Privacy Policy

Ultimo aggiornamento: 27 aprile 2026

La presente informativa descrive le modalità di trattamento dei dati personali degli utenti che utilizzano il servizio MedTransfer, ai sensi degli articoli 13 e 14 del Regolamento UE 2016/679 ("GDPR") e del D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018 ("Codice Privacy").

1. Titolare del trattamento

Il titolare del trattamento dei dati raccolti tramite il sito medtransfer.it e dei servizi correlati è MedTransfer S.r.l. (in corso di costituzione, completamento previsto entro Q3 2026).

Fase pre-costituzione: fino al perfezionamento dell'iscrizione al Registro delle Imprese, opera in qualità di titolare provvisorio il fondatore Gennaro Francesco Landi (codice fiscale fornito su richiesta in sede contrattuale), raggiungibile all'indirizzo [email protected] o, per comunicazioni formali, via PEC una volta attivata. Al momento dell'iscrizione della S.r.l., i ruoli privacy si trasferiranno alla società tramite clausola di cessione del contratto ex Art. 1406 c.c. con accettazione anticipata da parte dei clienti — soluzione giuridicamente più solida della novazione automatica, inclusa nei DPA sottoscritti.

Per richieste relative al trattamento dei dati personali, diritti ex Artt. 15-22 GDPR (accesso, rettifica, cancellazione, limitazione, portabilità, opposizione), e segnalazioni di data breach:

• Email operativa: [email protected]
• Email dedicata privacy: [email protected] (alias in attivazione)
• Vulnerabilità e incident di sicurezza: security.txt

Nota importante sui ruoli privacy: quando MedTransfer e' utilizzato da una struttura sanitaria (clinica, poliambulatorio, studio medico), la struttura opera come Titolare del trattamento dei dati sanitari dei propri pazienti. MedTransfer opera come Responsabile del trattamento ai sensi dell'Art. 28 GDPR, sulla base di un Data Processing Agreement (DPA) sottoscritto con la struttura.

2. Tipologie di dati trattati

2.1 Dati di navigazione

I sistemi informatici e le procedure software preposte al funzionamento di medtransfer.it acquisiscono, nel corso del loro normale esercizio, alcuni dati personali la cui trasmissione è implicita nell'uso dei protocolli di comunicazione di Internet (es. indirizzi IP, browser utilizzato, sistema operativo, date e orari di accesso).

2.2 Dati forniti volontariamente dall'utente

L'invio facoltativo di email, la registrazione e la compilazione di moduli (es. contatti) comportano la raccolta di dati anagrafici e di contatto (nome, email, numero di telefono, denominazione della struttura sanitaria).

2.3 Dati relativi alla salute (categoria particolare ex Art. 9 GDPR)

Quando una struttura sanitaria utilizza il servizio per condividere documenti clinici con i propri pazienti, MedTransfer tratta i dati sanitari (referti medici, immagini diagnostiche, documenti clinici) per conto della struttura nel ruolo di Responsabile del trattamento. Il trattamento avviene esclusivamente nei limiti delle istruzioni fornite dalla struttura titolare e nel rispetto delle misure di garanzia di cui all'Art. 2-septies del Codice Privacy.

3. Finalità e base giuridica del trattamento

• Erogazione del servizio (cliniche): esecuzione del contratto ai sensi dell'Art. 6.1.b GDPR. Trattamento dei dati sanitari su istruzione della struttura titolare ai sensi dell'Art. 9.2.h GDPR e dell'Art. 2-septies del Codice Privacy.
• Accesso del paziente al proprio referto: esecuzione del contratto tra paziente e struttura sanitaria, su mandato di quest'ultima.
• Riscontro a richieste di contatto: legittimo interesse e consenso (Art. 6.1.a/f GDPR).
• Adempimenti di legge: obblighi normativi (Art. 6.1.c GDPR), inclusa la conservazione delle immagini diagnostiche per minimo 10 anni (D.M. 14/02/1997).
• Sicurezza, prevenzione frodi, anti-abuso: legittimo interesse (Art. 6.1.f GDPR).

4. Modalità del trattamento e misure di sicurezza

I dati sono trattati con strumenti elettronici e con misure tecniche e organizzative adeguate al rischio, ai sensi dell'Art. 32 GDPR e dell'Art. 2-septies del Codice Privacy. In particolare:

• Comunicazioni cifrate con TLS/HTTPS
• Crittografia at-rest fornita dal provider cloud (Google Cloud Storage)
• Calcolo di impronte SHA-256 per ogni file caricato
• Autenticazione con password robusta e/o OAuth Google per le strutture
• Verifica con codice OTP via SMS per l'accesso del paziente
• Limitazione tentativi OTP (anti-brute-force) e cooldown invio
• Disponibilità online dei referti limitata nel tempo (default 45 giorni conformemente alle Linee Guida del Garante)
• Possibilità per il paziente di rimuovere la visibilità dei propri referti
• Audit trail di ogni accesso e operazione
• Link di download con scadenza automatica (15 minuti)
• SMS di notifica privi di dettagli clinici

5. Sub-responsabili del trattamento

MedTransfer si avvale dei seguenti sub-responsabili del trattamento, selezionati per garantire un livello adeguato di sicurezza:

• Supabase Inc. (database, autenticazione) — infrastruttura ospitata presso AWS in Francoforte, Germania (regione EU).
• Google LLC — Google Cloud Storage (storage file medici) — regione europe-west6 (Zurigo, Svizzera). La Svizzera dispone di decisione di adeguatezza della Commissione Europea ai sensi dell'Art. 45 GDPR.
• Vercel Inc. (hosting frontend, CDN) — serverless functions eseguite nella regione EU (Francoforte).
• Resend, Inc. (invio email transazionali) — in fase di attivazione.
• Twilio Ireland Limited (invio SMS OTP) — in fase di attivazione.

L'elenco aggiornato dei sub-responsabili e le relative misure adottate per i trasferimenti extra-SEE, ove presenti, sono disponibili su richiesta scrivendo a [email protected].

6. Tempi di conservazione

• Dati di contatto e account: per la durata del rapporto contrattuale e per i 10 anni successivi (obblighi fiscali e di legge).
• Documenti sanitari: minimo 10 anni dalla data di erogazione della prestazione (D.M. 14/02/1997 per le immagini diagnostiche; periodi maggiori per cartelle cliniche secondo Circ. Min. Sanità 1986).
• Disponibilità online dei referti per il paziente: 45 giorni dalla consegna (default conforme alle Linee Guida del Garante "referti online"), salvo diversa configurazione della struttura sanitaria.
• Log di sicurezza e audit: 24 mesi.
• Dati di navigazione anonimizzati: per analisi statistiche aggregate (Vercel Analytics, Speed Insights), senza identificazione dell'utente.

7. Diritti dell'interessato

Ai sensi degli Articoli 15-22 GDPR, l'interessato ha diritto di:

• Accedere ai propri dati personali (Art. 15)
• Richiedere la rettifica dei dati inesatti (Art. 16)
• Richiedere la cancellazione dei dati ("diritto all'oblio", Art. 17), salvo gli obblighi di conservazione previsti dalla legge
• Limitare il trattamento (Art. 18)
• Ricevere i propri dati in formato strutturato e portabile (Art. 20)
• Opporsi al trattamento (Art. 21)
• Non essere sottoposto a decisioni automatizzate (Art. 22)

Per esercitare questi diritti, scrivere a [email protected]. La risposta sara' fornita entro 30 giorni (prorogabili fino a 90 in casi complessi, con notifica all'interessato).

Diritto di reclamo

L'interessato ha sempre diritto di proporre reclamo all'Autorità di controllo nazionale (Garante per la protezione dei dati personali, garanteprivacy.it).

8. Cookie e tecnologie simili

Per informazioni dettagliate sull'uso dei cookie, consultare la nostra Cookie Policy.

9. Modifiche alla presente informativa

MedTransfer si riserva il diritto di aggiornare la presente informativa in qualsiasi momento. La versione corrente, con la data di ultimo aggiornamento, e' sempre disponibile su questa pagina. In caso di modifiche sostanziali, gli utenti registrati riceveranno comunicazione via email.

Versione 1.0 — Data di pubblicazione: 14 aprile 2026