Informativa sulla Privacy
Trattamento dei dati personali ai sensi del GDPR.
Ultimo aggiornamento: 24 aprile 2026·v1.1
1. Titolare del trattamento
Il Titolare del trattamento dei dati personali e` Dario Boni — Libero Professionista (Dario Boni, Medico Chirurgo, Founder & CEOdi VengoIO, iscritto all'Ordine dei Medici Chirurghi e Odontoiatri di Firenze con il n. 15329), con sede legale in Via Piero Cironi 51, 50134 Firenze (FI), Italia. P.IVA IT07066360483 — C.F. BNODRA94C10D612N.
- Email: dario.boni.ldpe@fi.omceo.it
- Privacy: dario.boni.ldpe@fi.omceo.it
- PEC: dario.boni.ldpe@fi.omceo.it
- Responsabile Protezione Dati (DPO): Responsabile Protezione Dati VengoIO, contattabile a dario.boni.ldpe@fi.omceo.it
2. Tipologia di dati raccolti
Dati identificativi
- Nome e cognome
- Data di nascita
- Indirizzo di residenza o domicilio
- Numero di telefono
- Indirizzo email
Dati di utilizzo della piattaforma
- Credenziali di accesso (email e password criptata)
- Cronologia delle prenotazioni e delle ricerche
- Preferenze di utilizzo e impostazioni dell'account
- Log di accesso e dati di navigazione
Dati di geolocalizzazione
Posizione geografica approssimativa (centroide citta/quartiere) fornita volontariamente dall'utente per la ricerca di professionisti nelle vicinanze. Non vengono effettuati tracciamenti GPS ne viene registrata la cronologia degli spostamenti.
Dati sanitari
VengoIO raccoglie dati relativi alla salute esclusivamente quando strettamente necessario alla fornitura del servizio e solo previo consenso esplicito dell'utente. Per maggiori dettagli, consultare l'Informativa sul Trattamento dei Dati Sanitari.
3. Finalita del trattamento
I dati personali degli utenti sono trattati per le seguenti finalita:
- Registrazione e gestione dell'account sulla piattaforma
- Gestione delle prenotazioni di prestazioni sanitarie domiciliari
- Intermediazione del contatto tra paziente e professionista sanitario
- Gestione dei pagamenti e della fatturazione
- Sicurezza della piattaforma, prevenzione frodi e abusi
- Miglioramento dell'esperienza utente e ottimizzazione del servizio
- Adempimento di obblighi di legge, regolamentari e fiscali
4. Base giuridica del trattamento
Il trattamento dei dati personali si fonda sulle seguenti basi giuridiche ai sensi del Regolamento (UE) 2016/679 (GDPR):
- Esecuzione del contratto(art. 6, par. 1, lett. b): per la registrazione, la gestione delle prenotazioni e l'erogazione del servizio di intermediazione
- Consenso(art. 6, par. 1, lett. a): per l'invio di comunicazioni promozionali e per il trattamento di dati non strettamente necessari al servizio
- Obbligo legale (art. 6, par. 1, lett. c): per adempiere a obblighi fiscali, contabili e normativi
- Legittimo interesse (art. 6, par. 1, lett. f): per la sicurezza della piattaforma e la prevenzione di frodi
Il trattamento di dati sanitari (categorie particolari di dati ai sensi dell'art. 9 GDPR) avviene esclusivamente sulla base del consenso esplicito dell'interessato.
5. Conservazione dei dati
I dati personali sono conservati per il tempo strettamente necessario al raggiungimento delle finalita` per le quali sono stati raccolti (art. 5.1.e GDPR — storage limitation) e comunque nel rispetto degli obblighi di legge. Di seguito il dettaglio per categoria:
| Categoria dato | Periodo | Base legale |
|---|---|---|
| Dati identificativi (nome, cognome, email, telefono, CF) | 10 anni post-chiusura account | Obblighi fiscali e conservazione scritture contabili (DPR 600/1973 art. 22; DL 82/2005) |
| Note logistiche prenotazione e riepilogo visita (NON clinici) | Durata del rapporto, poi cancellati/anonimizzati | VengoIO non conserva dati clinici (filtro anti-clinico su note, chat e report). Eventuali dati sanitari restano in carico al professionista, titolare autonomo del trattamento clinico |
| Prenotazioni, fatture, pagamenti | 10 anni | Obblighi IVA (DPR 633/1972) e conservazione elettronica sostitutiva |
| Messaggi chat paziente-professionista (solo logistica) | 30 giorni dall'invio (auto-cancellazione) | Minimizzazione (art. 5.1.c GDPR); la chat è solo coordinamento logistico, nessun dato clinico |
| Documenti verifica albo (foto tesserino, documento identita`) | 30 giorni post-upload | Eliminazione automatica via cron giornaliero + Supabase Storage; solo esito conservato |
| Log accesso (auth login, IP, user-agent) | 12 mesi | Sicurezza sistema, indagini abusi (Provvedimento Garante 27/11/2008) |
| Audit log azioni admin | 10 anni | Accountability (art. 5.2 GDPR) e forensics |
| Backup crittografati database | 90 giorni rolling | Business continuity e disaster recovery; rotazione automatica |
| Recensioni pubbliche | Illimitato finche` il professionista e` attivo | Interesse legittimo piattaforma + paziente autore (anonimizzabile su richiesta) |
| Cookie tecnici di sessione | Fine sessione o max 8 ore (modalita` paziente) | Strettamente necessari (art. 6.1.f + Provvedimento Garante cookie 10/6/2021) |
| Cookie analitici pseudonimizzati (PostHog, previo consenso) | 12 mesi | Consenso (art. 6.1.a); eventi legati all'ID account quando loggato, IP troncato, nessun dato sensibile/sanitario |
Al termine del periodo indicato i dati vengono cancellati o anonimizzati in forma irreversibile. L'utente puo` in qualsiasi momento richiedere la cancellazione anticipata scrivendo a dario.boni.ldpe@fi.omceo.it, fatti salvi gli obblighi legali di conservazione.
6. Diritti degli utenti
Ai sensi degli articoli 15-22 del GDPR, gli utenti hanno diritto di:
- Accesso(art. 15): ottenere conferma dell'esistenza di un trattamento e accedere ai propri dati
- Rettifica(art. 16): ottenere la correzione di dati inesatti o l'integrazione di dati incompleti
- Cancellazione (art. 17): ottenere la cancellazione dei propri dati, nei casi previsti dalla legge
- Limitazione (art. 18): ottenere la limitazione del trattamento in determinate circostanze
- Portabilita (art. 20): ricevere i propri dati in formato strutturato, di uso comune e leggibile da dispositivo automatico
- Opposizione (art. 21): opporsi al trattamento dei propri dati per motivi legittimi
Per esercitare i propri diritti, l'utente può contattare il Titolare a dario.boni.ldpe@fi.omceo.it o il DPO a dario.boni.ldpe@fi.omceo.it. L'utente ha inoltre il diritto di proporre reclamo all'Autorita` Garante per la Protezione dei Dati Personali (www.garanteprivacy.it).
7. Trasferimenti extra-UE
I dati sono conservati principalmente nello Spazio Economico Europeo (infrastruttura Supabase — regione eu-west-1). Alcuni servizi essenziali processano dati al di fuori del SEE, sempre con garanzie adeguate ai sensi degli artt. 44-46 GDPR:
| Destinatario | Finalita` | Dati | Garanzia |
|---|---|---|---|
| Stripe Inc. (USA) | Processamento pagamenti subscription professionisti | Email, nome, dati pagamento (tokenizzati), storico fatture | Clausole Contrattuali Standard (SCC) Commissione UE 2021/914 |
| Stripe Tax (USA) | Calcolo imposte automatic IVA UE (one stop shop) | Ragione sociale, P.IVA, indirizzo fatturazione | SCC + DPA Stripe firmato |
| PostHog Inc. (region EU) | Analytics prodotto, previo consenso (pseudonimizzato) | Eventi UI, pagine visitate, user-agent, ID account se loggato — nessun dato sensibile/sanitario | SCC + DPA + IP truncation |
| Vercel Inc. (USA) | Hosting applicazione, edge network, deploy | Log di accesso, IP, user-agent | Clausole Contrattuali Standard (SCC) + DPA |
| Anthropic PBC (USA) | API Claude per gli agenti AI (matching, verifica, coordinamento, qualità) | Metadata operativi, nessun dato personale in chiaro | SCC + DPA + zero data retention API + opt-out dal training |
| Resend (USA) | Invio email transazionali (conferme, reminder, notifiche) | Email, contenuto del messaggio (template) | SCC + DPA |
| Twilio Inc. (USA) | SMS di verifica telefono e notifiche operative | Numero di telefono, contenuto SMS (template) | SCC + DPA |
| OneSignal Inc. (USA) | Notifiche push browser/mobile | Device token, timezone, preferenze push | SCC + DPA |
Le Clausole Contrattuali Standard (SCC) sono quelle approvate dalla Commissione Europea con Decisione 2021/914. L'elenco dei DPA firmati e` disponibile su richiesta.
8. Modifiche all'informativa
Il Titolare si riserva il diritto di modificare la presente informativa in qualsiasi momento. Le modifiche saranno pubblicate su questa pagina con indicazione della data di ultimo aggiornamento. Si consiglia di consultare periodicamente questa pagina.