0. Premessa e ambito di applicazione
Questa Privacy Policy descrive come Preload Srl ("Preload", "noi"), fornitore del software Vesalya ("Vesalya" o il "Servizio"), tratta i dati personali nell'ambito dell'erogazione del Servizio.
Vesalya è un software SaaS B2B destinato esclusivamente a professionisti sanitari, odontoiatri e strutture sanitarie autorizzate ("Cliente" o "Struttura Cliente") come supporto assistivo alla revisione radiografica odontoiatrica. Vesalya non effettua diagnosi autonome, non sostituisce il giudizio clinico del dentista e non è rivolto a pazienti finali come controparte contrattuale. La valutazione e la decisione clinica finale restano sempre in capo al professionista sanitario che utilizza il Servizio; gli output generati con l'ausilio dell'intelligenza artificiale costituiscono un supporto alla revisione, non un referto autonomo definitivo.
Questa policy si applica: (a) al sito pubblico vesalya.com, (b) all'applicazione app.vesalya.com / customers.vesalya.com, e (c) ai dati trattati nell'ambito del rapporto contrattuale con la Struttura Cliente.
Due piani di trattamento distinti
È essenziale distinguere due piani di trattamento, con ruoli privacy differenti:
Dati di account, fatturazione e uso della piattaforma (dati del Cliente business e dei suoi utenti autorizzati — es. referenti, staff amministrativo, utenti applicativi): per questi dati Preload Srl agisce come Titolare autonomo del trattamento nei confronti del Cliente e dei suoi utenti autorizzati, per le finalità descritte alla Sezione 2.
Dati clinici e dati dei pazienti caricati nella piattaforma dal Cliente per l'erogazione del Servizio (es. immagini radiografiche, referti, dati identificativi del paziente eventualmente presenti nei file caricati): per questi dati il Cliente è Titolare del trattamento e Preload Srl agisce come Responsabile del trattamento ai sensi dell'art. 28 GDPR, sulla base delle istruzioni documentate del Cliente. Il dettaglio di questo rapporto (istruzioni, sub-responsabili autorizzati, misure di sicurezza, gestione data breach, cancellazione/restituzione dei dati a fine rapporto) è disciplinato dal Data Processing Agreement (DPA) — vedi documento collegato — e non viene duplicato in questa policy.
1. Titolari del trattamento
| Ambito | Titolare | Ruolo di Preload Srl |
|---|---|---|
| Dati di account, fatturazione, uso piattaforma, log tecnici del Cliente e dei suoi utenti | Preload Srl | Titolare autonomo |
| Dati clinici e dati dei pazienti caricati dal Cliente | Il Cliente (struttura/professionista sanitario) | Responsabile del trattamento ex art. 28 GDPR (vedi DPA) |
Dati di navigazione del sito pubblico vesalya.com (visitatori non ancora clienti) |
Preload Srl | Titolare autonomo |
Preload Srl, Viale del Cansiglio 41, 31029 Vittorio Veneto (TV), Italia — REA TV-460619 — P.IVA/CF 05629980268.
2. Finalità e basi giuridiche del trattamento (Preload Srl come Titolare)
| Categoria di dati | Finalità | Base giuridica (art. 6 GDPR) |
|---|---|---|
| Dati identificativi e di contatto del referente/utente aziendale (nome, email, ruolo, telefono) | Creazione e gestione dell'account, erogazione del Servizio, comunicazioni contrattuali | Art. 6(1)(b) — esecuzione di un contratto o misure precontrattuali |
| Dati aziendali del Cliente (ragione sociale, P.IVA, indirizzo legale, tipologia struttura) | Onboarding contrattuale, fatturazione, adempimenti fiscali | Art. 6(1)(b) e Art. 6(1)(c) — obbligo legale (es. normativa fiscale) |
| Dati di fatturazione e transazioni (gestiti tramite il fornitore di pagamento Stripe — vedi Sezione 5) | Gestione abbonamenti, pagamenti, rinnovi | Art. 6(1)(b) e Art. 6(1)(c) |
| Credenziali di accesso e log di autenticazione (sessione, indirizzo IP, timestamp login) | Sicurezza dell'account, prevenzione di accessi non autorizzati | Art. 6(1)(f) — legittimo interesse a garantire la sicurezza del Servizio |
| Log tecnici e di sicurezza applicativa (audit log, log anti-abuso) | Sicurezza del Servizio, prevenzione frodi, diagnosi di incidenti | Art. 6(1)(f) — legittimo interesse |
| Dati di supporto clienti (contenuto delle richieste di assistenza) | Gestione delle richieste di supporto | Art. 6(1)(b) |
| Dati di navigazione del sito pubblico e statistiche aggregate (Google Analytics 4) | Misurazione statistica dell'utilizzo del sito, solo per utenti che prestano consenso | Art. 6(1)(a) — consenso, raccolto tramite banner cookie (vedi Cookie Policy) |
| Comunicazioni di marketing (newsletter, comunicazioni commerciali) | Invio di comunicazioni promozionali | Art. 6(1)(a) — consenso esplicito e separato, mai desunto da altri consensi contrattuali |
Il consenso al marketing è sempre facoltativo, separato dal consenso necessario per l'erogazione del Servizio, e revocabile in qualsiasi momento senza pregiudicare l'uso del Servizio stesso.
3. Dati particolari (dati sanitari) — trattamento come Responsabile per conto del Cliente
I dati clinici caricati in piattaforma dal Cliente — inclusi, a titolo esemplificativo, immagini radiografiche odontoiatriche, referti, output generati dall'analisi assistita da intelligenza artificiale, ed eventuali dati identificativi del paziente presenti nei file caricati — costituiscono categorie particolari di dati personali ai sensi dell'art. 9 GDPR (dati relativi alla salute).
Per questi dati:
- il Cliente è Titolare del trattamento ed è responsabile di individuare la base giuridica e la condizione di liceità applicabile ai sensi degli artt. 6 e 9 GDPR (tipicamente la finalità di cura, il consenso del paziente o altra base prevista dalla normativa sanitaria applicabile), nonché di fornire l'informativa dovuta ai propri pazienti;
- Preload Srl agisce come Responsabile del trattamento ai sensi dell'art. 28 GDPR, operando esclusivamente su istruzione documentata del Cliente, nei limiti e con le garanzie definite nel DPA;
- gli output generati dall'analisi assistita da intelligenza artificiale su tali dati (possibili reperti, pattern rilevati) costituiscono un supporto alla revisione clinica e non un referto o una diagnosi definitiva. Il clinico titolare del caso mantiene sempre la valutazione e la decisione finale.
- i dati clinici/dei pazienti caricati dal Cliente non vengono utilizzati per l'addestramento generale (training) dei modelli di intelligenza artificiale di Preload Srl, salvo che sia stato stipulato un accordo separato, specifico e documentato con il Cliente per tale finalità. In assenza di tale accordo, tali dati sono trattati esclusivamente per erogare il Servizio richiesto dal Cliente (analisi del singolo caso caricato).
Per il dettaglio di istruzioni, misure di sicurezza, sub-responsabili coinvolti nel trattamento dei dati clinici, gestione dei data breach e modalità di cancellazione/restituzione dei dati a fine rapporto, si rimanda integralmente al DPA.
4. Categorie di dati trattati
A titolo riepilogativo, Preload Srl può trattare le seguenti categorie di dati, a seconda del ruolo (Titolare o Responsabile) descritto sopra:
- Dati identificativi e di contatto (nome, cognome, email, telefono, ruolo professionale)
- Dati aziendali/professionali (ragione sociale, P.IVA/CF, indirizzo, tipologia struttura, numero di iscrizione all'albo se fornito dal Cliente in fase di onboarding)
- Credenziali di accesso e dati di autenticazione
- Dati di fatturazione e pagamento (gestiti dal fornitore di pagamento Stripe — Preload Srl non memorizza numeri di carta o CVV)
- Dati tecnici e di log (indirizzo IP, user agent, timestamp, eventi di sicurezza, audit log applicativi)
- Dati clinici e dati dei pazienti caricati dal Cliente (categoria particolare ex art. 9 GDPR — vedi Sezione 3)
- Dati di navigazione del sito pubblico e cookie (vedi Cookie Policy)
- Contenuto delle comunicazioni di supporto
5. Sub-responsabili e fornitori terzi
Preload Srl si avvale di fornitori terzi (sub-responsabili) per l'erogazione del Servizio. L'elenco aggiornato dei sub-responsabili, con relativo ruolo tecnico, categorie di dati coinvolte e — ove confermata — la region di trattamento, è mantenuto nel documento Subprocessors collegato a questa policy, e non viene duplicato integralmente qui per evitare disallineamenti tra i due documenti.
A titolo informativo generale, il Servizio si avvale attualmente di infrastruttura di hosting ed elaborazione basata su fornitori cloud, di un fornitore per l'elaborazione dei pagamenti, di un fornitore per l'invio di comunicazioni email transazionali, e di un fornitore terzo per l'elaborazione delle analisi assistite da intelligenza artificiale sulle immagini radiografiche.
6. Trasferimenti extra-SEE
7. Periodo di conservazione
I dati personali sono conservati per il tempo necessario a perseguire le finalità indicate in questa policy e nel rispetto degli obblighi di legge applicabili (inclusi quelli fiscali e contabili).
8. Diritti dell'interessato
Se sei un interessato i cui dati sono trattati da Preload Srl come Titolare (Sezione 1), puoi esercitare in qualsiasi momento, nei limiti e alle condizioni previste dalla normativa applicabile, i seguenti diritti previsti dagli artt. 15-22 GDPR:
- diritto di accesso ai tuoi dati personali;
- diritto di rettifica di dati inesatti o incompleti;
- diritto alla cancellazione ("diritto all'oblio"), nei casi previsti dalla legge;
- diritto di limitazione del trattamento;
- diritto alla portabilità dei dati, ove applicabile;
- diritto di opposizione al trattamento basato sul legittimo interesse o per finalità di marketing;
- diritto di revocare il consenso in qualsiasi momento, senza pregiudicare la liceità del trattamento basato sul consenso prima della revoca;
- diritto di proporre reclamo all'Autorità Garante per la protezione dei dati personali (Garante Privacy italiano), o all'autorità di controllo competente nel proprio Stato membro.
Se i tuoi dati clinici sono trattati da Preload Srl come Responsabile per conto del Cliente (Sezione 3), tali diritti vanno esercitati nei confronti del Cliente/struttura sanitaria (Titolare del trattamento per tali dati); Preload Srl fornirà al Cliente il supporto necessario per dare seguito a tali richieste, come previsto dal DPA.
Modalità di esercizio dei diritti
Le richieste possono essere inviate a: privacy@vesalya.com. Preload Srl si impegna a rispondere entro i termini previsti dalla normativa applicabile.
9. Sicurezza dei dati
Preload Srl adotta misure tecniche e organizzative volte a garantire un livello di sicurezza adeguato al rischio. Il dettaglio delle misure di sicurezza effettivamente implementate (crittografia, controllo accessi, logging, gestione degli incidenti, ecc.) è descritto nel documento Security Measures collegato a questa policy.
10. Minori
Vesalya è un servizio B2B destinato esclusivamente a professionisti sanitari e strutture sanitarie autorizzate. Il Servizio non è rivolto a minori e non è progettato per la raccolta diretta di dati da parte di minori come utenti del Servizio. Eventuali dati relativi a pazienti minori eventualmente presenti nei dati clinici caricati dal Cliente restano soggetti alle regole di cui alla Sezione 3, sotto la responsabilità del Cliente quale Titolare del trattamento.
11. Modifiche alla presente Policy
Preload Srl si riserva il diritto di aggiornare questa Privacy Policy. Le modifiche sostanziali saranno comunicate ai Clienti con adeguato preavviso tramite i canali di contatto forniti in fase di onboarding o pubblicate con indicazione della data di aggiornamento in testa al documento. Si invita a consultare periodicamente questa pagina.