Introduzione e Principi
Sintonia Femminile tratta dati sanitari sensibili relativi al ciclo mestruale. Questa informativa spiega come proteggiamo la tua privacy secondo gli standard più elevati del GDPR e delle normative italiane per la sanità digitale.
La protezione dei tuoi dati personali e sanitari è la nostra priorità assoluta. Sintonia Femminile opera secondo i principi fondamentali del GDPR:
Liceità e Trasparenza
Trattiamo i tuoi dati solo per finalità legittime, con il tuo consenso esplicito per i dati sanitari.
Minimizzazione
Raccogliamo solo i dati strettamente necessari per fornirti il servizio richiesto.
Limitazione della Conservazione
I tuoi dati vengono conservati solo per il tempo necessario agli scopi del trattamento.
Sicurezza by Design
Implementiamo misure di sicurezza tecniche e organizzative all'avanguardia.
Titolare del Trattamento
Titolare del Trattamento
Sintonia Femminile di Federica Venturi
Partita IVA: IT12345678901
Via Brera 15, 20121 Milano, Italia
Email: privacy@sintoniafemminile.it
Responsabile Protezione Dati (DPO)
Per questioni specifiche sulla privacy puoi contattare:
Email DPO: dpo@sintoniafemminile.it
Tempo di risposta garantito: max 30 giorni (GDPR Art. 12)
Categorie di Dati Raccolti
Dati Sanitari (Categoria Speciale GDPR Art. 9)
I seguenti dati sono classificati come "categorie speciali" secondo l'Articolo 9 del GDPR e richiedono misure di protezione rafforzate e il tuo consenso esplicito.
Ciclo Mestruale
- • Date inizio e fine del ciclo
- • Durata e regolarità del ciclo
- • Intensità del flusso mestruale
- • Fase del ciclo (follicolare, ovulatoria, luteale)
Sintomi e Benessere
- • Sintomi fisici (dolori, crampi, mal di testa)
- • Stati emotivi e umore
- • Livelli di energia e stanchezza
- • Qualità del sonno
- • Sintomi della sindrome premestruale (PMS)
Fertilità e Ovulazione
- • Temperatura basale corporea
- • Muco cervicale
- • Risultati test di ovulazione
- • Tentativi di concepimento
Stile di Vita Correlato
- • Attività fisica durante il ciclo
- • Alimentazione e idratazione
- • Stress e gestione emotiva
- • Assunzione di integratori
Dati Personali Regolari (GDPR Art. 6)
Dati di Identificazione
- • Nome e cognome
- • Indirizzo email
- • Data di nascita
- • Numero di telefono (opzionale)
Preferenze Account
- • Impostazioni privacy
- • Preferenze notifiche
- • Lingua dell'interfaccia
- • Fuso orario
Dati di Abbonamento
- • Piano di abbonamento attivo
- • Cronologia pagamenti
- • Metodi di pagamento (tokenizzati)
- • Fatturazione
Dati Tecnici e di Navigazione
Dati di Accesso
- • Indirizzo IP (anonimizzato dopo 24h)
- • User agent e browser
- • Timestamp di accesso
- • Geolocalizzazione approssimativa (paese)
Analytics (con Consenso)
- • Pagine visitate e durata sessioni
- • Interazioni con l'interfaccia
- • Errori e performance
- • Dispositivo e sistema operativo
Finalità del Trattamento
Trattiamo i tuoi dati personali e sanitari esclusivamente per le seguenti finalità:
Servizi Sanitari Primari
- Tracciamento del ciclo mestruale - Registrazione e monitoraggio delle fasi del ciclo per fornire insights personalizzati
- Calcolo archetipi lunari - Analisi dei pattern ciclici per identificare il tuo archetipo femminile predominante
- Raccomandazioni personalizzate - Consigli su nutrizione, attività fisica e benessere basati sui tuoi dati
- Previsioni e alerts - Notifiche per prossime mestruazioni, ovulazione e fasi fertili
Base giuridica: Consenso esplicito (Art. 9.2.a GDPR)
Gestione Account e Servizi
- Creazione e gestione account - Autenticazione, sicurezza e personalizzazione delle impostazioni
- Elaborazione pagamenti - Gestione abbonamenti e transazioni attraverso Stripe (dati tokenizzati)
- Supporto clienti - Assistenza tecnica e risposte alle tue richieste
Base giuridica: Esecuzione del contratto (Art. 6.1.b GDPR)
Miglioramento Servizi (Opzionale)
- Analytics aggregati - Analisi anonimizzate per migliorare l'esperienza utente e le funzionalità
- Ricerca scientifica - Contributo anonimo alla ricerca sulla salute femminile (con consenso separato)
- Marketing personalizzato - Newsletter e comunicazioni rilevanti per i tuoi interessi
Base giuridica: Consenso specifico (Art. 6.1.a GDPR)
Base Giuridica del Trattamento
Il trattamento dei tuoi dati si basa su diverse basi giuridiche previste dal GDPR, a seconda della tipologia di dato e della finalità del trattamento:
Consenso Esplicito per Dati Sanitari (Art. 9.2.a)
Tutti i dati sanitari (ciclo mestruale, sintomi, fertilità) vengono trattati solo ed esclusivamente con il tuo consenso libero, specifico, informato e inequivocabile.
Caratteristiche del consenso:
- • Libero: Nessuna coercizione, ricatto o condizionamento
- • Specifico: Dato per finalità chiaramente determinate
- • Informato: Fornito dopo aver letto questa informativa
- • Inequivocabile: Manifestato con azione positiva chiara
- • Revocabile: Puoi ritirarlo in qualsiasi momento
- • Granulare: Puoi acconsentire solo ad alcune finalità
Interesse Legittimo (Art. 6.1.f)
Per alcune attività utilizziamo l'interesse legittimo come base giuridica, sempre bilanciando i nostri interessi con i tuoi diritti e libertà:
Sicurezza e Frodi
Monitoraggio per prevenire accessi non autorizzati e proteggere la sicurezza dei tuoi dati sanitari.
Interesse prevalente: Sicurezza dati
Analytics Aggregate
Analisi statistiche anonimizzate per migliorare i servizi e l'esperienza utente.
Interesse prevalente: Miglioramento servizio
Il tuo diritto di opposizione: Puoi opporti in qualsiasi momento al trattamento basato su interesse legittimo utilizzando i controlli nella tua dashboard o contattando il nostro DPO.
Conservazione e Cancellazione dei Dati
Conserviamo i tuoi dati solo per il tempo strettamente necessario alle finalità del trattamento:
Dati Sanitari
Durante il Servizio Attivo
- • Dati del ciclo: conservati per tutta la durata dell'abbonamento
- • Insights AI: conservati per 12 mesi dalla generazione
- • Backup sicuri: creati ogni 24 ore con crittografia
Dopo Cessazione Servizio
- • Export dati: Disponibile per 90 giorni
- • Cancellazione automatica: Dopo 3 anni
- • Dati di ricerca: Solo se anonimizzati
Cancellazione immediata su richiesta (Right to Erasure)
Dati Account e Transazioni
Dati Account
- • Profilo utente: 1 anno dopo cancellazione account
- • Log di accesso: 12 mesi per sicurezza
- • Preferenze: cancellate immediatamente
Dati Fatturazione
- • Fatture: 10 anni (obbligo legale italiano)
- • Dati pagamento: mai conservati (tokenizzati su Stripe)
- • Cronologia abbonamenti: 7 anni
Alcuni dati conservati per obblighi legali (Art. 6.1.c GDPR)
Cancellazione automatica: Il nostro sistema cancella automaticamente i dati scaduti ogni mese. Riceverai una notifica 30 giorni prima della cancellazione programmata dei tuoi dati sanitari.
Misure di Sicurezza Healthcare
Implementiamo misure di sicurezza "state-of-the-art" specifiche per la protezione dei dati sanitari, in linea con gli standard internazionali per la sanità digitale:
Crittografia End-to-End
- • Dati in transito: TLS 1.3 per tutte le comunicazioni
- • Dati a riposo: AES-256 per database e backup
- • Chiavi di crittografia: Gestite con AWS KMS
- • Certificati SSL: Extended Validation (EV)
Controllo Accessi
- • Principio least privilege: Accesso minimo necessario
- • Autenticazione multi-fattore: Obbligatoria per lo staff
- • Log degli accessi: Monitoraggio in tempo reale
- • Sessioni temporizzate: Logout automatico
Protezione Infrastruttura
- • Cloud sicuro: Google Cloud Platform (certificato ISO 27001)
- • Firewall avanzato: Web Application Firewall (WAF)
- • Backup automatici: 3-2-1 strategy con test di ripristino
- • Monitoring: Detection anomalie 24/7
Anonimizzazione e Pseudonimizzazione
- • Identificatori univoci: UUID al posto di dati personali
- • IP anonimizzati: Ultimi ottetti rimossi dopo 24h
- • Analytics aggregate: Solo statistiche non riconducibili
- • Ricerca scientifica: Dati completamente anonimizzati
Certificazioni di sicurezza: I nostri fornitori cloud sono certificati ISO 27001, SOC 2 Type II e sono conformi agli standard HIPAA per la protezione dei dati sanitari negli Stati Uniti.
Condivisione con Terze Parti
Non vendiamo mai i tuoi dati sanitari. La condivisione con terze parti è limitata ai seguenti casi specifici, sempre con adeguate garanzie di sicurezza:
Trasferimenti Internazionali
Priorità UE: Tutti i tuoi dati sanitari risiedono esclusivamente in server ubicati nell'Unione Europea per garantire la massima protezione GDPR.
Server Primari
Ubicazione: Germania (Google Cloud Frankfurt)
Tutti i dati sanitari e personali sono conservati esclusivamente in datacenter tedeschi.
Backup
Ubicazione: Paesi Bassi (Google Cloud Amsterdam)
Backup crittografati conservati in datacenter secondario UE per disaster recovery.
CDN Assets
Ubicazione: Multi-region UE
Solo contenuti statici (CSS, JS, immagini) distribuiti via CDN europeo.
Integrazione Google Services
Google OAuth
- • Finalità: Autenticazione sicura
- • Dati condivisi: Solo email e nome
- • Dati sanitari: Mai condivisi
- • Base giuridica: Consenso esplicito
Scope limitati - Solo autenticazione
Google Analytics (Opzionale)
- • Finalità: Analytics aggregati anonimi
- • Dati condivisi: Dati di utilizzo anonimizzati
- • IP masking: Attivo per default
- • Base giuridica: Consenso cookie analytics
Completamente disattivabile
Importante: Google non ha mai accesso ai tuoi dati sanitari del ciclo mestruale. L'integrazione è limitata all'autenticazione e analytics anonimi (opzionali).
Stripe per i Pagamenti
Dati di Pagamento
- • Elaborazione: Stripe Europe (Dublino, Irlanda)
- • Tokenizzazione: Dati carta mai conservati da noi
- • Conformità: PCI DSS Level 1
- • Crittografia: End-to-end per transazioni
Standard bancario internazionale
Dati Fatturazione
- • Nome e indirizzo fatturazione
- • Cronologia transazioni
- • Status abbonamento
- • Nessun dato sanitario mai condiviso
Solo dati necessari per fatturazione
I Tuoi Diritti GDPR
Il GDPR ti garantisce diritti specifici sui tuoi dati personali. Ecco come puoi esercitarli con Sintonia Femminile:
Diritto di Accesso (Art. 15 GDPR)
Cosa puoi ottenere:
- • Copia completa di tutti i tuoi dati
- • Informazioni sulle finalità del trattamento
- • Elenco delle categorie di dati
- • Periodo di conservazione previsto
- • Elenco dei destinatari dei dati
Come richiederlo:
- • Self-service: Dashboard → "I miei dati" → "Esporta"
- • Email: privacy@sintoniafemminile.it
- • Formato: JSON, CSV o PDF
- • Gratuito: Prima richiesta annuale gratuita
- • Tempi: Massimo 30 giorni
Diritto di Rettifica (Art. 16 GDPR)
Dati correggibili:
- • Informazioni profilo (nome, email, data nascita)
- • Dati del ciclo mestruale errati
- • Sintomi registrati incorrettamente
- • Preferenze e impostazioni account
Modalità correzione:
- • Immediata: Modifica diretta in app
- • Assistita: Supporto via chat in app
- • Correzione automatica: Per errori sistematici
- • Verifica: Conferma via email per cambi importanti
Diritto alla Cancellazione "Right to be Forgotten" (Art. 17 GDPR)
Cancellazione completa account:
- • Tutti i dati sanitari del ciclo
- • Profilo utente e impostazioni
- • Cronologia utilizzo app
- • Preferenze e consensi
Cancellazione selettiva:
- • Specifici periodi del ciclo
- • Categorie di sintomi
- • Dati di ricerca (se anonimizzati)
- • Analytics e tracking
Limiti legali: Non possiamo cancellare dati necessari per obblighi legali (es. fatturazione) o per difendere diritti legali in corso. Ti informeremo sempre sui limiti specifici.
Portabilità dei Dati (Art. 20 GDPR)
Dati esportabili:
- • Formato machine-readable: JSON, CSV
- • Dati del ciclo: Date, sintomi, note
- • Insights generati: Archetipi, pattern
- • Impostazioni utente: Preferenze, configurazioni
Trasferimento diretto:
- • API standard: Trasferimento automatizzato
- • Formati comuni: Compatibili con altre app
- • Sicurezza: Trasferimento crittografato
- • Verifica: Conferma identità del ricevente
Diritto di Opposizione (Art. 21 GDPR)
Opposizione a interesse legittimo:
- • Analytics e miglioramento servizio
- • Profilazione per raccomandazioni
- • Rilevamento frodi e sicurezza
- • Comunicazioni marketing
Modalità di opposizione:
- • In app: Impostazioni → Privacy → Consensi
- • Email: privacy@sintoniafemminile.it
- • Granulare: Puoi opporti a singole finalità
- • Effetto immediato: Entro 48 ore
Bilanciamento degli interessi: Valuteremo la tua opposizione bilanciando i tuoi diritti con i nostri interessi legittimi. Ti spiegheremo sempre le ragioni della nostra decisione.
Protezione dei Minori
Attenzione particolare: I dati sanitari dei minori richiedono protezioni speciali secondo il GDPR. Ecco come garantiamo la loro sicurezza.
Minori di 16 anni
- • Consenso genitoriale: Obbligatorio per registrazione
- • Verifica età: Controllo documenti identità
- • Consenso informato: Spiegato in linguaggio comprensibile
- • Controllo parentale: Dashboard per genitori/tutori
- • Diritto di revoca: Genitori possono cancellare account
GDPR Art. 8 - Consenso del minore
Minori 16-18 anni
- • Consenso autonomo: Possono registrarsi indipendentemente
- • Informativa specifica: Linguaggio adatto all'età
- • Protezioni aggiuntive: No profilazione per marketing
- • Supporto dedicato: Assistenza specializzata
- • Transizione maggiore età: Conferma consensi a 18 anni
Protezioni rafforzate
Misure di protezione speciali per minori:
- • Crittografia rafforzata per dati sanitari minori
- • Log degli accessi con allerta per attività sospette
- • Nessuna condivisione con terze parti per finalità commerciali
- • Backup separati con retention period ridotto
- • Interfaccia semplificata e linguaggio age-appropriate
- • Contenuti educativi validati da esperti pediatri
- • Canale di supporto dedicato per emergenze
- • Formazione specifica dello staff per assistenza minori
Gestione Violazioni Dati
In caso di violazione dei dati personali, seguiamo rigorosamente le procedure GDPR per minimizzare i rischi e garantire la massima trasparenza:
Rilevamento (0-1h)
- • Monitoraggio automatico 24/7
- • Alert in tempo reale
- • Attivazione team di emergenza
- • Isolamento sistemi compromessi
Valutazione (1-24h)
- • Analisi forensica dell'incidente
- • Valutazione dati compromessi
- • Stima rischi per gli interessati
- • Documentazione completa
Notifica (24-72h)
- • Notifica all'Autorità Garante
- • Comunicazione agli interessati
- • Informazioni su misure adottate
- • Raccomandazioni di sicurezza
Notifica immediata: Se una violazione può comportare un rischio elevato per i tuoi diritti e libertà (es. dati sanitari compromessi), riceverai una comunicazione diretta entro 24 ore con istruzioni specifiche per proteggere i tuoi dati.
Cosa faremo in caso di data breach:
- • Contenimento immediato: Blocco accessi non autorizzati
- • Ripristino sicurezza: Correzione vulnerabilità
- • Analisi impatto: Valutazione dati compromessi
- • Collaborazione autorità: Piena cooperazione con Garante
- • Comunicazione trasparente: Aggiornamenti regolari
- • Misure compensative: Monitoraggio gratuito identità
- • Miglioramenti sicurezza: Implementazione di nuove protezioni
- • Audit indipendente: Verifica esterna delle correzioni
Modifiche alla Privacy Policy
Questa Privacy Policy può essere modificata nel tempo per riflettere cambiamenti nei nostri servizi o nelle normative. Ecco come gestiamo gli aggiornamenti:
Modifiche Sostanziali
- • Preavviso 30 giorni: Email di notifica a tutti gli utenti
- • Riepilogo modifiche: Spiegazione chiara dei cambiamenti
- • Nuovo consenso richiesto: Per dati sanitari
- • Periodo di transizione: 90 giorni per adeguarsi
- • Diritto di recesso: Cancellazione account gratuita
Modifiche Minori
- • Correzioni tecniche: Aggiornamenti immediati
- • Chiarimenti linguistici: Miglioramenti di leggibilità
- • Aggiornamenti contatti: Nuovi recapiti o indirizzi
- • Notifica in app: Banner informativo
- • Versioning: Tracciamento modifiche nella cronologia
Continuità del servizio: Se non accetti le nuove condizioni, potrai continuare a utilizzare il servizio secondo i termini precedenti per 90 giorni, con la possibilità di esportare tutti i tuoi dati.
Contatti e Reclami
Per esercitare i tuoi diritti o per qualsiasi domanda sulla privacy, puoi contattarci attraverso i seguenti canali:
Contatti Privacy
Data Protection Officer (DPO)
Email: dpo@sintoniafemminile.it
Specializzato in protezione dati sanitari
Tempi di Risposta
Richieste Standard
Risposta entro 30 giorni (GDPR Art. 12)
Richieste Complesse
Estendibili a 60 giorni con notifica motivata
Emergenze di Sicurezza
Risposta immediata entro 2 ore
Reclami all'Autorità
Hai il diritto di presentare reclamo al Garante per la Protezione dei Dati Personali
Supporto multilingue: Il nostro team può rispondere in italiano e inglese. Per richieste in altre lingue, forniremo traduzione professionale entro i termini GDPR.
Gestione Consensi Interattiva
Utilizza il pannello sottostante per gestire i tuoi consensi in modo granulare. Ogni modifica è immediatamente effettiva e viene registrata nei log degli audit.
