Privacy Policy

Ultimo aggiornamento: 7 maggio 2026

1. Titolare del trattamento

Il titolare del trattamento dei dati personali è DELL'ORO SAMUELE, P. IVA 03916460136, con sede legale in Via Nazionale 166, Colico (LC).
Contatto: info@bookingmed.it

2. Dati raccolti e finalità

La piattaforma raccoglie le seguenti categorie di dati personali:

  • Dati di registrazione: nome, cognome, indirizzo email, numero di telefono con prefisso internazionale. Finalità:creazione e gestione dell'account utente, autenticazione.
  • Dati di prenotazione: data, ora, visita scelta, operatore, sede, note aggiuntive, cronologia delle modifiche. Finalità: gestione degli appuntamenti, comunicazioni di servizio, riscontri in caso di contestazione.
  • Dati sanitari (categorie particolari ex art. 9 GDPR): per alcune visite viene raccolto un consenso informato contenente informazioni cliniche tramite questionario anamnestico. Finalità: tutela della salute dell'interessato e corretto svolgimento della visita. Base giuridica:consenso esplicito dell'interessato (art. 9, par. 2, lett. a GDPR) e tutela di un interesse vitale (art. 9, par. 2, lett. h GDPR).
  • Firma grafica digitale: immagine della firma apposta elettronicamente sui consensi informati. Finalità:validità giuridica del consenso, prova documentale.
  • Dati di comunicazione: cronologia di messaggi automatici inviati tramite email o WhatsApp (conferma, promemoria, cancellazione, reset password). Finalità: invio notifiche di servizio.
  • Dati di pagamento: metodo di pagamento utilizzato, importo, data del pagamento, codice autorizzazione, maschera del PAN (ultime cifre della carta), tipo di carta. Finalità:gestione incassi, emissione ricevute fiscali, contabilità.
  • Dati fiscali e corrispettivi: dati delle transazioni commerciali trasmessi all'Agenzia delle Entrate o tramite intermediari autorizzati. Finalità: adempimento degli obblighi fiscali ex D.Lgs. 127/2015 e ss.mm.ii.
  • Dati del programma fedeltà: punti accumulati, transazioni di accredito e utilizzo, premi richiesti. Finalità:gestione del programma fedeltà, comunicazione saldo punti.
  • Dati dei buoni regalo (gift voucher): codice voucher, beneficiario, importo o visita associata, data di emissione e scadenza. Finalità: gestione, verifica e riscatto dei buoni regalo.
  • Dati della lista d'attesa: nome, contatto, visita e fascia oraria richiesti. Finalità:gestione delle liste d'attesa e notifica in caso di disponibilità.
  • Dati delle conversazioni con l'assistente virtuale: messaggi scambiati con il chatbot AI (testo, domande, richieste di prenotazione). Finalità: assistenza automatica, gestione prenotazioni tramite AI.
  • Dati tecnici delle notifiche push: endpoint del browser, chiavi di sottoscrizione VAPID, preferenze di notifica. Finalità: invio di notifiche push al personale per nuovi appuntamenti, cancellazioni o spostamenti.
  • Dati tecnici: cookie di sessione, log di accesso, indirizzo IP. Finalità:mantenimento della sessione utente, sicurezza del servizio e tracciabilità delle operazioni.

3. Base giuridica del trattamento

  • Esecuzione del contratto (art. 6, par. 1, lett. b GDPR) per registrazione, prenotazioni, pagamenti, programma fedeltà e comunicazioni di servizio.
  • Consenso esplicito (artt. 6, par. 1, lett. a e 9, par. 2, lett. a GDPR) per i dati sanitari raccolti nei consensi informati.
  • Obbligo di legge (art. 6, par. 1, lett. c GDPR) per la conservazione documentale dei consensi sanitari e per l'emissione e trasmissione dei documenti fiscali.
  • Legittimo interesse (art. 6, par. 1, lett. f GDPR) per sicurezza del servizio, prevenzione di abusi, gestione delle liste d'attesa e funzionamento dell'assistente virtuale.

4. Cookie e archiviazione locale

Il sito utilizza esclusivamente cookie tecnici e localStorage necessari al funzionamento:

NomeTipoFinalitàDurata
next-auth.session-tokenCookie tecnicoAutenticazione utente30 giorni
next-auth.csrf-tokenCookie tecnicoProtezione CSRFSessione
cookie_consentlocalStorageMemorizzazione scelta cookiePermanente fino a rimozione
changelog_seen_v*localStorageMemorizzazione novità lettePermanente fino a rimozione

Non utilizziamo cookie di profilazione, analytics o marketing di terze parti. Non condividiamo dati con circuiti pubblicitari.

5. Destinatari dei dati e responsabili esterni

I dati possono essere comunicati ai seguenti soggetti, nominati responsabili del trattamento ex art. 28 GDPR:

  • Hetzner Online GmbH(Germania, UE): hosting del server VPS e gestione infrastruttura. I dati restano nel territorio dell'Unione Europea.
  • Meta Platforms Ireland Ltd (Irlanda, UE) e Meta Platforms Inc. (Stati Uniti): invio di notifiche tramite WhatsApp Cloud API. Il trasferimento verso gli Stati Uniti avviene sulla base delle Clausole Contrattuali Standard approvate dalla Commissione Europea (Decisione 2021/914).
  • Google LLC(Stati Uniti): il servizio di intelligenza artificiale (chatbot) utilizza l'API Google Generative AI (Gemini). Le conversazioni possono essere trasmesse ai server Google negli Stati Uniti. Il trasferimento avviene sulla base delle Clausole Contrattuali Standard (SCC) con misure supplementari di sicurezza.
  • DeskSite / areacontabile.it(Italia, UE): intermediario autorizzato per la trasmissione dei corrispettivi telematici all'Agenzia delle Entrate.
  • Agenzia delle Entrate (Italia): ricezione diretta o indiretta dei documenti fiscali (ricevute, fatture) ai sensi della normativa vigente.
  • Personale autorizzato del titolare: operatori del centro medico, appositamente istruiti e vincolati al segreto professionale.

I dati non sono diffusi pubblicamente e non vengono venduti o ceduti a terzi per finalità commerciali.

6. Intelligenza artificiale e chatbot automatizzato

La piattaforma include un assistente virtuale basato su intelligenza artificiale (Google Gemini) che consente di:

  • rispondere a domande sulle visite, orari e disponibilità;
  • creare, modificare o cancellare prenotazioni tramite conversazione;
  • ricevere assistenza tramite WhatsApp o interfaccia web.

Le conversazioni con l'AI possono includere nome, telefono, data/ora preferita e visite richieste. Questi dati sono trasmessi ai server Google per generare la risposta. Non utilizziamo l'AI per profilazione o decisioni automatizzate con effetti giuridici significativi per l'interessato. L'utente può sempre richiedere l'intervento umano contattando direttamente il centro.

7. Pagamenti e dati fiscali

I pagamenti possono essere effettuati in contanti, con carta tramite POS o come non pagati (fatturazione differita). Per i pagamenti con carta:

  • il sistema memorizza solo la maschera del PAN (ultime cifre), il codice autorizzazione e il tipo di carta;
  • i dati completi della carta (CVV, PIN, numero intero) non vengono mai memorizzati sul server;
  • la comunicazione con il POS avviene in rete locale (protocolli ECR17/ZVT) o tramite l'applicazione Bridge installata sul dispositivo locale.

I documenti fiscali (ricevute, corrispettivi) sono trasmessi all'Agenzia delle Entrate direttamente o tramite DeskSite/areacontabile.it, conformemente al D.Lgs. 127/2015. I dati delle transazioni (importi, metodi di pagamento, data/ora) sono conservati per 10 anni ai fini fiscali.

8. Notifiche push

Il personale e gli amministratori possono ricevere notifiche push sul browserper essere avvisati di nuove prenotazioni, cancellazioni o spostamenti. L'attivazione è volontaria e richiede il consenso espresso del browser. I dati tecnici (endpoint, chiavi VAPID) sono conservati fino alla disattivazione delle notifiche e non vengono condivisi con terzi. È possibile disattivare le notifiche in qualsiasi momento dalle impostazioni del browser.

9. Programma fedeltà, buoni regalo e lista d'attesa

Il programma fedeltà consente di accumulare punti in base agli importi pagati. I dati relativi (punti, transazioni, premi) sono associati al profilo paziente. I buoni regalo possono essere emessi a nome di un beneficiario; il codice voucher è utilizzabile esclusivamente presso il centro. La lista d'attesamemorizza nome, contatto e preferenze orarie: in caso di disponibilità viene inviata una notifica email. I dati della lista d'attesa sono conservati fino alla conferma della prenotazione o alla richiesta di cancellazione.

10. Conservazione dei dati

  • Account utente: fino alla richiesta di cancellazione da parte dell'interessato.
  • Storico prenotazioni: 5 anni dalla cessazione del rapporto per finalità di contabilità e assistenza.
  • Consensi informati firmati e questionari sanitari: 5 anni dalla firma, come previsto dalla normativa di settore e dagli obblighi di conservazione documentale.
  • Dati fiscali e corrispettivi: 10 anni ai sensi del D.Lgs. 127/2015.
  • Dati dei pagamenti (POS): 5 anni dalla transazione.
  • Dati del programma fedeltà e buoni regalo: fino alla cancellazione dell'account o alla scadenza naturale del voucher.
  • Conversazioni con l'assistente virtuale (AI): 12 mesi, salvo necessità di conservazione per finalità di sicurezza o contenzioso.
  • Log tecnici e di audit: massimo 12 mesi per finalità di sicurezza.

Trascorsi i termini, i dati vengono cancellati in modo sicuro o anonimizzati in modo irreversibile.

11. Diritti dell'interessato

Ai sensi degli artt. 15-22 del GDPR, l'interessato ha diritto di:

  • accedere ai propri dati personali e ricevere copia dei consensi firmati (disponibili anche nell'area personale "I miei consensi");
  • ottenerne la rettifica o la cancellazione (fatti salvi gli obblighi di conservazione documentale per i consensi sanitari e i dati fiscali);
  • richiedere la limitazione del trattamento;
  • opporsi al trattamento fondato sul legittimo interesse, inclusa l'interazione con l'assistente virtuale;
  • revocare il consenso al trattamento dei dati sanitari (con effetto per il futuro);
  • richiedere la portabilità dei dati in formato leggibile automaticamente;
  • richiedere la cancellazione delle conversazioni con il chatbot AI;
  • disattivare le notifiche push in qualsiasi momento dalle impostazioni del browser;
  • proporre reclamo all'Autorità Garante per la protezione dei dati personali (www.garanteprivacy.it).

Per esercitare i propri diritti, scrivere a: info@bookingmed.it. Il titolare risponderà entro 30 giorni dalla ricezione della richiesta.

12. Sicurezza

I dati sono trattati con misure tecniche e organizzative adeguate a garantirne la sicurezza, prevenire accessi non autorizzati e proteggere da perdita o alterazione:

  • trasmissione cifrata tramite protocollo HTTPS con certificato TLS;
  • password utente memorizzate tramite funzione di hash crittografico (bcrypt);
  • backup regolari del database;
  • accesso ai dati riservato esclusivamente al personale autorizzato, con credenziali individuali;
  • log di accesso e modifiche per tracciabilità delle operazioni (audit trail);
  • comunicazione con POS e dispositivi fiscali limitata alla rete locale o tramite canali cifrati.

13. Minori

Il servizio è rivolto a persone maggiorenni. Per visite che richiedono consenso informato, è necessario essere maggiorenni come dichiarato nel consenso stesso. Il titolare non raccoglie intenzionalmente dati di minori di 16 anni senza il consenso dei genitori o tutori.

14. Modifiche alla presente informativa

La presente informativa può essere aggiornata per adeguarsi a modifiche normative o del servizio. La versione aggiornata sarà pubblicata su questa pagina con indicazione della data di ultimo aggiornamento in alto.