La presente informativa descrive come vengono trattati i tuoi dati personali quando utilizzi Hemalia, ai sensi del Regolamento (UE) 2016/679 (GDPR). Hemalia tratta dati relativi alla salute, che il GDPR qualifica come categoria particolare di dati (art. 9): per questo poniamo particolare attenzione alla loro protezione.
1. Titolare del trattamento
Il titolare del trattamento è Marc Franco (persona fisica), Cuneo (Italia). Per qualsiasi richiesta relativa al trattamento dei tuoi dati puoi scrivere a info@hemalia.com.
Non è stato nominato un Responsabile della protezione dei dati (DPO); per ogni questione relativa alla privacy puoi comunque contattare il titolare all'indirizzo indicato sopra.
2. Quali dati trattiamo
- Dati dell'account: indirizzo e-mail e password (conservata in forma cifrata tramite hashing).
- Dati di profilo (facoltativi): sesso, data di nascita, altezza, peso, usati ad esempio per gli intervalli di riferimento e per stime informative.
- Dati sanitari: i referti che carichi e i valori dei biomarcatori da essi estratti, con le relative date.
- Contenuti generati dall'utente: messaggi inviati all'assistente AI, promemoria, obiettivi e preferenze.
- Dati tecnici: log di sicurezza, indirizzo IP e informazioni essenziali di sessione necessari al funzionamento e alla protezione del servizio.
3. Finalità e basi giuridiche
- Erogazione del servizio (creazione account, caricamento ed elaborazione dei referti, visualizzazioni): esecuzione del contratto — art. 6(1)(b) GDPR.
- Trattamento dei dati sanitari (estrazione e analisi dei valori, funzioni AI): consenso esplicito dell'interessato — art. 9(2)(a) GDPR. Puoi revocare il consenso in qualsiasi momento (vedi punto 9).
- Sicurezza, prevenzione abusi e miglioramento tecnico: legittimo interesse — art. 6(1)(f) GDPR.
- Adempimenti di legge: obblighi legali — art. 6(1)(c) GDPR.
4. Elaborazione tramite intelligenza artificiale
Per estrarre i valori dai referti e per le funzioni di assistenza, i contenuti pertinenti (le pagine del referto caricato e/o i valori dei biomarcatori) sono inviati a Google (API Gemini), che agisce come responsabile del trattamento ai sensi del Data Processing Addendum applicabile. In base ai termini del servizio a pagamento (che si applicano anche agli utenti dello Spazio Economico Europeo), Google non utilizza i contenuti inviati per addestrare i propri modelli; conserva log limitati nel tempo esclusivamente per la prevenzione degli abusi. I file caricati presso il fornitore per l'analisi vengono eliminati al termine dell'elaborazione (vedi punto 7).
5. Destinatari e responsabili del trattamento
I tuoi dati possono essere trattati, per nostro conto, da fornitori che agiscono come responsabili del trattamento (art. 28 GDPR), tra cui:
- OVHcloud (hosting/infrastruttura — server nell'Unione Europea);
- Google (elaborazione AI tramite API Gemini — vedi punto 4);
- Brevo (invio delle e-mail transazionali: conferme, reset password, codici di accesso — infrastruttura nell'Unione Europea).
Non vendiamo i tuoi dati personali a terzi.
6. Trasferimenti extra-UE
L'infrastruttura del servizio e l'invio delle e-mail operano all'interno dell'Unione Europea. L'elaborazione AI (punto 4) può comportare il trattamento di dati da parte di Google anche al di fuori dello Spazio Economico Europeo: tale trasferimento avviene sulla base delle garanzie previste dagli artt. 44 ss. GDPR (decisione di adeguatezza EU-U.S. Data Privacy Framework e/o clausole contrattuali tipo, secondo il Data Processing Addendum di Google).
7. Periodo di conservazione
- File dei referti caricati: sono conservati sul server solo per la durata dell'analisi e vengono eliminati immediatamente alla conferma dei risultati. I caricamenti non confermati vengono eliminati automaticamente entro 24 ore.
- Copia temporanea presso il fornitore AI: i file inviati a Google per l'estrazione vengono eliminati al termine dell'analisi (e in ogni caso il fornitore li rimuove automaticamente entro 48 ore).
- Valori estratti e dati dell'account (biomarcatori, profilo, diario, conversazioni): conservati finché l'account è attivo. Alla cancellazione dell'account l'eliminazione è immediata e definitiva.
- Backup di sicurezza: copie cifrate con rotazione automatica; eventuali dati residui di un account eliminato scompaiono dai backup entro 7 giorni.
8. Sicurezza
Adottiamo misure tecniche e organizzative adeguate a proteggere i dati, tra cui cifratura delle password, isolamento dei dati per singolo utente, autenticazione tramite token e controlli di accesso. Nessun sistema è però sicuro al 100%.
9. I tuoi diritti
In qualità di interessato puoi esercitare i diritti previsti dagli artt. 15-22 GDPR:
- accesso, rettifica e cancellazione dei dati;
- limitazione e opposizione al trattamento;
- portabilità dei dati;
- revoca del consenso in qualsiasi momento (senza pregiudicare la liceità del trattamento precedente), anche eliminando l'account dalle impostazioni.
Per esercitare i tuoi diritti scrivi a info@hemalia.com. Hai inoltre il diritto di proporre reclamo all'autorità di controllo (in Italia, il Garante per la protezione dei dati personali).
10. Cookie e archiviazione locale
Hemalia utilizza esclusivamente cookie e archiviazione locale tecnici/essenziali (ad es. per l'autenticazione e le preferenze), necessari al funzionamento del servizio e che non richiedono consenso. Non utilizziamo cookie di profilazione, strumenti di analytics o servizi di terze parti. Per i dettagli consulta la Cookie Policy.
11. Modifiche a questa informativa
Potremmo aggiornare questa informativa nel tempo. In caso di modifiche sostanziali ne daremo comunicazione tramite il servizio. La data in cima alla pagina indica l'ultimo aggiornamento.