Informativa sul Trattamento dei Dati Personali

1. Titolare del Trattamento e Dati di Contatto

Il Titolare del trattamento dei dati personali raccolti attraverso la piattaforma Normachica è: Norma Chica Titolare del marchio Normachica E-mail: privacy@normachica.com Sito web: www.normachica.com Per qualsiasi richiesta relativa al trattamento dei dati personali o all'esercizio dei diritti di cui alla presente informativa, l'interessato può contattare il Titolare ai recapiti sopra indicati.

Il Titolare non ha designato un Responsabile della Protezione dei Dati (DPO), in quanto la nomina non risulta obbligatoria ai sensi dell'art. 37 del GDPR per la tipologia e la scala del trattamento effettuato. Qualora tale valutazione dovesse modificarsi, il presente paragrafo sarà aggiornato con i relativi dati di contatto.

2. Tipologie di Dati Personali Raccolti

Nell'ambito dell'utilizzo della piattaforma Normachica, il Titolare tratta le seguenti categorie di dati personali, ai sensi dell'art. 4 del GDPR:

a) Dati identificativi e di contatto

• Nome e cognome
• Indirizzo e-mail
• Numero di telefono (se fornito)

b) Dati relativi all'utilizzo del servizio

• Storico delle prenotazioni e degli appuntamenti
• Messaggi scambiati tramite la chat interna della piattaforma
• Preferenze e configurazioni del profilo utente

c) Dati particolari (categorie speciali ai sensi dell'art. 9 GDPR)

• Informazioni relative allo stato di benessere fisico e/o psicologico dell'utente
• Cronologia delle sessioni online e relativi contenuti, nella misura in cui rivelino dati attinenti alla salute o ad altri aspetti sensibili della persona

d) Dati finanziari e di pagamento

• Dati relativi alla transazione (importo, data, riferimento) gestiti tramite il servizio di pagamento Stripe. Il Titolare non tratta direttamente i dati della carta di credito/debito; Stripe gestisce i dati di pagamento in conformità allo standard PCI-DSS.

e) Dati tecnici di navigazione

• Indirizzo IP
• Tipo di browser e dispositivo utilizzato
• Cookie tecnici e di sessione
• Log di accesso e utilizzo della piattaforma

3. Finalità del Trattamento

I dati personali raccolti sono trattati per le seguenti finalità:

• Erogazione del servizio: Gestione della registrazione, dell'accesso alla piattaforma, delle prenotazioni e della pianificazione degli appuntamenti.
• Gestione delle sessioni online: Erogazione delle sessioni di benessere emotivo svolte attraverso la piattaforma.
• Comunicazioni di servizio: Invio di conferme di prenotazione, promemoria di appuntamenti e notifiche di servizio.
• Chat interna: Gestione e conservazione dei messaggi scambiati tra utente e professionista tramite la chat della piattaforma, destinata a comunicazioni di natura organizzativa.
• Gestione amministrativa e fiscale: Emissione di ricevute e fatture, adempimento degli obblighi contabili e fiscali.
• Sicurezza della piattaforma: Prevenzione di accessi non autorizzati, frodi e utilizzi illeciti della piattaforma.
• Supporto tecnico: Gestione delle richieste di assistenza degli utenti.

Il Titolare non utilizza i dati personali per finalità di marketing, profilazione commerciale o cessione a terzi per scopi promozionali.

4. Base Giuridica del Trattamento

Il trattamento dei dati personali avviene nel rispetto dei criteri di liceità stabiliti dagli artt. 6 e 9 del GDPR:

• Esecuzione di un contratto (art. 6, par. 1, lett. b) GDPR): il trattamento è necessario per l'erogazione del servizio richiesto dall'utente (prenotazione, sessioni online, gestione dell'account).
• Adempimento di obblighi legali (art. 6, par. 1, lett. c) GDPR): il trattamento è necessario per adempiere agli obblighi fiscali, contabili e normativi applicabili.
• Legittimo interesse del Titolare (art. 6, par. 1, lett. f) GDPR): il trattamento è necessario per garantire la sicurezza della piattaforma e prevenire usi fraudolenti, nella misura in cui tale interesse non pregiudichi i diritti e le libertà dell'interessato.
• Consenso esplicito dell'interessato (art. 9, par. 2, lett. a) GDPR): per il trattamento dei dati particolari relativi allo stato di salute e al benessere dell'utente (es. contenuti delle sessioni, informazioni anamnestiche). Tale consenso è revocabile in qualsiasi momento senza pregiudicare la liceità del trattamento effettuato prima della revoca.

5. Destinatari e Categorie di Destinatari

I dati personali degli interessati possono essere comunicati, esclusivamente per le finalità indicate nella presente informativa, alle seguenti categorie di soggetti che agiscono in qualità di Responsabili del trattamento ai sensi dell'art. 28 del GDPR:

• Stripe, Inc. — Responsabile del trattamento (servizi di pagamento) — dati di transazione e di pagamento.
• Brevo (ex SendinBlue) — Responsabile del trattamento (e-mail transazionali) — nome, indirizzo e-mail, dati di comunicazione.
• Vercel, Inc. — Responsabile del trattamento (hosting e infrastruttura) — dati tecnici, log di accesso.
• Supabase, Inc. — Responsabile del trattamento (database e backend) — tutti i dati presenti nella piattaforma.

I dati personali non vengono ceduti, venduti o comunicati a terzi per finalità commerciali o promozionali. Il Titolare si avvale dei suddetti fornitori esclusivamente per garantire il funzionamento tecnico e operativo della piattaforma, stipulando con ciascuno di essi idonei accordi sul trattamento dei dati ai sensi dell'art. 28 del GDPR.

Potranno altresì accedere ai dati le autorità pubbliche competenti nei casi previsti dalla legge.

6. Trasferimento dei Dati verso Paesi Terzi

Alcuni dei fornitori tecnici sopra elencati (in particolare Stripe e Vercel) hanno sede negli Stati Uniti d'America e potrebbero trattare i dati personali degli utenti al di fuori dello Spazio Economico Europeo (SEE). Tali trasferimenti sono effettuati nel rispetto delle garanzie previste dall'art. 46 del GDPR e, ove applicabile, sulla base della decisione di adeguatezza della Commissione europea relativa al Data Privacy Framework UE-USA (adottata il 10 luglio 2023), che riconosce un livello di protezione adeguato per i trasferimenti verso le organizzazioni statunitensi aderenti a tale framework. Supabase opera su infrastruttura con sede nell'Unione Europea. L'interessato ha il diritto di ottenere copia delle garanzie adottate per i trasferimenti verso paesi terzi, contattando il Titolare ai recapiti indicati nella Sezione 1.

7. Periodo di Conservazione dei Dati

I dati personali sono conservati per il tempo strettamente necessario al conseguimento delle finalità per cui sono stati raccolti, nel rispetto dei seguenti criteri:

• Dati identificativi e del profilo utente: per tutta la durata del rapporto contrattuale e fino a 2 anni dalla chiusura dell'account.
• Cronologia delle sessioni online: 5 anni dalla data di svolgimento della sessione.
• Messaggi della chat interna: 3 anni dall'ultimo messaggio scambiato.
• Dati fiscali e contabili (fatture, ricevute): 7 anni, in ottemperanza agli obblighi di legge in materia fiscale.
• Log tecnici di navigazione e accesso: 12 mesi dalla raccolta.
• Dati di pagamento (riferimenti transazionali): 7 anni, in ottemperanza agli obblighi normativi applicabili.

Decorsi i termini sopra indicati, i dati saranno cancellati o resi anonimi in modo irreversibile, salvo che sia necessaria una conservazione più prolungata per adempiere a obblighi di legge, per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria.

8. Diritti dell'Interessato (ARCO-POL)

Ai sensi dell'art. 13, par. 2, lett. b) del GDPR, l'interessato ha il diritto di:

• Accesso (art. 15 GDPR): ottenere la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e, in tal caso, ottenerne copia.
• Rettifica (art. 16 GDPR): ottenere la correzione di dati inesatti o l'integrazione di dati incompleti.
• Cancellazione — diritto all'oblio (art. 17 GDPR): ottenere la cancellazione dei dati personali, nei casi previsti dalla normativa.
• Limitazione del trattamento (art. 18 GDPR): ottenere la limitazione del trattamento nei casi previsti dalla normativa.
• Portabilità dei dati (art. 20 GDPR): ricevere in formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali forniti, e trasmetterli a un altro titolare del trattamento.
• Opposizione (art. 21 GDPR): opporsi in qualsiasi momento al trattamento dei propri dati personali fondato sul legittimo interesse del Titolare.
• Revoca del consenso (art. 7, par. 3 GDPR): revocare in qualsiasi momento il consenso prestato per il trattamento dei dati particolari, senza che ciò pregiudichi la liceità del trattamento effettuato prima della revoca.

Per esercitare uno o più dei diritti sopra elencati, l'interessato può inviare una richiesta scritta al Titolare tramite i recapiti indicati nella Sezione 1, oppure modificare le impostazioni nel proprio profilo sulla piattaforma. Il Titolare risponderà senza ingiustificato ritardo e, in ogni caso, entro 30 giorni dalla ricezione della richiesta.

9. Diritto di Reclamo

Ai sensi dell'art. 13, par. 2, lett. d) del GDPR, l'interessato ha il diritto di proporre reclamo all'autorità di controllo competente in materia di protezione dei dati personali. A seconda del paese di residenza dell'interessato, le autorità competenti sono:

• Spagna — Agencia Española de Protección de Datos (AEPD): www.aepd.es
• Italia — Garante per la protezione dei dati personali: www.garanteprivacy.it
• Austria — Datenschutzbehörde (DSB): www.dsb.gv.at

L'interessato può altresì rivolgersi all'autorità di controllo dello Stato membro in cui risiede abitualmente o lavora, o dello Stato membro in cui si è verificata la presunta violazione.

10. Natura del Conferimento dei Dati

Ai sensi dell'art. 13, par. 2, lett. e) del GDPR, si specifica quanto segue:

• La comunicazione dei dati identificativi, di contatto e di pagamento costituisce un requisito contrattuale necessario per la fruizione del servizio offerto dalla piattaforma Normachica. Il mancato conferimento di tali dati comporta l'impossibilità di procedere alla registrazione, alla prenotazione di sessioni e all'utilizzo della piattaforma.
• La comunicazione dei dati particolari relativi allo stato di salute e di benessere è volontaria e subordinata al consenso esplicito dell'interessato. Il mancato conferimento di tali dati potrebbe limitare la personalizzazione del servizio erogato, ma non pregiudicherà l'accesso alle funzionalità base della piattaforma.
• La comunicazione dei dati fiscali necessari per l'emissione di fatture costituisce un obbligo legale; il mancato conferimento impedisce l'adempimento degli obblighi normativi applicabili.

11. Sicurezza e Modalità del Trattamento

Il Titolare adotta misure tecniche e organizzative adeguate per garantire un livello di sicurezza proporzionato ai rischi derivanti dal trattamento, in particolare:

• Cifratura delle comunicazioni: tutte le sessioni online e le trasmissioni di dati avvengono mediante protocolli crittografici (TLS/HTTPS), al fine di proteggere i dati in transito da accessi non autorizzati.
• Sicurezza del database: i dati archiviati sono soggetti a misure di sicurezza a livello di infrastruttura, inclusi controlli di accesso basati sui ruoli (RBAC), cifratura dei dati a riposo (AES-256) e politiche di sicurezza a livello di riga (Row Level Security).
• Messaggistica interna: i messaggi scambiati tramite la chat interna della piattaforma sono accessibili esclusivamente alle parti coinvolte nella conversazione e al Titolare per finalità di assistenza tecnica e sicurezza.
• Accesso limitato: l'accesso ai dati personali è riservato al solo personale autorizzato e ai responsabili del trattamento contrattualmente vincolati, nei limiti strettamente necessari all'esercizio delle rispettive funzioni.
• Gestione delle vulnerabilità: il Titolare effettua verifiche periodiche della sicurezza della piattaforma e adotta le misure correttive necessarie in caso di identificazione di vulnerabilità.

In caso di violazione dei dati personali (data breach) che possa comportare un rischio per i diritti e le libertà degli interessati, il Titolare si impegna a notificare l'evento all'autorità di controllo competente entro 72 ore e, ove necessario, agli interessati, nei termini previsti dagli artt. 33 e 34 del GDPR.

11.1 Cookie

La piattaforma utilizza esclusivamente cookie tecnici essenziali per il funzionamento del servizio (autenticazione e gestione della sessione). Non vengono utilizzati cookie di profilazione, tracciamento o di terze parti per finalità pubblicitarie. Non è quindi necessario un banner di consenso cookie ai sensi della direttiva 2002/58/CE.

11.2 Chat Interna

La piattaforma mette a disposizione una funzione di messaggistica interna tra cliente e terapeuta assegnato, destinata esclusivamente a comunicazioni di natura organizzativa (orari, spostamenti, condivisione documenti, promemoria). In particolare:

• La chat non è destinata a contenuti di natura clinica. Le comunicazioni cliniche devono avvenire esclusivamente durante le sessioni programmate. Un avviso permanente è sempre visibile nell'interfaccia della chat.
• I messaggi sono accessibili esclusivamente al mittente e al destinatario. Il personale amministrativo può accedere ai messaggi solo per finalità di supporto tecnico e in presenza di una giustificazione documentata.
• In caso di messaggi non letti da oltre 24 ore, il sistema invia un'email di notifica all'utente. L'utente può gestire le proprie preferenze di notifica dal proprio profilo.
• I messaggi sono protetti da crittografia in transito (TLS) e a riposo (AES-256 a livello di infrastruttura). L'accesso è controllato da politiche di sicurezza a livello di riga (Row Level Security).

11.3 Sessioni Online

Le sessioni possono svolgersi tramite videochiamata. Per garantire la privacy degli utenti:

• Le sessioni video utilizzano connessioni crittografate.
• Le sessioni non vengono registrate dalla piattaforma.
• Si raccomanda di partecipare alle sessioni da un luogo privato e con una connessione sicura.
• Il link della sessione non deve essere condiviso con terzi.

12. Consenso e Dichiarazioni

Ai sensi dell'art. 9, par. 2, lett. a) del GDPR, l'utilizzo della piattaforma richiede i seguenti consensi, gestiti attraverso l'interfaccia della piattaforma:

• Consenso al trattamento dei dati particolari (art. 9 GDPR): il trattamento dei dati relativi allo stato di salute e di benessere richiede il consenso esplicito dell'interessato. Il consenso è facoltativo e revocabile in qualsiasi momento.
• Presa d'atto della comunicazione a responsabili del trattamento: i dati personali saranno comunicati ai responsabili del trattamento indicati nella Sezione 5 per le finalità di funzionamento della piattaforma.
• Dichiarazione di lettura e comprensione: l'utente dichiara di aver letto e compreso la presente informativa, di essere stato adeguatamente informato circa le finalità, le modalità e la base giuridica del trattamento, nonché circa i propri diritti e le modalità per esercitarli.

I consensi possono essere gestiti e revocati in qualsiasi momento dalla sezione Privacy del proprio profilo sulla piattaforma.

13. Modifiche e Disposizioni Finali

La presente informativa è resa in conformità a quanto disposto dall'art. 13 del Regolamento (UE) 2016/679 e può essere aggiornata dal Titolare in caso di modifiche normative o operative. La versione vigente è sempre disponibile sulla piattaforma Normachica. In caso di modifiche sostanziali che incidano sul trattamento dei dati, il Titolare informerà gli interessati tramite email o notifica sulla piattaforma e, ove necessario, richiederà nuovamente il consenso. Il Titolare del trattamento Norma Chica — Normachica