Privacy Policy
Ultimo aggiornamento: 3 aprile 2026
1. Ruolo di SprintIT e natura del servizio
SprintIT S.r.l.
Largo San Giorgio 21/2, 30033 Noale (VE) - Italia
P.IVA: IT04023960273
Email: assistenza@sprintit.net
Telefono e WhatsApp: (+39) 041.8876323
SprintIT S.r.l. eroga il servizio SprintWARE Medical in qualita' di Responsabile del Trattamento (Data Processor, Art. 28 GDPR) per conto dello studio medico cliente, che opera come Titolare del Trattamento.
SprintWARE Medical e' una piattaforma vuota: non raccoglie dati dai pazienti, non richiede informazioni sanitarie e non determina quali dati vengano inseriti. E' lo studio medico cliente (Titolare) a decidere autonomamente quali dati inserire, con quali finalita' e su quale base giuridica. SprintIT tratta i dati esclusivamente su istruzione documentata del Titolare, limitandosi a fornire l'infrastruttura tecnologica.
SprintWARE Medical non e' un dispositivo medico ai sensi del Regolamento (UE) 2017/745 (MDR). Il software e' uno strumento di supporto all'attivita' professionale e non e' destinato alla diagnosi, prevenzione, monitoraggio, trattamento o attenuazione di malattie.
2. Dati trattati
I dati trattati si distinguono in due categorie in base a chi ne determina l'inserimento:
2.1 Dati generati automaticamente dal sistema
Questi dati sono necessari al funzionamento del servizio e vengono raccolti automaticamente:
| Dato | Finalita' | Base giuridica |
|---|---|---|
| Username e password (hashata) | Autenticazione | Contratto (Art. 6.1.b) |
| Indirizzo IP, timestamp login, user agent | Sicurezza e audit | Obbligo legale (Art. 6.1.c) |
| Log delle operazioni (audit trail) | Tracciabilita' GDPR Art. 30 | Obbligo legale (Art. 6.1.c) |
| Dati contrattuali (accettazione T&C, DPA) | Prova contrattuale | Contratto (Art. 6.1.b) |
| Cookie tecnico di sessione | Mantenimento sessione | Contratto (Art. 6.1.b) |
2.2 Dati inseriti volontariamente dal Titolare
Tutti i dati seguenti sono facoltativi e vengono inseriti dallo studio medico a propria discrezione. SprintWARE non li richiede e non ne determina la raccolta. L'unico dato necessario per creare una scheda paziente e' nome e cognome.
| Categoria | Esempi | Obbligatorio |
|---|---|---|
| Anagrafica paziente | Nome, cognome | Si' (minimo per creare la scheda) |
| Contatti paziente | Telefono, email, indirizzo | No |
| Dati sanitari (Art. 9 GDPR) | Esami posturali, immagini cliniche, referti, note cliniche | No |
| Allegati | Fotografie, documenti, file | No |
| Consenso informato | Firma digitale, terapie accettate | No |
Nota importante: qualora il Titolare inserisca dati di categorie particolari (Art. 9 GDPR, es. dati sanitari), e' sua esclusiva responsabilita' verificare la sussistenza di una valida base giuridica (tipicamente il consenso esplicito dell'interessato o la finalita' di cura ai sensi dell'Art. 9.2.h) e adottare le garanzie necessarie.
3. Servizi opzionali e relativi dati
Lo studio medico puo' attivare servizi aggiuntivi che comportano il trattamento di dati ulteriori. Questi servizi sono disattivati per impostazione predefinita e vengono abilitati solo su scelta esplicita del Titolare:
| Servizio | Dati trattati | Attivazione |
|---|---|---|
| Google Calendar | Eventi del calendario dell'operatore | L'operatore collega il proprio account Google tramite OAuth 2.0 |
| Prenotazione online | Nome paziente, slot orario scelto | Lo studio genera un link di prenotazione |
| Notifiche SMS | Numero di telefono, testo messaggio | Lo studio abilita il servizio SMS |
| Notifiche WhatsApp | Numero di telefono, testo messaggio | Lo studio abilita le notifiche WhatsApp |
| Firma digitale consenso (OTP) | Numero di telefono (per invio codice OTP) | Lo studio utilizza il modulo consenso con firma digitale |
| Esercizi riabilitativi | Punteggi e tempi di completamento | L'operatore assegna esercizi al paziente |
| Ordini dispositivi | Misure, specifiche tecniche, indirizzo spedizione | Lo studio ordina un dispositivo (plantare, guanciale) |
3.1 Integrazione Google Calendar
Quando un operatore collega il proprio account Google Calendar:
- L'accesso avviene tramite OAuth 2.0 con consenso esplicito dell'operatore
- I dati del calendario vengono letti e visualizzati in tempo reale, non vengono copiati o archiviati permanentemente
- Il token di accesso viene salvato nel database dello studio per mantenere la sessione attiva
- La prenotazione online utilizza solo l'informazione di disponibilita' (occupato/libero), senza esporre alcun dato degli eventi esistenti (privacy by design)
- L'operatore puo' revocare l'accesso in qualsiasi momento dalla pagina Agenda o da Google Account Permissions
4. Finalita' del trattamento
- Erogazione del servizio SaaS di gestione studio medico
- Autenticazione e sicurezza dell'accesso
- Audit e tracciabilita' delle operazioni (Art. 30 GDPR)
- Gestione contrattuale e fatturazione
- Servizi opzionali (calendario, notifiche, prenotazioni), solo se attivati dal Titolare
5. Base giuridica
| Trattamento | Base giuridica |
|---|---|
| Erogazione del servizio | Contratto (Art. 6.1.b) |
| Log di sicurezza e audit trail | Obbligo legale (Art. 6.1.c) |
| Integrazione Google Calendar | Consenso dell'operatore (Art. 6.1.a) |
| Dati sanitari dei pazienti | Responsabilita' del Titolare — tipicamente consenso esplicito (Art. 9.2.a) o finalita' di cura (Art. 9.2.h) |
6. Conservazione dei dati
- Dati dei pazienti: conservati per la durata del contratto. Alla scadenza, lo studio ha 20 giorni solari per l'esportazione; entro 90 giorni i dati vengono definitivamente cancellati. Il Titolare e' responsabile della conservazione a lungo termine secondo gli obblighi della propria professione
- Log di sistema e audit trail: conservati per 18 mesi (Provvedimento del Garante sugli Amministratori di Sistema)
- Dati contrattuali: log di accettazione T&C e DPA conservati per 10 anni dalla cessazione del rapporto
- Backup: backup settimanali con retention di 7 giorni (rolling), conservati nell'Unione Europea
7. Sub-responsabili del trattamento
SprintIT S.r.l. si avvale dei seguenti sub-responsabili (Art. 28 GDPR). Ciascun sub-responsabile e' coinvolto esclusivamente quando il relativo servizio e' attivo:
| Sub-responsabile | Sede | Funzione | Condizione di attivazione |
|---|---|---|---|
| Seeweb S.r.l. | Italia | Hosting e data center | Sempre attivo (infrastruttura) |
| Amazon Web Services EMEA SARL | Lussemburgo (UE) | Storage copie di sicurezza (region Francoforte) | Sempre attivo (backup) |
| Google LLC | USA (dati in UE) | API Google Calendar | Solo se l'operatore collega il proprio Google Calendar |
| Esendex Italia S.r.l. (Skebby) | Italia | Invio SMS (promemoria, OTP) | Solo se lo studio abilita SMS o firma digitale OTP |
| Spoki S.r.l. | Italia | Notifiche WhatsApp (ordini plantari) | Solo se lo studio abilita notifiche WhatsApp via Spoki |
| Meta Platforms Ireland Ltd | Irlanda (UE) | Notifiche WhatsApp (promemoria appuntamenti) | Solo se lo studio abilita notifiche WhatsApp via Meta Cloud API |
L'elenco aggiornato dei sub-responsabili e' disponibile su richiesta. Eventuali modifiche saranno comunicate con almeno 30 giorni di preavviso.
8. Localizzazione dei dati
I dati sono conservati esclusivamente in data center situati nell'Unione Europea:
- Server di produzione e database: Italia
- Copie di sicurezza: Germania
Non e' previsto alcun trasferimento di dati al di fuori dello Spazio Economico Europeo. Eventuali trasferimenti extra-SEE, ove necessari, avverranno esclusivamente nel rispetto dell'Art. 44 e ss. GDPR.
9. Misure di sicurezza
SprintWARE Medical adotta misure tecniche e organizzative appropriate ai sensi dell'Art. 32 GDPR, tra cui:
- Connessioni cifrate (HTTPS/TLS) per tutti gli accessi
- Password hashate con algoritmi sicuri (bcrypt)
- Protezione CSRF su tutti i form e le richieste AJAX
- Separazione completa dei dati per studio (architettura multi-tenant con database isolati)
- Backup automatici con copie cifrate in data center UE separato
- Audit log di tutte le operazioni su dati personali
- Timeout sessione automatico dopo periodo di inattivita'
- Cookie di sessione protetti (HttpOnly, Secure, SameSite)
- Intestazioni di sicurezza HTTP (HSTS, X-Frame-Options, Content-Security-Policy)
10. Notifica violazione dati (Data Breach)
In caso di violazione dei dati personali ai sensi dell'Art. 33 GDPR, SprintIT S.r.l. notifichera' il Cliente senza ingiustificato ritardo e comunque entro 72 ore dal momento in cui ne e' venuta a conoscenza. La notifica includera': descrizione della natura della violazione, categorie e numero approssimativo di interessati coinvolti, probabili conseguenze, misure adottate o proposte.
Il Cliente, in qualita' di Titolare del trattamento, rimane responsabile della notifica all'Autorita' Garante e, ove necessario, agli interessati.
11. Diritti dell'interessato
Gli interessati (pazienti del Cliente) possono esercitare i seguenti diritti rivolgendosi al proprio studio medico (Titolare del trattamento):
- Accesso (Art. 15): ottenere conferma del trattamento e copia dei dati
- Rettifica (Art. 16): correggere dati inesatti o incompleti
- Cancellazione (Art. 17): ottenere la cancellazione dei dati, nei limiti di legge
- Limitazione (Art. 18): limitare il trattamento in determinate circostanze
- Portabilita' (Art. 20): ricevere i dati in formato strutturato e leggibile da dispositivo automatico
- Opposizione (Art. 21): opporsi al trattamento per motivi legittimi
SprintWARE Medical mette a disposizione del Titolare le funzionalita' necessarie per soddisfare le richieste degli interessati: esportazione dati paziente (incluso formato machine-readable), modifica dati anagrafici e clinici, eliminazione schede, consultazione audit trail.
Per i dati relativi al proprio account operatore: assistenza@sprintit.net
L'interessato ha diritto di proporre reclamo al Garante per la protezione dei dati personali (www.garanteprivacy.it).
12. Cookie
SprintWARE Medical utilizza esclusivamente cookie tecnici di sessione, necessari per:
- Autenticazione e mantenimento della sessione utente
- Protezione CSRF (Cross-Site Request Forgery)
I cookie di sessione sono configurati con i flag di sicurezza HttpOnly, Secure e SameSite. Non vengono utilizzati cookie di profilazione, cookie pubblicitari o strumenti di tracciamento di terze parti.
13. Legge applicabile e foro competente
I presenti termini sono regolati dalla legge italiana. Per qualsiasi controversia e' competente in via esclusiva il Foro di Venezia.
14. Responsabile della Protezione dei Dati (DPO)
Avv. Alessandra Donzi
Email: dpo@sprintit.net
Il DPO e' contattabile per qualsiasi questione relativa al trattamento dei dati personali e all'esercizio dei diritti previsti dal GDPR.
15. Contatti
SprintIT S.r.l.
Largo San Giorgio 21/2, 30033 Noale (VE)
Email: assistenza@sprintit.net
Telefono e WhatsApp: (+39) 041.8876323
PEC: sprintitstl@pec.it
Sito web: www.sprintit.net
Assistenza: Lun-Ven 09:00-12:30, 14:30-17:00
Versione documento: 3.0 — I Termini e Condizioni completi e il Contratto sul Trattamento dei Dati (DPA) sono disponibili dopo l'accesso all'applicazione nella sezione Gestione GDPR.