Salta al contenuto principale

Privacy Policy

Informativa sul trattamento dei dati personali ai sensi degli artt. 13 e 14 del Regolamento UE 2016/679 (GDPR) e del D.lgs. 196/2003 (Codice Privacy).

Versione 2026.05 — ultimo aggiornamento: 29 aprile 2026

Art. 1 — Titolare del trattamento

Il Titolare del trattamento dei dati personali è:

Marco Panizza

Email: privacy@osslangheroero.it

PEC: marcopanizza@postecertifica.it

Il Titolare opera quale persona fisica in qualità di gestore della piattaforma digitale Ottimizzazione Servizi Sanitari Langhe Roero (OSSLR), accessibile all'indirizzo www.osslangheroero.it.

Art. 2 — Ambito di applicazione

La presente informativa si applica a tutti gli utenti della Piattaforma, in particolare:

  • Clienti — persone fisiche che pubblicano richieste di servizi di cura, assistenza e supporto;
  • Professionisti — persone fisiche che si candidano alle richieste e offrono prestazioni;
  • Aziende — persone giuridiche (cooperative, associazioni, consorzi, S.r.l. o altre forme) che gestiscono propri Professionisti attraverso la Piattaforma.

Art. 3 — Tipologia di dati trattati

3.1 Dati comuni

In funzione del ruolo ricoperto dall'utente, sono trattati i seguenti dati, effettivamente raccolti dai form della Piattaforma:

Cliente— in fase di registrazione: nome, cognome, email, codice fiscale, data e luogo di nascita, sesso. In fase di pubblicazione di una richiesta: comune e provincia di erogazione, CAP, giorni della settimana e fascia oraria desiderata, frequenza (una tantum, occasionale, settimanale, quotidiana, mensile), professione richiesta, eventuale data di inizio, note organizzative testuali. Non viene richiesto l'indirizzo completo dell'abitazione.

Professionista— in fase di registrazione: nome, cognome, email, codice fiscale, data e luogo di nascita, sesso. In fase di completamento profilo: professione e tipo di credenziale (iscrizione albo oppure attestato); per chi è iscritto a un albo: numero di iscrizione e ordine provinciale; per chi è in possesso di un attestato: estremi dell'attestato (numero, ente di rilascio, anno, indirizzo dell'ente, comune, CAP, provincia); eventuali titoli aggiuntivi. Strutture di lavoro (denominazione, tipo, indirizzo, eventuale telefono, orari) e contatti pubblici opt-in (es. telefono, email pubblica, sito web). Caratteristiche operative (servizi offerti, comuni dove è disponibile a operare). Tariffe indicative ed eventuali presenze digitali pubbliche, gestite come opzioni di vetrina. Partita IVA e regime fiscale (se dichiarati, opzionali). Non viene richiesto l'indirizzo di casa, né anni di esperienza, né estremi della copertura assicurativa professionale (la cui titolarità resta esclusivamente del Professionista).

Azienda— in fase di registrazione e completamento profilo: tipologia (Ente pubblico, Azienda privata, Consorzio), denominazione, ragione sociale, partita IVA, codice fiscale dell'organizzazione, PEC, email, telefono, eventuale codice destinatario per la fatturazione elettronica. Sede legale (via, numero civico, CAP, comune, provincia). Eventuali note. Dati del referente persona fisica che si registra per conto dell'Azienda: nome, cognome, telefono, email.

3.2 Dati tecnici

  • indirizzo IP (anonimizzato dopo 90 giorni);
  • user agent del browser;
  • log accessi e timestamp delle azioni rilevanti;
  • eventuali errori applicativi raccolti tramite il sistema di monitoraggio (vedi Art. 9).

3.3 Dati relativi all'attività sulla Piattaforma

  • richieste pubblicate dal Cliente;
  • candidature inviate dai Professionisti;
  • messaggi scambiati tra utenti tramite il sistema di chat interna;
  • snapshot immutabili degli Accordi conclusi (Riepilogo Accordo PDF firmato dalle parti).

3.4 Dati relativi alla salute (clausola critica)

La Piattaforma:

  • non richiede dati sanitari strutturati;
  • non struttura dati sanitari in cartelle cliniche, fascicoli sanitari elettronici o equivalenti;
  • non effettua trattamenti sanitari organizzati né refertazione.

Tuttavia, gli utenti possono inserire volontariamente informazioni relative alla salute nei pochi campi testuali liberi disponibili (note organizzative della richiesta, messaggi scambiati con il Professionista). L'utente è invitato a NON inserire dati sanitari più dettagliati di quanto strettamente necessario alla valutazione del servizio richiesto.

Art. 4 — Qualificazione del trattamento di dati sanitari

4.1 Qualora vengano inseriti dati relativi alla salute (cfr. Art. 3.4):

  • il Cliente e il Professionista operano quali titolari autonomi del trattamento ai sensi dell'art. 4, n. 7, GDPR;
  • il Titolare della Piattaforma non determina finalità né mezzi del trattamento dei dati sanitari scambiati direttamente fra le parti.

4.2 Il Titolare della Piattaforma non è responsabiledel trattamento di dati sanitari effettuato in autonomia tra utenti. Restano fermi gli obblighi di segreto professionale gravanti sul Professionista e i diritti dell'interessato previsti dal GDPR.

4.3Qualora il servizio sia richiesto dal Cliente per un familiare o terzo soggetto assistito, il Cliente è tenuto, ai sensi dell'art. 14 GDPR, ad aver previamente informato l'interessato del trattamento dei suoi dati o ad informarlo prima dell'eventuale inserimento di informazioni che lo riguardino nei campi testuali della Piattaforma.

Art. 5 — Finalità del trattamento

I dati sono trattati per le seguenti finalità:

  1. Registrazione e gestione dell'account — creazione del profilo, autenticazione, modifica dati anagrafici e professionali.
  2. Funzionamento della Piattaforma — pubblicazione richieste, gestione candidature, generazione degli Accordi.
  3. Comunicazione tra utenti — sistema di messaggistica interna, notifiche transazionali via email relative al ciclo di vita di una richiesta.
  4. Sicurezza e prevenzione abusi — protezione anti-bot, monitoraggio errori applicativi, log delle operazioni rilevanti, gestione segnalazioni.
  5. Adempimenti di legge — eventuali obblighi normativi, fiscali, contabili o di cooperazione con le autorità competenti.

Art. 6 — Base giuridica

Il trattamento dei dati comuni si fonda su:

  • art. 6.1.b GDPR— esecuzione del contratto o di misure precontrattuali richieste dall'interessato (registrazione, funzionamento del servizio, comunicazioni transazionali);
  • art. 6.1.f GDPR — legittimo interesse del Titolare alla sicurezza della Piattaforma e alla prevenzione di abusi e frodi (anti-bot, monitoraggio errori, anti-duplicazione codice fiscale);
  • art. 6.1.c GDPR — adempimento di obblighi di legge.

Per i dati relativi alla salute eventualmente inseriti dall'utente la base giuridica è:

  • art. 9.2.a GDPR— consenso esplicito dell'interessato che li inserisce volontariamente nei campi liberi della Piattaforma.

Art. 7 — Modalità del trattamento

Il trattamento avviene mediante strumenti elettronici e archiviazione su database PostgreSQL gestito da Supabase (Francoforte, Germania — area UE). Sono adottate misure tecniche e organizzative adeguate, tra cui:

  • cifratura in transito (HTTPS / TLS 1.3);
  • cifratura a riposo (AES-256 sui dischi);
  • Row Level Security (RLS): ogni utente accede esclusivamente ai propri dati;
  • autenticazione tramite OTP via email e password con hash sicuri (scrypt);
  • log accessi e log delle operazioni amministrative;
  • protezione anti-bot tramite Cloudflare Turnstile sui form pubblici;
  • backup automatici giornalieri con retention 7 giorni;
  • controllo accessi a livello di codice e di infrastruttura, segregazione degli ambienti.

Art. 8 — Conservazione dei dati

  • Account attivo: per tutta la durata dell'utilizzo della Piattaforma.
  • Account dopo cancellazione: 90 giorni in stato "disattivato", poi cancellazione definitiva.
  • Codice fiscale post-cancellazione: fino a 5 anni con finalità antifrode (impedire reiscrizioni multiple della stessa persona).
  • Snapshot Accordi: 10 anni per finalità di difesa in giudizio (art. 2946 c.c.).
  • Log accessi: fino a 12 mesi.
  • Log errori applicativi: 30 giorni.
  • Email transazionali: 30 giorni nei log del provider.

Art. 9 — Destinatari dei dati

I dati possono essere trattati dai seguenti fornitori di servizi tecnici, in qualità di Responsabili del trattamento ai sensi dell'art. 28 GDPR:

FornitoreServizioSede / Trasferimento dati
Supabase Inc.Database, autenticazione, file storageUE (Francoforte, DE)
Vercel Inc.Hosting applicazione webUSA — Data Privacy Framework UE-USA
Sendinblue (Brevo)Invio email transazionaliUE (Parigi, FR)
Cloudflare Inc.Anti-bot (Turnstile), CDNUE (storage europeo selezionato)
Functional Software Inc. (Sentry)Monitoraggio errori applicativiUE (Francoforte, DE)

Tutti i fornitori operano nel rispetto del GDPR e degli accordi di trattamento dati ex art. 28 GDPR. L'elenco completo dei sub-responsabili è disponibile su richiesta.

Art. 10 — Trasferimento dei dati al di fuori dell'Unione Europea

Eventuali trasferimenti di dati personali verso paesi terzi avvengono nel rispetto del Capo V GDPR, in particolare tramite:

  • clausole contrattuali standard (SCC) approvate dalla Commissione Europea;
  • Data Privacy Framework UE-USA, applicabile ai trasferimenti verso fornitori certificati statunitensi (es. Vercel Inc.).

Art. 11 — Diritti dell'interessato

Ai sensi degli artt. 15-22 GDPR, l'utente può esercitare in qualsiasi momento i seguenti diritti:

  • accesso ai propri dati personali (art. 15);
  • rettifica di dati inesatti o aggiornamento di dati obsoleti (art. 16);
  • cancellazionedei propri dati ("diritto all'oblio", art. 17), con le eccezioni previste dalla legge;
  • limitazione del trattamento (art. 18);
  • opposizione al trattamento basato sul legittimo interesse (art. 21);
  • portabilità: ricezione dei dati in formato strutturato e leggibile (art. 20);
  • revoca del consenso in qualsiasi momento, senza pregiudicare la liceità del trattamento effettuato fino a quel momento.

Le richieste possono essere indirizzate al Titolare all'indirizzo privacy@osslangheroero.it, specificando nell'oggetto "OSSLR — Esercizio diritti GDPR". Il Titolare risponderà entro 30 giorni come previsto dall'art. 12.3 GDPR.

Art. 12 — Diritto di reclamo

È sempre fatto salvo il diritto dell'interessato di proporre reclamo all'Autorità di controllo:

Garante per la Protezione dei Dati Personali

Piazza Venezia n. 11, 00187 Roma

www.garanteprivacy.it

Art. 13 — Sicurezza

Il Titolare adotta misure tecniche e organizzative adeguate per prevenire:

  • accessi non autorizzati ai dati;
  • perdita, distruzione o alterazione accidentale dei dati;
  • uso illecito o non conforme alle finalità dichiarate.

In caso di violazione di dati personali (data breach) il Titolare provvederà alla notifica al Garante entro 72 ore e, ove previsto dall'art. 34 GDPR, alla comunicazione all'interessato.

Art. 14 — Limitazione di responsabilità

Nei limiti di legge il Titolare non è responsabile per:

  • dati inseriti dagli utenti, ivi inclusi dati sanitari comunicati nei campi liberi o nei messaggi della chat interna;
  • utilizzo improprio della Piattaforma da parte degli utenti in violazione dei Termini di Servizio;
  • trattamenti effettuati autonomamente tra utenti al di fuori della Piattaforma, in qualità di titolari autonomi (cfr. Art. 4).

Art. 15 — Modifiche all'informativa

La presente informativa può essere aggiornata in conseguenza di evoluzioni normative, tecniche o organizzative del servizio. La versione vigente è sempre accessibile su questa pagina e identificata da numero di versione e data di ultimo aggiornamento. Le modifiche sostanziali saranno comunicate via email agli utenti registrati con congruo preavviso.

Art. 16 — Documenti correlati