Hemalia ← Torna al sito

Informativa sulla privacy

Ultimo aggiornamento: 7 luglio 2026

La presente informativa descrive come vengono trattati i tuoi dati personali quando utilizzi Hemalia, ai sensi del Regolamento (UE) 2016/679 (GDPR). Hemalia tratta dati relativi alla salute, che il GDPR qualifica come categoria particolare di dati (art. 9): per questo poniamo particolare attenzione alla loro protezione.

1. Titolare del trattamento

Il titolare del trattamento è Marc Franco (persona fisica), Cuneo (Italia). Per qualsiasi richiesta relativa al trattamento dei tuoi dati puoi scrivere a info@hemalia.com.

Non è stato nominato un Responsabile della protezione dei dati (DPO); per ogni questione relativa alla privacy puoi comunque contattare il titolare all'indirizzo indicato sopra.

2. Quali dati trattiamo

  • Dati dell'account: indirizzo e-mail e password (conservata in forma cifrata tramite hashing).
  • Dati di profilo (facoltativi): sesso, data di nascita, altezza, peso, usati ad esempio per gli intervalli di riferimento e per stime informative.
  • Dati sanitari: i referti che carichi e i valori dei biomarcatori da essi estratti, con le relative date.
  • Contenuti generati dall'utente: messaggi inviati all'assistente AI, promemoria, obiettivi e preferenze.
  • Dati tecnici: log di sicurezza, indirizzo IP e informazioni essenziali di sessione necessari al funzionamento e alla protezione del servizio.

3. Finalità e basi giuridiche

  • Erogazione del servizio (creazione account, caricamento ed elaborazione dei referti, visualizzazioni): esecuzione del contratto — art. 6(1)(b) GDPR.
  • Trattamento dei dati sanitari (estrazione e analisi dei valori, funzioni AI): consenso esplicito dell'interessato — art. 9(2)(a) GDPR. Puoi revocare il consenso in qualsiasi momento (vedi punto 9).
  • Sicurezza, prevenzione abusi e miglioramento tecnico: legittimo interesse — art. 6(1)(f) GDPR.
  • Adempimenti di legge: obblighi legali — art. 6(1)(c) GDPR.

4. Elaborazione tramite intelligenza artificiale

Per estrarre i valori dai referti e per le funzioni di assistenza, i contenuti pertinenti (le pagine del referto caricato e/o i valori dei biomarcatori) sono inviati a Google (API Gemini), che agisce come responsabile del trattamento ai sensi del Data Processing Addendum applicabile. In base ai termini del servizio a pagamento (che si applicano anche agli utenti dello Spazio Economico Europeo), Google non utilizza i contenuti inviati per addestrare i propri modelli; conserva log limitati nel tempo esclusivamente per la prevenzione degli abusi. I file caricati presso il fornitore per l'analisi vengono eliminati al termine dell'elaborazione (vedi punto 7).

5. Destinatari e responsabili del trattamento

I tuoi dati possono essere trattati, per nostro conto, da fornitori che agiscono come responsabili del trattamento (art. 28 GDPR), tra cui:

  • OVHcloud (hosting/infrastruttura — server nell'Unione Europea);
  • Google (elaborazione AI tramite API Gemini — vedi punto 4);
  • Brevo (invio delle e-mail transazionali: conferme, reset password, codici di accesso — infrastruttura nell'Unione Europea).

Non vendiamo i tuoi dati personali a terzi.

6. Trasferimenti extra-UE

L'infrastruttura del servizio e l'invio delle e-mail operano all'interno dell'Unione Europea. L'elaborazione AI (punto 4) può comportare il trattamento di dati da parte di Google anche al di fuori dello Spazio Economico Europeo: tale trasferimento avviene sulla base delle garanzie previste dagli artt. 44 ss. GDPR (decisione di adeguatezza EU-U.S. Data Privacy Framework e/o clausole contrattuali tipo, secondo il Data Processing Addendum di Google).

7. Periodo di conservazione

  • File dei referti caricati: sono conservati sul server solo per la durata dell'analisi e vengono eliminati immediatamente alla conferma dei risultati. I caricamenti non confermati vengono eliminati automaticamente entro 24 ore.
  • Copia temporanea presso il fornitore AI: i file inviati a Google per l'estrazione vengono eliminati al termine dell'analisi (e in ogni caso il fornitore li rimuove automaticamente entro 48 ore).
  • Valori estratti e dati dell'account (biomarcatori, profilo, diario, conversazioni): conservati finché l'account è attivo. Alla cancellazione dell'account l'eliminazione è immediata e definitiva.
  • Backup di sicurezza: copie cifrate con rotazione automatica; eventuali dati residui di un account eliminato scompaiono dai backup entro 7 giorni.

8. Sicurezza

Adottiamo misure tecniche e organizzative adeguate a proteggere i dati, tra cui cifratura delle password, isolamento dei dati per singolo utente, autenticazione tramite token e controlli di accesso. Nessun sistema è però sicuro al 100%.

9. I tuoi diritti

In qualità di interessato puoi esercitare i diritti previsti dagli artt. 15-22 GDPR:

  • accesso, rettifica e cancellazione dei dati;
  • limitazione e opposizione al trattamento;
  • portabilità dei dati;
  • revoca del consenso in qualsiasi momento (senza pregiudicare la liceità del trattamento precedente), anche eliminando l'account dalle impostazioni.

Per esercitare i tuoi diritti scrivi a info@hemalia.com. Hai inoltre il diritto di proporre reclamo all'autorità di controllo (in Italia, il Garante per la protezione dei dati personali).

10. Cookie e archiviazione locale

Hemalia utilizza esclusivamente cookie e archiviazione locale tecnici/essenziali (ad es. per l'autenticazione e le preferenze), necessari al funzionamento del servizio e che non richiedono consenso. Non utilizziamo cookie di profilazione, strumenti di analytics o servizi di terze parti. Per i dettagli consulta la Cookie Policy.

11. Modifiche a questa informativa

Potremmo aggiornare questa informativa nel tempo. In caso di modifiche sostanziali ne daremo comunicazione tramite il servizio. La data in cima alla pagina indica l'ultimo aggiornamento.