Informativa Privacy

Data di entrata in vigore: 18 aprile 2025.

Introduzione alla nostra politica sulla privacy

Benvenuti in AI DiagMe! Smart Medical Care Ltd ("noi", "ci", "nostro") si impegna a proteggere la privacy e la sicurezza dei tuoi dati personali. La presente Informativa sulla privacy è pensata per spiegare chiaramente come gestiamo le tue informazioni. AI DiagMe è un marchio commerciale di Smart Medical Care Ltd.

Il presente documento descrive in dettaglio come raccogliamo, utilizziamo e proteggiamo i tuoi dati personali quando utilizzi il nostro sito web, aidiagme.com (il "Sito") e i nostri servizi di spiegazione dei risultati di laboratorio basati sull'intelligenza artificiale (i "Servizi"). Inoltre, ti informa sui tuoi diritti in materia di protezione dei dati. Ti invitiamo a leggere attentamente l'intera informativa sulla privacy. Utilizzando i nostri Servizi, dichiari di aver letto la presente informativa. Per il trattamento specifico dei tuoi dati sanitari, otterremo il tuo consenso esplicito separatamente.

1. Titolare del trattamento e contatto privacy

Il nostro ruolo di Titolare del trattamento dei dati

Il titolare del trattamento dei tuoi dati personali è:

  • Azienda: Smart Medical Care Ltd
  • Sede legale: 167-169 Great Portland Street, 5° piano, Londra, W1W 5PF, Regno Unito
  • Numero di registrazione: 15309552
  • Email di contatto: contact@aidiagme.com

Il tuo punto di contatto per la privacy

Per qualsiasi domanda riguardante la presente informativa sulla privacy o i tuoi dati personali, puoi contattare il nostro Contatto Privacy:

Smart Medical Care Ltd opera in coordinamento con Smart Medical Care SAS (società di responsabilità sociale d'impresa francese, RCS Nice 932 924 194), che gestisce le attività all'interno dello Spazio economico europeo. Per gli utenti residenti nello SEE, Smart Medical Care SAS può fungere da punto di contatto per le richieste relative alla protezione dei dati.

2. I dati personali che raccogliamo

Per fornire e migliorare i nostri Servizi, raccogliamo diverse categorie di dati personali. Questa sezione della nostra informativa sulla privacy descrive quali dati raccogliamo.

  • Dati identificativi e di contatto: Questo include il tuo nome e indirizzo email. Utilizziamo il tuo nome per contribuire a pseudonimizzare (de-identificare) il tuo referto di laboratorio prima dell'elaborazione tramite IA e utilizziamo il tuo indirizzo email per inviarti il referto generato tramite IA.
  • Dati sanitari e contestuali: Questa categoria comprende il file del referto delle analisi di laboratorio (ad esempio, analisi del sangue, urine, feci) che carichi. Include anche informazioni contestuali da te fornite, come età, sesso e storia clinica, che ci aiutano a generare una spiegazione più pertinente.
  • Dati della transazione: Raccogliamo informazioni relative al tuo acquisto, che vengono elaborate direttamente dal nostro fornitore di servizi di pagamento Stripe. Sebbene non memorizziamo i dati completi della tua carta di credito, conserviamo lo storico delle tue transazioni con noi.
  • Dati tecnici e di interazione: Tramite strumenti come Google Analytics, raccogliamo informazioni su come interagisci con il nostro sito, previo tuo consenso all'utilizzo dei cookie. Queste informazioni possono includere il tuo indirizzo IP (anonimizzato ove possibile), il tipo di browser e le pagine visitate.
  • Dati dei cookie: Raccogliamo informazioni tramite cookie come descritto nella nostra Politica sui cookie e in base alle tue scelte di consenso.
  • Dati di comunicazione: Ciò include tutte le informazioni che fornisci quando contatti il nostro servizio clienti.

3. Come utilizziamo i tuoi dati: finalità e basi giuridiche

La nostra politica sulla privacy si basa sul trattamento dei tuoi dati per scopi specifici, nel rispetto di opportune basi giuridiche (come il GDPR del Regno Unito e dell'UE).

  • Per fornire il servizio di intelligenza artificiale: Utilizziamo i tuoi dati sanitari e il tuo report per generare la tua spiegazione AI, in base al tuo consenso esplicito.
  • Per rendere anonimo il tuo rapporto: Il tuo nome ci aiuta a rimuovere gli identificativi diretti dal report prima dell'analisi tramite IA. Questo processo costituisce una pseudonimizzazione (non un'anonimizzazione completa), poiché i dati contestuali che fornisci (età, sesso, anamnesi) vengono conservati per garantire la pertinenza dell'interpretazione dell'IA. Questo è un passaggio necessario per l'esecuzione del nostro contratto.
  • Per consegnare il tuo report: Utilizziamo il tuo indirizzo email per inviarti i risultati, il che è essenziale per l'esecuzione del nostro contratto.
  • Per gestire pagamenti e conti: I tuoi dati di transazione e di contatto vengono utilizzati per gestire i pagamenti e il tuo rapporto con il cliente, in base all'esecuzione del nostro contratto.
  • Per migliorare la sicurezza del sito e del servizio: Analizziamo i dati di utilizzo per migliorare la nostra piattaforma. Questo trattamento si basa sul tuo consenso per i cookie analitici e sul nostro legittimo interesse a garantire i nostri servizi.
  • Per migliorare i nostri modelli di intelligenza artificiale: Potremmo utilizzare dati sanitari pseudonimizzati per migliorare i nostri servizi, sulla base del nostro legittimo interesse. Hai il diritto di opporti a questo utilizzo.
  • Per soddisfare le tue richieste: Quando contatti l'assistenza, utilizziamo i tuoi dati per rispondere, in base al nostro legittimo interesse a fornire un servizio eccellente.
  • Per ottemperare agli obblighi legali: Potremmo trattare qualsiasi dato personale nella misura necessaria per ottemperare alla legge.

4. Condivisione dei tuoi dati personali

Non vendiamo i tuoi dati personali. La presente informativa sulla privacy conferma che condividiamo i tuoi dati solo con terze parti di fiducia e nel rispetto di condizioni rigorose.

  • Fornitori di servizi (Responsabili del trattamento): Condividiamo i dati con partner essenziali, tra cui Google Cloud per l'hosting sicuro. Indipendentemente dal tuo paese di residenza, tutti i dati sanitari sono ospitati esclusivamente in Francia su server Google Cloud certificati HDS (Health Data Hosting) — il più alto standard francese di hosting di dati medici.
  • Fornitori di email transazionali: Utilizziamo fornitori di servizi esterni (ad esempio, SendGrid, Mailgun) per inviare via email il report generato dall'IA. Questi fornitori elaborano temporaneamente il tuo indirizzo email e il contenuto del report esclusivamente per finalità tecniche di instradamento e consegna.
  • Fornitori di infrastrutture di intelligenza artificiale: Utilizziamo servizi di routing specializzati, come Open Router, per interfacciarci in modo sicuro con modelli di intelligenza artificiale di terze parti. È importante sottolineare che solo dati rigorosamente anonimizzati vengono inviati a questi provider per generare il report.
  • Obblighi legali e commerciali: Potremmo divulgare dati se richiesto dalla legge o durante un trasferimento aziendale (come una fusione), assicurandoci che la nuova entità rispetti i nostri impegni in materia di politica sulla privacy.

Richiediamo a tutti i partner di rispettare la sicurezza dei tuoi dati e di trattarli in modo lecito, firmando rigorosi Accordi di elaborazione dei dati (DPA) per garantire la massima riservatezza delle tue informazioni.

5. Trasferimenti internazionali di dati e la presente Informativa sulla privacy

Essendo un'azienda con sede nel Regno Unito e operante a livello internazionale, elaboriamo dati in diverse giurisdizioni. Questa sezione spiega come proteggiamo i vostri dati a seconda del vostro luogo di residenza.

Se risiedi nello Spazio economico europeo (SEE)

I tuoi dati sanitari (referti, informazioni contestuali e report generati dall'IA) sono ospitati esclusivamente in Francia su server Google Cloud certificati HDS (Health Data Hosting). Questa certificazione soddisfa i più rigorosi standard normativi europei per i dati sanitari sensibili. I tuoi dati sanitari non vengono trasferiti al di fuori della Francia a fini di archiviazione.

Tuttavia, per generare il tuo report basato sull'IA, i dati pseudonimizzati (i tuoi risultati di laboratorio con gli identificativi diretti come il tuo nome rimossi, ma mantenendo i dati contestuali come età, sesso e anamnesi) vengono trasmessi al nostro fornitore di infrastrutture per l'IA, OpenRouter Inc., con sede negli Stati Uniti. Questo trasferimento è regolato dalle Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea, integrate da ulteriori garanzie tecniche, incluso il processo di pseudonimizzazione stesso, che riduce significativamente il rischio associato a questo trasferimento.

I dati di analisi (Google Analytics) vengono trasferiti negli Stati Uniti ai sensi dell'EU-US Data Privacy Framework (DPF). Google LLC è certificata sotto il DPF. I dati di pagamento sono elaborati da Stripe Inc. negli Stati Uniti, anch'essa certificata DPF.

Smart Medical Care Ltd opera in coordinamento con Smart Medical Care SAS, una società francese (RCS Nice 932 924 194), che gestisce le operazioni all'interno dello Spazio economico europeo (SEE). Per ulteriori informazioni su come vengono trattati i tuoi dati all'interno del SEE, puoi contattarci all'indirizzo contact@aidiagme.com.

Se risiedi nel Regno Unito

I tuoi dati sanitari sono ospitati in Francia su server Google Cloud certificati HDS (Health Data Hosting). I trasferimenti tra Regno Unito e Francia sono coperti dalla decisione di adeguatezza della Commissione Europea relativa al Regno Unito. I trasferimenti verso gli Stati Uniti (OpenRouter, Google, Stripe) sono regolati dall'Estensione del Regno Unito all'EU-US Data Privacy Framework (UK-US Data Bridge) e, ove applicabile, dall'UK International Data Transfer Agreement (UK IDTA).

Se risiedi negli Stati Uniti o altrove

I tuoi dati sanitari sono ospitati in Francia su server Google Cloud certificati HDS (Health Data Hosting) — il più alto standard disponibile per l'hosting di dati sanitari. La legge statunitense non impone di mantenere i dati medici all'interno degli Stati Uniti; abbiamo scelto l'hosting HDS francese perché offre il quadro di sicurezza e regolamentazione più solido per i dati sanitari sensibili. I dati pseudonimizzati trasmessi a OpenRouter per l'elaborazione dell'IA rimangono negli Stati Uniti.

Se risiedi in una giurisdizione con leggi specifiche sulla protezione dei dati (come le leggi sulla privacy degli stati degli Stati Uniti), consulta i nostri Termini e condizioni per informazioni sui tuoi diritti specifici.

Nota importante sulla pseudonimizzazione prima del trasferimento

Indipendentemente dalla tua posizione geografica, tutti i referti di laboratorio vengono pseudonimizzati prima di essere inviati al nostro fornitore di infrastrutture di intelligenza artificiale. Ciò significa che il tuo nome e cognome vengono automaticamente rimossi dal documento. Tuttavia, i dati contestuali (età, sesso, anamnesi) vengono conservati per garantire la pertinenza dell'interpretazione dell'IA. Questo processo costituisce pseudonimizzazione ai sensi dell'articolo 4(5) del GDPR, non anonimizzazione irreversibile. Applichiamo questa misura di sicurezza come ulteriore livello di protezione per tutti gli utenti in tutto il mondo.

6. Il nostro impegno per la sicurezza dei dati

Implementiamo solide misure di sicurezza tecniche e organizzative per proteggere i tuoi dati personali. Queste includono:

Hosting unificato dei dati sanitari in Francia (HDS). Indipendentemente dal tuo paese di residenza, tutti i dati sanitari sono ospitati esclusivamente in Francia su server Google Cloud certificati HDS (Health Data Hosting) — il più alto standard francese di hosting di dati sanitari. Google Cloud detiene inoltre certificazioni di sicurezza complete, tra cui ISO 27001 e SOC 2 Type II.

Pseudonimizzazione prima dell'elaborazione tramite IA. Prima che qualsiasi referto di laboratorio venga trasmesso al nostro fornitore di infrastrutture di intelligenza artificiale per l'analisi, il nostro sistema rileva e rimuove automaticamente gli identificativi diretti (nome, cognome) dal documento. I dati contestuali (età, sesso, anamnesi) vengono conservati per garantire la pertinenza della spiegazione generata dall'IA. Questo processo riduce il rischio di re-identificazione da parte di fornitori esterni, mantenendo al contempo la qualità del servizio.

Crittografia in transito e a riposo. Tutti i dati archiviati sono crittografati a riposo utilizzando la crittografia AES-256 sull'infrastruttura Google Cloud.

Rigorosi controlli di accesso interni. L'accesso ai dati personali e sanitari è limitato esclusivamente al personale autorizzato, secondo il principio del minimo privilegio. L'autenticazione a più fattori (MFA) è obbligatoria per tutti gli accessi agli ambienti di produzione. I diritti di accesso vengono rivisti trimestralmente.

Monitoraggio continuo. Utilizziamo gli strumenti di monitoraggio di Google Cloud per rilevare anomalie e potenziali minacce alla sicurezza. Gli incidenti di sicurezza vengono gestiti in conformità con il nostro Piano di risposta agli incidenti, con procedure di escalation e tempistiche di notifica definite.

Conferma normativa. Il servizio AI DiagMe è stato riconosciuto come dispositivo non medico dall'Agenzia nazionale francese per la sicurezza dei medicinali e dei prodotti sanitari (ANSM) (riferimento GIO 23593272, fascicolo 2500297). Tale classificazione è stata ottenuta a seguito di un'approfondita revisione del nostro servizio da parte dell'Innovation Desk dell'ANSM.

7. Politica di conservazione dei dati

Conserviamo i tuoi dati personali solo per il tempo necessario a soddisfare le finalità per cui li abbiamo raccolti, incluso per soddisfare eventuali requisiti legali, contabili o di rendicontazione. Il periodo di conservazione dei tuoi dati personali principali dipende dallo stato del tuo account. Nota importante relativa agli account utente: attualmente, il nostro servizio funziona senza la creazione formale di un account. I tuoi dati storici (informazioni contestuali e report AI generati) sono associati al tuo indirizzo email e conservati per un massimo di 3 anni dopo l'ultimo utilizzo, in previsione dell'implementazione del nostro portale sicuro per i pazienti.

Una volta lanciato ufficialmente questo portale, le seguenti disposizioni saranno pienamente applicabili e il periodo di conservazione dei tuoi dati personali principali dipenderà dallo stato del tuo account:

  • Per gli account attivi: I dati del tuo account, le informazioni di contatto e contestuali, nonché i report AI generati, vengono conservati finché il tuo account è attivo. Questo ti consente di utilizzare i nostri Servizi e di accedere alla tua cronologia tramite il portale pazienti.
  • Per gli account disattivati: Dopo la disattivazione, conserveremo i tuoi dati (account, contatti, contesto, report AI) per un periodo massimo di 3 anni. Questo ti consentirà di riattivare il tuo account durante questo periodo. Al termine di questo periodo, se non lo riattivi, questi dati verranno eliminati definitivamente.
  • Rapporto originale: In linea con il principio di minimizzazione dei dati, conserveremo questo file per un massimo di 90 giorni per risolvere eventuali problemi di consegna, dopodiché verrà eliminato in modo sicuro.
  • Dati della transazione: Conservati per il periodo richiesto dai nostri obblighi legali e contabili (in genere 6 anni nel Regno Unito).
  • Dati de-identificati per il miglioramento dell'IA: I dati dai quali sono stati rimossi gli identificatori diretti possono essere utilizzati per la ricerca e il miglioramento dei nostri modelli di intelligenza artificiale, sulla base del nostro legittimo interesse. Poiché i dati contestuali (età, sesso, anamnesi) vengono conservati, questi dati rimangono soggetti alle tutele del GDPR in quanto dati pseudonimizzati. Hai il diritto di opporti a questo utilizzo contattandoci.

Una richiesta di eliminazione definitiva del tuo account comporterà la cancellazione di tutti i dati sopra elencati, salvo nei casi in cui abbiamo un obbligo legale prevalente di conservarli (ad esempio i dati delle transazioni) o per i dati che sono già stati resi irreversibilmente anonimi.

8. I tuoi diritti sulla protezione dei dati ai sensi della presente Informativa

A seconda della tua posizione, hai dei diritti in merito ai tuoi dati personali.

  • Diritto di accesso, rettifica e cancellazione: Puoi richiedere una copia dei tuoi dati, correggerli o chiederne la cancellazione.
  • Diritto di limitazione o opposizione: Puoi opporti al trattamento basato sui nostri legittimi interessi (come l'utilizzo di dati de-identificati per il miglioramento dell'intelligenza artificiale).
  • Diritto di revoca del consenso: È possibile revocare il consenso al trattamento dei dati sanitari in qualsiasi momento.

Gestione del tuo account: disattivazione ed eliminazione

Hai il diritto di cancellare i tuoi dati personali. Con il lancio del nostro portale per i pazienti, avrai due distinte opzioni per gestire il tuo account e i tuoi dati direttamente dalla tua dashboard personale:

  • Disattiva il tuo account: Questa opzione ti consente di interrompere momentaneamente l'utilizzo dei nostri Servizi. Il tuo account e i tuoi dati personali (inclusi il tuo profilo, i report IA, ecc.) non saranno più accessibili attivamente, ma saranno conservati in modo sicuro per un periodo di 3 anni. Ciò ti consente di riattivare il tuo account e accedere alla cronologia in qualsiasi momento durante questo periodo. Se il tuo account non viene riattivato entro 3 anni, l'account e tutti i dati personali associati verranno eliminati definitivamente, ad eccezione dei dati soggetti a un obbligo di conservazione legale.
  • Elimina definitivamente il tuo account: Questa opzione corrisponde all'esercizio del tuo Diritto di Cancellazione. Comporterà la cancellazione immediata e irreversibile del tuo account e di tutti i dati personali associati (profilo, documenti caricati, report IA), fatti salvi i nostri obblighi legali di conservazione (in particolare per i dati sulle transazioni). Una volta eseguita questa azione, i tuoi dati non potranno essere recuperati.

Come esercitare i tuoi diritti

In attesa del lancio ufficiale del portale pazienti, puoi esercitare il tuo diritto alla cancellazione e richiedere la cancellazione permanente dei tuoi dati (collegati alla tua email) in qualsiasi momento contattandoci direttamente all'indirizzo contact@aidiagme.com. Non appena il portale sarà disponibile, le opzioni per disattivare ed eliminare definitivamente il tuo account saranno accessibili direttamente dalle tue impostazioni online.

9. Informativa sulla privacy dei bambini

I nostri Servizi non sono destinati a persone di età inferiore a 18 anni. Di conseguenza, non raccogliamo consapevolmente dati personali di minori.

10. Cookie e tecnologie di tracciamento

La nostra Informativa sui cookie fornisce informazioni dettagliate sul nostro utilizzo dei cookie. Consultala per sapere come gestire le tue preferenze.

11. Modifiche alla presente Informativa sulla privacy

Potremmo aggiornare periodicamente la presente informativa sulla privacy. La data di "Ultimo aggiornamento" in alto indicherà sempre la versione più recente. Ti invitiamo a consultare regolarmente questa pagina.

12. Come presentare un reclamo

In caso di dubbi sulla nostra gestione dei dati, ti preghiamo di contattarci prima. Hai anche il diritto di presentare un reclamo a un'autorità di controllo, come l'Information Commissioner's Office (ICO) nel Regno Unito.

Se risiedi nello Spazio economico europeo, puoi anche presentare un reclamo all'autorità di protezione dei dati del tuo paese di residenza. In Francia, si tratta della Commission Nationale de l'Informatique et des Libertés (CNIL). www.cnil.fr.

13. Risorse aziendali aggiuntive

  • Approfondimenti: Scopri i nostri articoli e le nostre analisi.
  • Inizia Ora: Scopri come funziona il nostro strumento basato sull'intelligenza artificiale.
  • FAQ: Trova le risposte alle domande più comuni sulla sicurezza dei dati e sull'utilizzo dello strumento.
  • Sito web francese: Per i francofoni, visitare aidiagme.fr