1. Titolare del trattamento
Il titolare del trattamento per PappAI è Electric Flock Ltd, società costituita in Inghilterra e Galles (numero di iscrizione 16375990), con sede legale in 27 Old Gloucester Street, Londra, Regno Unito WC1N 3AX.
Richieste in materia di privacy: privacy@pappai.it. Supporto generale: support@pappai.it.
2. Ambito di applicazione della presente informativa
La presente informativa si applica ai dati personali che Electric Flock Ltd tratta in qualità di titolare del trattamento — in particolare, i dati relativi ai professionisti della nutrizione che si registrano o utilizzano la piattaforma PappAI.
PappAI agisce altresì in qualità di responsabile del trattamento quando i professionisti della nutrizione (che operano a loro volta come titolari del trattamento) utilizzano la piattaforma per archiviare e gestire i dati sanitari dei propri pazienti. In tale veste, il trattamento effettuato da noi è disciplinato dal Data Processing Agreement (DPA) stipulato con il professionista e non dalla presente informativa. Il professionista rimane il solo responsabile della liceità del trattamento dei dati dei propri pazienti e della fornitura ai pazienti di adeguate informazioni sulla privacy.
3. Dati personali che raccogliamo sui professionisti
- Dati dell'account: nome, indirizzo e-mail, ruolo professionale e credenziali forniti in fase di registrazione.
- Dati di fatturazione: piano di abbonamento e stato dei pagamenti. I dati delle carte di pagamento vengono trattati direttamente da Stripe e non sono archiviati da Electric Flock Ltd.
- Dati di utilizzo e operativi: timestamp di accesso, interazioni con le funzionalità e segnalazioni di errori necessari per erogare e migliorare il servizio.
- Log di sicurezza e audit: registrazioni degli accessi e log delle interazioni con l'AI conservati per finalità di monitoraggio della sicurezza e conformità normativa.
- Comunicazioni: richieste di assistenza e corrispondenza inviate al nostro team.
4. Finalità e basi giuridiche
| Finalità | Base giuridica (UK GDPR / EU GDPR) |
|---|---|
| Erogazione della piattaforma SaaS e del servizio in abbonamento | Art. 6(1)(b) — esecuzione di un contratto |
| Creazione dell'account e autenticazione | Art. 6(1)(b) — esecuzione di un contratto |
| Fatturazione ed elaborazione dei pagamenti | Art. 6(1)(b) — esecuzione di un contratto; Art. 6(1)(c) — obbligo legale (IVA, contabilità) |
| Monitoraggio della sicurezza, prevenzione degli abusi e audit logging | Art. 6(1)(f) — legittimo interesse (protezione della piattaforma e dei suoi utenti) |
| Miglioramento del servizio e risoluzione di malfunzionamenti | Art. 6(1)(f) — legittimo interesse (miglioramento dell'affidabilità e dell'esperienza utente) |
| Adempimento di obblighi legali e regolamentari | Art. 6(1)(c) — obbligo legale |
Non utilizziamo i tuoi dati per finalità pubblicitarie, per profilazione a scopi di marketing, né per processi decisionali automatizzati che producano effetti giuridici o analogamente significativi.
5. Destinatari e sub-responsabili del trattamento
Condividiamo i dati personali solo nella misura necessaria all'erogazione del servizio. I principali sub-responsabili del trattamento sono:
- Google LLC / Google Ireland Ltd (Firebase Authentication, Firebase Cloud Messaging, Google Cloud Platform, Cloud Run, Cloud Storage, Vertex AI, Google Workspace per consulti video Meet; Google Analytics 4 per l'analisi del sito web pubblico, previo consenso) — autenticazione, infrastruttura, AI, push notifications, videoconferenza.
- Stripe, Inc. — elaborazione dei pagamenti del professionista (SaaS) e dei pagamenti paziente-professionista via Stripe Connect. Stripe agisce come titolare autonomo del trattamento per determinati dati di pagamento ai sensi della normativa applicabile.
Non vendiamo dati personali a terzi. Non condividiamo dati con reti pubblicitarie. L'elenco aggiornato dei sub-responsabili (incluse versioni dei DPA in essere) e' disponibile su richiesta a privacy@pappai.it.
6. Trasferimenti internazionali
Alcuni dei nostri sub-responsabili del trattamento (tra cui Google e Stripe) potrebbero trattare i dati al di fuori del Regno Unito e dello Spazio Economico Europeo. Laddove tali trasferimenti si verifichino, ci avvaliamo di adeguate garanzie:
- Per i trasferimenti dal Regno Unito: il UK International Data Transfer Agreement (IDTA) o il UK Addendum alle EU SCCs.
- Per i trasferimenti dallo SEE: le Clausole Contrattuali Standard (SCCs) della Commissione europea.
- Ove applicabili, le decisioni di adeguatezza adottate dal Segretario di Stato del Regno Unito o dalla Commissione europea.
7. Conservazione dei dati
- Dati dell'account del professionista: conservati per la durata dell'abbonamento e per un massimo di 3 anni dalla chiusura dell'account, al fine di gestire eventuali controversie e adempiere agli obblighi di legge.
- Dati sanitari dei pazienti (Art. 9 GDPR): trattati da PappAI in qualità di responsabile del trattamento per conto del professionista (Titolare). Il periodo di conservazione è stabilito dal professionista in base ai propri obblighi professionali e deontologici e agli obblighi fiscali applicabili; PappAI non opera come archivio di cartelle cliniche né impone autonomamente termini di conservazione clinico-sanitaria. Le modalità sono disciplinate dal Data Processing Agreement (DPA).
- Dati di fatturazione e registrazioni finanziarie: conservati per 10 anni in Italia (Art. 2220 Codice Civile) e per 7 anni nel Regno Unito, nel paese applicabile al singolo titolare/professionista.
- Dati trasmessi al Sistema Tessera Sanitaria: conservati per 10 anni a fini fiscali (Art. 2220 Codice Civile).
8. I tuoi diritti
Ai sensi del UK GDPR e dell'EU GDPR, hai i seguenti diritti in relazione ai tuoi dati personali:
- Diritto di accesso — ottenere una copia dei dati personali che conserviamo su di te.
- Diritto di rettifica — far correggere i dati inesatti.
- Diritto alla cancellazione — richiedere la cancellazione dei tuoi dati, fatti salvi gli obblighi legali di conservazione.
- Diritto alla limitazione del trattamento — limitare le modalità con cui trattiamo i tuoi dati in determinate circostanze.
- Diritto alla portabilità dei dati — ricevere i tuoi dati in un formato strutturato e leggibile da dispositivo automatico.
- Diritto di opposizione — opporsi al trattamento basato sul legittimo interesse.
- Diritto di non essere sottoposto a decisioni automatizzate — non adottiamo decisioni basate esclusivamente su processi automatizzati che producano effetti giuridici o analogamente significativi.
Per esercitare uno qualsiasi di questi diritti, contattaci all'indirizzo privacy@pappai.it. Risponderemo entro un mese. Non addebitiamo alcun costo per le richieste standard.
9. Diritto di reclamo presso un'autorità di controllo
Se sei residente nel Regno Unito, hai il diritto di presentare un reclamo all'Information Commissioner's Office (ICO): ico.org.uk.
Se sei residente nell'Unione Europea, puoi presentare un reclamo all'autorità di controllo del tuo paese di residenza o stabilimento (ad esempio: Garante Privacy in Italia, AEPD in Spagna, CNIL in Francia, BfDI in Germania, CNPD in Portogallo).
Ti invitiamo a contattarci prima, così da poter affrontare direttamente la tua segnalazione.
10. Dati di salute e fitness nell'app mobile (Apple Health / HealthKit)
L'app mobile PappAI è fornita direttamente a te, utente finale, e per i dati descritti in questa sezione Electric Flock Ltd agisce in qualità di titolare del trattamento. Puoi creare il tuo account con e-mail, Google o Sign in with Apple. Previo tuo consenso esplicito, l'app può connettersi ad Apple Health (HealthKit) su iOS — e a piattaforme equivalenti su altri sistemi — per importare i tuoi dati di fitness e le misurazioni corporee così da monitorare i tuoi progressi. Questa connessione è del tutto facoltativa: l'app è pienamente utilizzabile senza, e puoi concedere o revocare l'accesso in qualsiasi momento dalle impostazioni di sistema del dispositivo.
Quando attivi l'integrazione, l'app legge da Apple Health i seguenti dati:
- Peso corporeo
- Conteggio passi ed energia attiva bruciata (calorie)
- Frequenza cardiaca
- Altezza, percentuale di massa grassa e analisi del sonno — solo se concedi l'autorizzazione aggiuntiva facoltativa
Quando registri informazioni in PappAI, e solo se lo consenti, l'app scrive in Apple Health i seguenti dati per mantenere sincronizzati i tuoi registri:
- Peso corporeo che registri nell'app
- Acqua assunta (idratazione) che registri nell'app
I dati di salute e fitness che scegli di condividere vengono inviati ai nostri server (Google Cloud Platform) al solo scopo di fornire le funzionalità di monitoraggio dei progressi nell'app e, qualora tu sia collegato a un professionista della nutrizione, di renderli disponibili a tale professionista all'interno della piattaforma. Trattiamo questi dati sulla base del tuo consenso esplicito (Art. 9(2)(a) UK/EU GDPR) e per l'esecuzione del contratto con te (Art. 6(1)(b)). Non utilizziamo mai i dati di Apple Health (HealthKit) — né alcun altro dato di salute e fitness — per finalità pubblicitarie o di marketing, non li vendiamo e non li condividiamo con terzi per loro finalità. I dati HealthKit sono utilizzati esclusivamente per erogare funzionalità di salute e fitness all'interno di PappAI, in conformità ai requisiti HealthKit di Apple.
Se utilizzi la funzionalità facoltativa di riconoscimento dei pasti tramite AI, la foto del pasto che acquisisci viene elaborata dal nostro sub-responsabile AI (Google Vertex AI) al solo scopo di stimare gli alimenti e i relativi valori nutrizionali presenti nell'immagine. Le foto dei pasti non sono usate per finalità pubblicitarie né per addestrare modelli pubblicitari di terzi; tale trattamento è disciplinato dalla Sezione 5 (sub-responsabili) e dalla Sezione 6 (trasferimenti internazionali).
Puoi disconnettere Apple Health in qualsiasi momento dalle Impostazioni di iOS e puoi richiedere la cancellazione dei dati di salute sincronizzati tramite l'eliminazione dell'account in-app o contattando privacy@pappai.it (vedi Sezione 7 sulla conservazione).
11. Modifiche alla presente informativa
Potremmo aggiornare la presente informativa periodicamente. In caso di modifiche sostanziali, ne daremo comunicazione agli utenti registrati tramite e-mail o avviso in-app con almeno 14 giorni di anticipo rispetto all'entrata in vigore delle modifiche. La versione corrente e la relativa data di efficacia sono indicate in cima a questa pagina.
