Informativa privacy ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 (GDPR)

Gentile utente, ai sensi della normativa europea vigente in materia di protezione dei dati personali desideriamo informarti sul modo in cui i dati personali oggetto del nostro rapporto sono trattati e sul tipo di controllo e di diritti che puoi esercitare su di essi, sia in caso di semplice navigazione sul nostro sito che di utilizzo dei nostri software. Prendi visione dell’informativa e non esitare a contattarci per ogni dubbio o evenienza attraverso i canali che ti indicheremo. Durante l’iscrizione a Progetto Tandem ti sarà chiesto di prendere visione di quest’informativa e di confermarci l’avvenuta adesione. Dopodiché, potrai liberamente utilizzare il prodotto secondo i termini generali del contratto di licenza software stipulato. 

1. Riferimenti del Titolare del trattamento dei dati personali

Il Titolare del trattamento è Coderpillar s.r.l. unicamente per le finalità e la tipologia di dati personali indicati al successivo paragrafo 2. Coderpillar s.r.l. è una società con sede a Siracusa, via Costanza Bruno n. 21, il cui contatto e-mail è privacy@coderpillar.it. Puoi scrivere a questa casella per qualunque chiarimento relativo alla tua privacy.

L’indirizzo e-mail fornito all’inizio del paragrafo è lo stesso che puoi utilizzare per esercitare i diritti previsti dal GDPR, in maniera mediata, nei confronti del Titolare del trattamento. Se deciderai di sottoscrivere il contratto di licenza con noi per l’utilizzo del software, ricordati che per le finalità correlate al rapporto medico-paziente tu sarai il Titolare del trattamento dei dati personali dei tuoi pazienti e dei genitori, nominando la nostra società Responsabile del trattamento dei dati personali ex art. 28 GDPR. In virtù di tale nomina, del tutto gratuita e inclusa nel servizio, condivideremo alcune responsabilità in merito al trattamento dei dati personali che sarà da te effettuato per le finalità di cura e assistenza. Ci occuperemo anche di raccogliere i consensi necessari mediante le nostre piattaforme e di renderteli consultabili. Ti ricordiamo che il tuo gestionale funziona in stretta interconnessione con il software Medicami, per il quale è prevista una specifica privacy policy rivolta agli utenti che puoi in ogni momento consultare su medicami.it/privacy.

2. Tipo di dati trattati, finalità e base giuridica

Di seguito un riepilogo dei dati personali che possono essere trattati con i nostri software, unitamente alle finalità di utilizzo degli stessi, base giuridica sottesa al trattamento e periodo di conservazione:

Tipologia di dati personali trattati	Finalità di utilizzo dei dati personali	Base giuridica del trattamento	Periodo di conservazione dei dati
Dati anagrafici, di fatturazione e di contatto del professionista aderente, aggiornamento degli stessi	Dati relativi all’esecuzione del rapporto contrattuale	Il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso (art. 6, par. 1, lett. b) GDPR)	Secondo le norme di legge che regolano la materia (10 anni in materia contrattuale)
Dati anagrafici e di contatto del professionista aderente	Marketing diretto o informazioni circa iniziative della società tramite posta elettronica automatizzata, nonché realizzazione di studi di mercato e analisi statistiche	Consenso facoltativo, revocabile in ogni momento dall’interessato (art. 6, par. 1, lett. a) GDPR e art. 7 GDPR)	Finché è dato il consenso e, comunque, fin quando non siano trascorsi due anni dalla cessazione del rapporto contrattuale
Dati anagrafici e di contatto del professionista aderente	Marketing indiretto, con finalità di interscambio con partner commerciali/terzi per l’invio di eventuale materiale promozionale. Utilizzo della sezione “contatti” del sito web	Consenso facoltativo, revocabile in ogni momento dall’interessato (art. 6, par. 1, lett. a) GDPR e art. 7 GDPR)	Finché è dato il consenso e, comunque, fin quando non siano trascorsi due anni dalla cessazione del rapporto contrattuale
Dati anagrafici e di contatto del professionista aderente	Solo se necessario, per accertare, esercitare o difendere i diritti di Titolare o Responsabile del trattamento in sede giudiziaria	Legittimo interesse (tutela giudiziaria)	Solo per il tempo necessario all’esercizio dei diritti del Titolare del trattamento innanzi all’Autorità giurisdizionale
Dati anagrafici e di contatto del professionista aderente, dati log di sistema, indirizzo IP del dispositivo, dati di utilizzo	Necessità di intervento assistenziale sui prodotti gestiti da Coderpillar s.r.l. nel caso di debugging o problematiche di tipo tecnico. Tra i dati di utilizzo sono annoverati, a titolo di mero esempio, i tempi di utilizzo e gli orari di accesso.	Il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso (art. 6, par. 1, lett. b) GDPR).Inoltre, il Titolare del trattamento ha il legittimo interesse a perseguire il miglioramento dei propri servizi	Finché dura il rapporto contrattuale fra medico e società
Dati anagrafici del professionista aderente; immagini, suoni, informazioni di geolocalizzazione, ruolo ed esperienza professionale del professionista, nickname, profilo dei social networks	Valutazioni e altri contenuti che l’interessato può liberamente decidere di condividere con il Titolare del trattamento tramite i propri software o il Sito Web	Consenso facoltativo, revocabile in ogni momento dall’interessato (art. 6, par. 1, lett. a) GDPR e art. 7 GDPR)	Fino a quando non siano trascorsi due anni dalla risoluzione del rapporto contrattuale, dalla sua cessazione per qualunque causa o dall’ultimo utilizzo del software.
Dati idonei a rivelare lo stato di salute dei pazienti	Conservazione dei dati personali al fine di facilitare al professionista interessato il trattamento ai fini di anamnesi e cura del paziente, nonché obblighi sia contrattuali che deontologici del medico curante. In questa sede si ricorda che i dati conferiti dai pazienti tramite “Medicami” sono trattati dal professionista n.q. di Titolare del trattamento	Il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure (art. 6, par. 1, lett. b) GDPR).Esiste apposita nomina, in questo senso, ex art. 28 GDPR allegata al contratto di licenza d’uso del software.	Solo fin quando sussiste il rapporto contrattuale con il professionista della sanità e fatto salvo il consenso fornito dal paziente sull’app Medicami alla conservazione del FSE (fascicolo sanitario elettronico).

3. Conferimento obbligatorio dei dati personali 

Il Titolare del trattamento è anche Amministratore di sistema rispetto ai dati confluiti su Progetto Tandem per il tramite di Medicami. Pertanto, i dati personali di genitori e pazienti, fatta eccezione per i dati particolari e in virtù dei servizi di erogazione telematica delle prestazioni assistenziali forniti dagli applicativi di Coderpillar s.r.l., sono gestiti dalla società stessa, in qualità di Responsabile del trattamento dei dati personali, per tutte le finalità previste dalla legge, dai regolamenti, dalla normativa dell’Unione europea, ovvero da disposizioni di Autorità a ciò legittimate dalla legge e da organi di vigilanza e controllo. Il Responsabile del trattamento non verrà a conoscenza dei dati personali di tipo sanitario inseriti nei propri database, se non per finalità di assistenza tecnica in modo incidentale e previa richiesta di consenso trasmessa al genitore via mail. Coderpillar s.r.l. non risponde di eventuali violazioni dei dati personali causate dal professionista che siano dovute a comunicazione o divulgazione dei dati derivanti alla loro estrazione volontaria dal sistema ai fini di trasmissione mediante canali diversi da Medicami.  

4. Modalità del trattamento dei dati personali e tecnologie di partner terzi utilizzate da Progetto Tandem

I dati personali sono trattati secondo i migliori standard di sicurezza ai sensi dell’art. 32 GDPR. Per la definizione di “trattamento”, si rinvia all’art. 4, par. 1, comma 2 del GDPR, in cui si descrivono le operazioni che possono essere compiute con i dati personali conferiti. Il Titolare del trattamento dei dati personali agisce seguendo i principi di privacy by design e privacy by default di cui all’art. 25 GDPR. Per questo motivo, qualora ci fossero delle novità rispetto al trattamento dei tuoi dati personali, non esiteremo a informarti e aggiornarti. Abbiamo previsto specifiche procedure di controllo e di incident management che ci consentono di tenerti sempre informata/o sullo “stato di salute” dei dati personali che ti riguardano. 

Il sistema di hosting è garantito da Amazon Web Services (AWS) – aws.amazon.com. Il sito, il servizio e i dati relativi a essi sono ospitati su server gestiti da Amazon e trattati secondo la policy di riferimento (Tutte le informazioni su https://aws.amazon.com/it/compliance/gdpr-center). In particolare, a seguito dell’invalidazione del privacy shield, ti invitiamo a visionare il white paper “Conformità al Regolamento generale sulla protezione dei dati in AWS – https://d1.awsstatic.com/whitepapers/it_IT/compliance/GDPR_Compliance_on_AWS.pdf. 

Ai sensi dell’art. 33 GDPR, nel caso in cui accadesse una violazione di dati personali, il Titolare del trattamento notifica la violazione all’Autorità di controllo competente a norma dell’art. 55 GDPR senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per te o per i tuoi assistiti. Qualora la notifica all’Autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo. 

Di seguito indichiamo le tecnologie presenti nel sito progettotandem.it:

Gestione dei tag: Questo tipo di servizi è funzionale alla gestione centralizzata dei tag o script utilizzati su questo Sito Web. L’uso di tali servizi comporta il fluire dei dati dell’utente attraverso gli stessi e, se del caso, la loro conservazione.

Google Tag Manager (Google Ireland Limited): Google Tag Manager è un servizio di gestione dei tag fornito da Google Ireland Limited. Dati Personali raccolti: Cookie; Dati di utilizzo. Luogo del trattamento: Irlanda (privacy policy: https://policies.google.com/privacy).

Interazione con social network e piattaforme esterne: Questo tipo di servizi permette di effettuare interazioni con i social network, o con altre piattaforme esterne, direttamente dalle pagine del Sito Web. Le interazioni e le informazioni acquisite dal Sito Web sono in ogni caso soggette alle impostazioni privacy dell’Utente relative a ogni social network. Il servizio potrebbe comunque raccogliere dati sul traffico per le pagine dove il servizio è installato, anche quando gli utenti non lo utilizzano. Si raccomanda di disconnettersi dai rispettivi servizi per assicurarsi che i dati elaborati sul Sito Web non vengano ricollegati al profilo dell’utente.

Widget sociali di Facebook (Facebook, Inc.): Il pulsante “Mi Piace” e i widget sociali di Facebook sono servizi di interazione con il social network Facebook, forniti da Facebook, Inc. Dati personali raccolti: Cookie; Dati di utilizzo. Luogo del trattamento: Stati Uniti – Privacy Policy: https://www.facebook.com/privacy/explanation.

Statistica: I servizi contenuti nella sezione permettono al Responsabile del trattamento di monitorare e analizzare i dati di traffico e servono a tenere traccia del comportamento dell’utente.

Google Analytics con IP anonimizzato: Google Analytics è un servizio di analisi web fornito da Google Inc. (“Google”). Google utilizza i dati personali raccolti allo scopo di tracciare ed esaminare l’utilizzo del Sito Web, compilare report e condividerli con gli altri servizi sviluppati da Google. Google potrebbe utilizzare i dati personali conferiti per contestualizzare e personalizzare gli annunci del proprio network pubblicitario. L’integrazione di Google Analytics rende anonimo il tuo indirizzo IP. L’anonimizzazione funziona abbreviando entro i confini degli stati membri dell’Unione europea o in altri Paesi aderenti all’accordo sullo Spazio Economico Europeo l’indirizzo IP degli Utenti. Solo in casi eccezionali, l’indirizzo IP sarà inviato ai server di Google ed abbreviato all’interno degli Stati Uniti. In quel caso, ci accerteremo che vengano rispettati gli standard di sicurezza UE sul trattamento dei dati personali. Dati personali raccolti: Cookie; Dati di utilizzo. Luogo del trattamento: Stati Uniti – Privacy Policy: https://policies.google.com/privacy – Opt Out: https://tools.google.com/dlpage/gaoptout?hl=it Irlanda – Privacy Policy: https://policies.google.com/privacy.

Visualizzazione di contenuti da piattaforme esterne: Questo tipo di servizi permette di visualizzare contenuti ospitati su piattaforme esterne direttamente dalle pagine del Sito Web e di interagire con essi. Questo tipo di servizio potrebbe comunque raccogliere dati sul traffico web relativo alle pagine dove il servizio è installato, anche quando gli utenti non lo utilizzano.

Google Fonts (Google Ireland Limited): Google Fonts è un servizio di visualizzazione di stili di carattere gestito da Google Ireland Limited che permette a questo Sito Web di integrare tali contenuti all’interno delle proprie pagine. Dati personali raccolti: dati di utilizzo; varie tipologie di dati secondo quanto specificato dalla privacy policy del servizio. Luogo del trattamento: Irlanda – Privacy Policy: https://policies.google.com/privacy.

Cookie: Il Sito Web utilizza la tecnologia dei cookies. Ti invitiamo a leggere la cookie policy e prenderne visione per comprenderne il funzionamento.

5. Categorie di destinatari dei dati personali

I dati non rientranti nelle categorie particolari, oltre che dal Titolare e dal Responsabile, possono essere comunicati a/trattati da soggetti esterni operanti in qualità di Titolari autonomi ai sensi degli artt. 4 e 24 GDPR quali, a titolo esemplificativo e non esaustivo, Autorità ed organi di vigilanza e controllo. Inoltre, in generale, i dati personali non particolari potrebbero essere comunicati a soggetti, pubblici o privati, legittimati a richiedere i dati e/o a soggetti operanti in qualità di Responsabili o sub-responsabili del trattamento ai sensi dell’art. 28 GDPR (che a loro volta, a titolo esemplificativo e non esaustivo, possono essere società di consulenza e/o studi professionali e/o legali o compagnie di assicurazioni).

I dati non particolari potranno inoltre essere comunicati a nostri partner commerciali/concessionari per l’adempimento di attività connesse all’esecuzione del contratto o per lo svolgimento – da parte degli stessi – di azioni commerciali, previo tuo espresso consenso come già chiarito nel punto 2 della presente informativa.

6. Trasferimento dei dati in paesi extra-UE

I dati personali sanitari forniti sono trattati conservandoli sempre all’interno di server situati nel territorio dell’Unione europea per mantenere una tutela più elevata dei diritti e delle libertà degli interessati. Qualora categorie differenti e non particolari di dati personali dovessero, per motivi di gestione dei database o per altra causa, uscire dal territorio dell’Unione europea, ci assicureremo di garantire ai dati personali le medesime condizioni di sicurezza che garantiamo nel territorio eurounitario e ti verrà data comunicazione tempestiva del loro trasferimento. 

7. I tuoi diritti

La normativa europea in materia di protezione dei dati personali ti attribuisce diritti che puoi esercitare nei confronti del Titolare e/o del Responsabile del trattamento, diritti previsti dagli artt. 15 ss. GDPR, ti invitiamo a leggerli. Di seguito una sintesi:

1. accesso: si può chiedere conferma o meno che sia in corso un trattamento dei tuoi dati personali o del paziente, quanti e quali sono a disposizione; chiariamo fin d’ora che non risponderemo a richieste ritenute manifestamente infondate, eccessive o ripetitive;
2. rettifica: correzione dei dati personali, se errati o obsoleti e possibilità di completarli o integrarli, se incompleti;
3. cancellazione/oblio: puoi ottenere, in alcuni casi, la cancellazione dei dati personali forniti; questo non è un diritto assoluto, in quanto il Titolare potrebbe avere legittimi interessi o prerogative legali per la conservazione rispetto a un certo periodo di tempo (vedi punto 2 presente informativa);
4. limitazione: i dati saranno archiviati, ma non potranno essere né trattati, né elaborati ulteriormente, nei casi previsti dalla normativa;
5. portabilità: puoi richiedere copia in formato interoperabile dei tuoi dati per trasferirli ad altri database. Questo vale solo per i dati che hai fornito, quando il trattamento si basa sull’esecuzione di un contratto o sul consenso e il trattamento viene eseguito con mezzi automatizzati;
6. opposizione al marketing diretto;
7. revoca del consenso in qualsiasi momento, qualora il trattamento si basi sul consenso.

Ai sensi dell’art. 2-undecies del d.lgs. 196/2003, l’esercizio dei diritti può essere ritardato, limitato o escluso, con comunicazione motivata e resa senza ritardo, a meno che la comunicazione possa compromettere la finalità della limitazione, per il tempo e nei limiti in cui ciò costituisca una misura necessaria e proporzionata, tenuto conto dei diritti fondamentali e dei legittimi interessi dell’interessato, al fine di salvaguardare gli interessi di cui al comma 1, lett. a (interessi tutelati in materia di riciclaggio), lett. e (svolgimento delle investigazioni difensive o all’esercizio di un diritto in sede giudiziaria) e lett. f (riservatezza dell’identità del dipendente che segnala illeciti di cui sia venuto a conoscenza in ragione del proprio ufficio). In tali casi, i tuoi diritti possono essere esercitati anche tramite il Garante con le modalità di cui all’articolo 160 del decreto legislativo già citato. In questa ipotesi, il Garante per la protezione dei dati personali ti informerà di aver eseguito tutte le verifiche necessarie o di aver svolto un riesame, come anche della tua facoltà di proporre ricorso giurisdizionale.

Precisiamo anche che – prima dell’evasione di qualsiasi istanza ai sensi degli artt. 15 ss. GDPR – il Titolare del trattamento può effettuare un accertamento della tua identità per valutarne la legittimità. 

Per esercitare in modo semplice ed efficace i tuoi diritti o quelli del minore, invia una comunicazione all’indirizzo privacy@coderpillar.it, una PEC all’indirizzo coderpillar@pec.it o una raccomandata A.R. alla sede della società. Andrà bene anche una PEC. Ti risponderemo nel più breve tempo possibile, in ogni caso entro 30 giorni dalla richiesta. Nel caso in cui la richiesta fosse particolarmente complessa, ci riserviamo di rispondere dopo un periodo di tempo maggiore, ma comunque avvisandoti della complessità della richiesta e della nostra necessità di approfondirne gli aspetti.

In ogni caso, ti ricordiamo che, qualora ritenessi violato un tuo diritto, puoi proporre reclamo all’Autorità di controllo nazionale, che per l’Italia è il Garante della protezione dei dati personali.

Ti ringraziamo per partecipare a Progetto Tandem

Coderpillar s.r.l.