligo legale (Art. 6(1)(c) GDPR) |
| Sicurezza e audit log | Legittimo interesse (Art. 6(1)(f) GDPR) |
4. Destinatari dei dati e responsabili del trattamento
I dati possono essere comunicati ai seguenti soggetti, nominati responsabili del trattamento ai sensi dell'art. 28 GDPR:
| Fornitore | Finalita | Sede | Garanzie |
|---|---|---|---|
| Stripe Inc. | Processamento pagamenti | USA | EU-US Data Privacy Framework (Privacy Policy) |
| Amazon Web Services EMEA | Hosting database | Regione EU (eu-west-1) | Dati conservati in UE |
| Resend Inc. | Invio email transazionali | USA | Standard Contractual Clauses (SCC) |
| OpenAI, L.L.C. | Assistente AI (chat supporto) | USA | Data Processing Addendum con SCC (DPA) |
5. Trasferimenti di dati extra-UE
Alcuni fornitori (Stripe, Resend, OpenAI) hanno sede negli Stati Uniti. I trasferimenti avvengono sulla base di:
- Decisione di adeguatezza della Commissione Europea — EU-US Data Privacy Framework (Decisione 2023/1795 del 10 luglio 2023), ove il fornitore sia certificato;
- Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea (Decisione 2021/914), negli altri casi.
L'utente puo richiedere copia delle garanzie adottate contattando il titolare.
6. Conservazione dei dati
- Dati sanitari (prescrizioni): 10 anni dall'ultima interazione
- Dati account: fino alla cancellazione dell'account
- Log di sicurezza: 2 anni
- Dati di fatturazione: 10 anni (obbligo fiscale)
7. Diritti dell'interessato
Ai sensi degli articoli 15-22 del GDPR, l'interessato ha diritto di:
- Accedere ai propri dati personali
- Rettificare dati inesatti
- Ottenere la cancellazione dei dati (diritto all'oblio)
- Limitare il trattamento
- Ottenere la portabilita dei dati
- Opporsi al trattamento
- Proporre reclamo al Garante per la Protezione dei Dati Personali
Per esercitare i propri diritti, contattare: marconucci1@gmail.com
Le funzioni di esportazione e cancellazione dati sono disponibili nella sezione "Account" del portale.
Portabilita dei dati (Art. 20 GDPR): l'utente puo esportare i propri dati in qualsiasi momento dalla sezione "Account" del portale. I dati vengono forniti in formato JSON (strutturato e leggibile da dispositivo automatico) e includono: dati dell'account, prescrizioni, lavorazioni, dispositivi medici e appuntamenti. L'esportazione e disponibile in modalita self-service e puo essere completata senza l'intervento del titolare.
8. Sicurezza
I dati sono protetti tramite: crittografia TLS in transito, cifratura AES dei dati sanitari a riposo, hashing bcrypt delle password, autenticazione a due fattori via email, controllo degli accessi basato su ruoli, audit log degli accessi, security headers HTTP.
9. Violazione dei dati (Data Breach)
In caso di violazione dei dati personali che presenti un rischio per i diritti e le liberta delle persone fisiche, il titolare provvedera a:
- Notificare la violazione al Garante per la Protezione dei Dati Personali entro 72 ore dalla scoperta, ai sensi dell'art. 33 GDPR;
- Comunicare la violazione agli interessati senza ingiustificato ritardo qualora la violazione presenti un rischio elevato, ai sensi dell'art. 34 GDPR.
10. Cookie
Per informazioni dettagliate sui cookie, consultare la Cookie Policy.
11. Assistente AI (Chat Intelligente)
Il portale integra un assistente virtuale basato su intelligenza artificiale per aiutare gli utenti nell'utilizzo della piattaforma.
- Fornitore: OpenAI, L.L.C. (USA) — modello GPT-4o-mini, utilizzato tramite API
- Dati trasmessi: il testo dei messaggi inviati dall'utente e lo storico della conversazione (ultimi 10 messaggi). Non vengono trasmessi dati sanitari dei pazienti; l'assistente risponde esclusivamente sulla base della guida del portale
- Conservazione presso OpenAI: i dati inviati tramite API non vengono utilizzati da OpenAI per addestrare i propri modelli. OpenAI conserva i dati per un massimo di 30 giorni a fini di monitoraggio abusi, salvo obblighi di legge
- Trasferimento extra-UE: i dati sono trasferiti negli Stati Uniti sulla base del Data Processing Addendum (DPA) di OpenAI, che include le Clausole Contrattuali Standard (SCC)
- Base giuridica: legittimo interesse del titolare a fornire un servizio di supporto efficiente (Art. 6(1)(f) GDPR). L'utilizzo della chat e facoltativo
- Conservazione locale: le conversazioni sono conservate nel database del portale, associate all'account dell'utente, e cancellabili dall'utente in qualsiasi momento
L'assistente AI non prende decisioni automatizzate con effetti giuridici sull'utente e non accede ai dati sanitari dei pazienti.
12. Profilazione e processo decisionale automatizzato
Ai sensi dell'art. 22 del GDPR, informiamo che il portale Odontotech non effettua profilazione ne processi decisionali interamente automatizzati che producano effetti giuridici o incidano in modo analogo significativamente sull'interessato.
Il sistema di analytics interno raccoglie esclusivamente dati aggregati e anonimizzati (modulo utilizzato, tipo di evento, ruolo utente) a fini statistici, senza alcuna forma di profilazione individuale. Non vengono creati profili comportamentali degli utenti ne utilizzati algoritmi per prendere decisioni che li riguardino.
L'assistente AI integrato nel portale fornisce risposte informative sull'utilizzo della piattaforma e non prende decisioni ne formula valutazioni sui dati dell'utente.
13. Ruoli nel trattamento dei dati
La piattaforma Odontotech opera secondo un modello a doppio ruolo privacy:
| Soggetto | Ruolo GDPR | Ambito |
|---|---|---|
| Marco Nucci (Odontotech) | Titolare del trattamento | Dati degli account utente, dati di fatturazione, log di sicurezza, analytics aggregati, dati tecnici |
| Marco Nucci (Odontotech) | Responsabile del trattamento (Art. 28 GDPR) | Dati sanitari dei pazienti inseriti dagli utenti (prescrizioni, lavorazioni, dispositivi medici): il portale li tratta per conto e su istruzione dell'utente professionista sanitario |
| Utente odontotecnico / studio dentistico | Titolare autonomo del trattamento | Dati sanitari dei propri pazienti inseriti nel portale; l'utente determina finalita e mezzi del trattamento di tali dati nell'ambito della propria attivita professionale |
Per i dati sanitari dei pazienti, il rapporto tra l'utente professionista (titolare) e Odontotech (responsabile) e regolato da un accordo ai sensi dell'art. 28 GDPR, parte integrante dei Termini e Condizioni del servizio.
14. Consenso e revoca
Per i trattamenti basati sul consenso, il portale raccoglie consensi specifici e granulari al momento della registrazione:
- Consenso al trattamento dei dati personali: necessario per la creazione dell'account e l'erogazione del servizio
- Consenso al trattamento dei dati sanitari (Art. 9 GDPR): necessario per la gestione delle prescrizioni e dei dispositivi medici
Ogni consenso e registrato con data e ora e versione dell'informativa accettata. Il consenso puo essere revocato in qualsiasi momento:
- Dalla sezione "Account" del portale, nelle impostazioni privacy
- Inviando una richiesta a marconucci1@gmail.com
La revoca del consenso non pregiudica la liceita del trattamento effettuato prima della revoca (Art. 7(3) GDPR). La revoca del consenso al trattamento dei dati sanitari comporta l'impossibilita di utilizzare le funzionalita di gestione prescrizioni e dispositivi medici.
15. Dati raccolti da fonti diverse dall'interessato
Ai sensi dell'art. 14 del GDPR, informiamo che il portale puo ricevere dati personali da fonti diverse dall'interessato stesso:
| Fonte | Tipologia di dati | Finalita |
|---|---|---|
| Utente odontotecnico / studio dentistico | Dati dei pazienti (nome, cognome, dati clinici) inseriti nelle prescrizioni | Gestione delle prescrizioni e fabbricazione dei dispositivi medici, ai sensi del Regolamento (UE) 2017/745 (MDR) |
| Stripe Inc. | Stato dei pagamenti, conferme di transazione | Gestione degli abbonamenti e fatturazione |
Per i dati dei pazienti inseriti dagli utenti professionisti, il titolare del trattamento ai fini dell'art. 14 GDPR e il professionista sanitario stesso, che e tenuto a informare i propri pazienti del ricorso al portale Odontotech per la gestione delle prescrizioni.
16. Minori
Il portale Odontotech e destinato esclusivamente a professionisti sanitari e laboratori odontotecnici. Il servizio non e rivolto a minori di 18 anni e non raccoglie consapevolmente dati personali di soggetti di eta inferiore.
Qualora il titolare venisse a conoscenza di aver raccolto dati di un minore senza il consenso del genitore o tutore, provvedera alla loro tempestiva cancellazione. Per segnalazioni: marconucci1@gmail.com.
17. Analytics e monitoraggio dell'utilizzo
Il portale utilizza un sistema di analytics interno per monitorare l'utilizzo delle funzionalita. I dati raccolti sono:
- Data dell'evento
- Tipo di evento (es. visualizzazione pagina, azione CRUD)
- Modulo del portale utilizzato
- Ruolo dell'utente (odontotecnico, clinico)
Questi dati sono aggregati e anonimizzati: non contengono identificativi dell'utente, indirizzi IP o informazioni che consentano di risalire alla persona fisica. Vengono utilizzati esclusivamente per migliorare l'usabilita e le funzionalita del portale.
Il portale non utilizza strumenti di analytics di terze parti (es. Google Analytics, Meta Pixel) ne tecnologie di tracking pubblicitario.
18. Valutazione d'impatto (DPIA)
In conformita all'art. 35 del GDPR, il titolare ha effettuato una Valutazione d'Impatto sulla Protezione dei Dati (DPIA) per i trattamenti che presentano un rischio elevato per i diritti e le liberta degli interessati, con particolare riferimento a:
- Trattamento di dati sanitari (categorie particolari di dati, Art. 9 GDPR)
- Utilizzo di servizi di intelligenza artificiale di terze parti (OpenAI)
- Trasferimenti di dati verso paesi terzi (USA)
La DPIA e disponibile su richiesta per le autorita di controllo competenti e viene aggiornata periodicamente o in occasione di modifiche significative ai trattamenti.
19. Responsabile della Protezione dei Dati (DPO)
Considerata la natura e la scala del trattamento, ai sensi dell'art. 37 del GDPR la nomina di un Responsabile della Protezione dei Dati (DPO) non e obbligatoria per il titolare. Il titolare ha comunque effettuato una valutazione documentata di tale obbligo.
Per qualsiasi questione relativa alla protezione dei dati personali, e possibile contattare direttamente il titolare:
- Email: marconucci1@gmail.com
- PEC: marco.nucci1@pec.it
20. Modifiche alla presente informativa
Il titolare si riserva di modificare la presente informativa per adeguarla a novita normative, giurisprudenziali o tecniche. In caso di modifiche sostanziali:
- L'utente sara informato tramite notifica nel portale e/o email almeno 15 giorni prima dell'entrata in vigore
- Sara richiesta l'accettazione esplicita della nuova versione al primo accesso successivo
- La versione dell'informativa accettata da ciascun utente e registrata nel sistema
La data dell'ultimo aggiornamento e sempre indicata in cima al presente documento. Le versioni precedenti possono essere richieste scrivendo a marconucci1@gmail.com.
In caso di disaccordo con le modifiche, l'utente ha diritto di cancellare il proprio account ed esportare i propri dati.