Informativa Privacy
Versione 1.3 · in vigore dal 2026-05-23 · ai sensi degli artt. 13-14 Regolamento UE 2016/679 (GDPR). Per dettagli tecnici sulle misure di sicurezza vedi /security. Per l'elenco dei sub-responsabili vedi /legal/subprocessors.
1. Titolare del trattamento
Il Titolare del trattamento è Fabio Borgia (in attesa di costituzione di neonatae. Srl), con sede operativa in Italia, contatto: privacy@neonatae.it.
Nota: il pediatra che utilizza la piattaforma è autonomo Titolare del trattamento dei dati clinici dei suoi pazienti. neonatae. agisce come Responsabile del trattamento (Art. 28 GDPR) nei confronti dei dati dei pazienti del pediatra, regolato dal contratto DPA firmato in fase di registrazione (vedi DPA pediatra).
2. Dati trattati
In base al ruolo, sono trattati i seguenti dati:
- Genitore: nome, email, password (hashata), data nascita figlio, nome figlio, sesso, contenuto dei messaggi inviati alla pediatra, eventuali foto allegate.
- Pediatra: nome, email professionale, password (hashata), regione, città, panel, gestionale in uso, contenuto dei messaggi, scheduling rules, template risposte.
- Bambino (Art. 8 GDPR, minore): nome (display name scelto dal genitore), data di nascita, sesso, contenuto delle conversazioni cliniche, foto/allegati. Il consenso al trattamento dei dati del minore è espresso dall'esercente la responsabilità genitoriale.
- Dati di categoria particolare (Art. 9 GDPR): i contenuti delle conversazioni possono includere dati relativi alla salute. Trattati per finalità di cura sanitaria (Art. 9.2.h GDPR) sotto la responsabilità del pediatra.
- Dati tecnici: indirizzo IP, user agent, log accessi, audit log delle azioni in piattaforma.
- Stato strutturato dell'anamnesi (IntakeFrame): per ogni conversazione conserviamo lato server una struttura tipizzata con le domande che Neo ha posto, le risposte verbatim del genitore per ciascuno slot, e gli eventuali segnali clinici di allarme (red flag) intercettati. Questa struttura serve a evitare che Neo ripeta domande già fatte, a documentare il percorso di intake per ragioni medico-legali, e ad alimentare gli endpoint di sicurezza CE Class I (vedi sezione 8). È sottoposta allo stesso RLS della conversazione di cui fa parte.
- Registro di verifica iscrizione albo del pediatra: ogni atto di verifica dell'iscrizione del pediatra all'albo (FNOMCeO) è registrato in una tabella d'audit dedicata con verificatore, registro consultato, numero d'iscrizione cross-checkato, eventuale URL di prova, motivazione. Necessario per la tracciabilità medico-legale dell'abilitazione del pediatra all'accesso ai dati clinici dei suoi pazienti.
3. Finalità e basi giuridiche
- Erogazione del Servizio (Art. 6.1.b GDPR - esecuzione del contratto)
- Cura sanitaria (Art. 9.2.h GDPR - per i dati relativi alla salute, sotto la responsabilità del pediatra)
- Adempimenti legali (Art. 6.1.c GDPR - fatturazione, audit log medico-legale)
- Sicurezza della piattaforma (Art. 6.1.f GDPR - legittimo interesse)
4. Destinatari e trasferimenti
I dati sono ospitati su Supabase (regione UE Frankfurt) e su Vercel (CDN globale, dati a riposo in UE). Nessun trasferimento extra-UE per i dati clinici. Le notifiche push transitano tramite il provider del browser (Google FCM / Apple APNs / Mozilla) - i payload sono cifrati end-to-end con chiavi VAPID. Gli unici a poter leggere i contenuti delle conversazioni sono: (a) il genitore titolare dell'account, (b) il pediatra collegato.
5. Tempi di conservazione
- Account attivi: per la durata del rapporto contrattuale.
- Audit log medico-legale: 10 anni dalla data di registrazione (art. 2946 c.c. + obblighi medico-legali).
- Backup di sicurezza: 30 giorni rotanti.
- Dati di account cancellato: 30 giorni di safety net, poi cancellazione completa.
6. Diritti dell'interessato
Hai il diritto di: accedere ai dati (Art. 15), rettificarli (Art. 16), cancellarli "diritto all'oblio" (Art. 17), limitarne il trattamento (Art. 18), riceverli in formato strutturato "portabilità" (Art. 20), opporti al trattamento (Art. 21). Per esercitare i diritti scrivi a privacy@neonatae.it. Hai inoltre diritto di reclamo al Garante per la protezione dei dati personali.
7. Cookie e tecnologie simili
Utilizziamo esclusivamente cookie tecnici strettamente necessari per l'autenticazione (Supabase session cookie) e la conservazione della preferenza di lingua. Ai sensi dell'Art. 5.3 della Direttiva ePrivacy e delle linee guida del Garante italiano (provv. 10 giugno 2021 e successive), per i soli cookie tecnici non è richiesto il consenso preventivo. Non utilizziamo cookie analitici, di profilazione, di marketing né tracciamento cross-site. Se in futuro introdurremo cookie non strettamente necessari, attiveremo un cookie banner conforme con consenso per categoria, e questa informativa sarà aggiornata.
8. Misure di sicurezza
- Trasmissione: TLS 1.3 forzato (HTTPS).
- Storage: cifratura at-rest su Supabase Postgres + Storage.
- Autenticazione: password con hash bcrypt server-side, JWT firmati. Email confirmation OTP-based su signup e password reset (immune a pre-fetch da scanner antimalware su email).
- Isolamento dati: Row Level Security (RLS) Postgres con policy per ogni tabella.
- Gate di verifica iscrizione albo: un account pediatra appena registrato non vede alcun dato clinico finché un membro del team neonatae. non verifica manualmente l'iscrizione FNOMCeO. Enforced a livello applicativo (`lib/auth/pediatra-gate.ts`), non solo a livello di database.
- Kill switch Neo system-wide: in caso di incidente di sicurezza clinica con l'intelligenza artificiale, il fabbricante può disabilitare Neo per tutti i pediatri in pochi secondi (senza redeploy). Ogni flip del kill switch è registrato nell'audit log con verificatore + motivazione. Conforme MDR Art. 5 sull'obbligo di disabilitazione tempestiva.
- 5 endpoint di sicurezza pre-registrati (CE Class I post-market): tassi di mancata red flag, falsa rassicurazione, tempo di risposta, edit ratio del riepilogo e dei suggerimenti. Monitorati automaticamente ogni notte da un cron Vercel; uno sforamento per 3 windows consecutive notifica il fabbricante. Le soglie sono pre-registrate nel file tecnico CE.
- Audit log: append-only, conservato 10 anni.
- Backup: automatici giornalieri (Supabase) + Point-in-Time Recovery in roadmap.
- Sentry per il monitoraggio errori, regione UE (Frankfurt), beforeSend strippa cookie/header/body/PII prima della trasmissione.
9. Trattamento mediante intelligenza artificiale (Neo)
Ai sensi del Regolamento (UE) 2024/1689 (AI Act) Art. 50, ti informiamo esplicitamente che neonatae. integra un sistema di intelligenza artificiale (Neo) con cui interagisci in chat. Neo è identificato chiaramente in ogni messaggio con etichette visibili ("Neo · raccolta dati", "Composto da Neo", "Neo · risposta stimata"). neonatae. utilizza un modello linguistico (Mistral AI SAS - Parigi, UE) per le funzioni descritte in dettaglio su /security:
- Anamnesi strutturata (Neo): raccoglie informazioni dalla mamma con domande mirate prima di passare il messaggio alla pediatra.
- Suggerimenti di risposta per la pediatra: 3 varianti brevi che la pediatra può modificare e inviare. Il messaggio finale è sempre della pediatra.
Base giuridica: Art. 6.1.b GDPR (esecuzione del contratto - funzionalità della Piattaforma) + Art. 9.2.h GDPR (cura sanitaria, sotto la responsabilità della pediatra).
Dati trasmessi al provider AI: solo nel momento della richiesta, nome di battesimo del bambino, età, sesso, testo della conversazione clinica del turno corrente. Nessun cognome, codice fiscale, email, indirizzo. Mistral AI non addestra il modello sui nostri dati (clausola commerciale) e non conserva i prompt oltre la singola richiesta.
Versione del modello ancorata (model pinning): usiamo versioni specifiche dei modelli Mistral (mistral-large-2411 e mistral-small-2501), non l'alias "-latest". Questo significa che Mistral non può aggiornare i pesi del modello a tua insaputa: ogni cambio del modello è una decisione esplicita del fabbricante, registrata nel changelog pubblico (vedi /pilot/changelog se sei autenticato). Conforme MDCG 2025-6 § 4 sul change control del ciclo di vita AI nei dispositivi medici.
Stato dell'intake persistito (IntakeFrame): per migliorare la qualità clinica dell'anamnesi, conserviamo lato server le risposte testuali che hai dato a Neo, slot per slot. Questo permette a Neo di evitare di ripetere domande già fatte (es. "Quanti gradi di febbre?") e alla pediatra di rivedere il percorso di raccolta dati nel caso di errori o controversie. Lo stato è sottoposto allo stesso RLS della conversazione: solo te e la tua pediatra possono leggerlo.
Endpoint di sicurezza monitorati: il fabbricante conta automaticamente le volte in cui Neo manca un segnale clinico d'allarme (red flag), in cui propone un'urgenza inferiore a quella effettiva, in cui la pediatra deve riscrivere quasi tutto il riepilogo. Sono i 5 endpoint di sicurezza CE Class I (pre-registrati nel file tecnico) ed esistono per identificare degradi di sicurezza prima che diventino sistemici. Non contengono PII - solo tassi aggregati e contatori.
Opt-out: la pediatra può disattivare l'anamnesi automatica Neo dalle impostazioni della singola conversazione (per-pediatra). Il fabbricante può inoltre disabilitare Neo per tutti i pediatri contemporaneamente (kill switch system-wide) in caso di safety incident; in tal caso i messaggi dei genitori continuano ad arrivare alla pediatra ma senza il processamento Neo.
Guardrails: Neo non fa diagnosi, non prescrive farmaci, non rassicura su sintomi gravi. Sintomi d'allarme (febbre alta, dispnea, sangue, convulsioni, letargia, fontanella bombata) escalano automaticamente alla pediatra senza domande aggiuntive. Ogni risposta classificata come "emergency" viene preceduta da una frase hardcoded (non generata dall'AI) che ricorda al genitore di chiamare il 112 o andare al pronto soccorso.
10. DPIA (Art. 35 GDPR)
Trattando dati di minori e dati relativi alla salute, abbiamo condotto una Valutazione d'Impatto sulla Protezione dei Dati (DPIA-003 v1.7) in cui sono mappati 32 rischi con misura residua ≤ 4 su 9 per ciascuno (data breach, ATO, sub-processor, errore clinico LLM, re-identificazione, abuso modifica anagrafica, IntakeFrame, kill switch, founder dashboards service-role bypass, gate verifica iscrizione albo, cron monitoring, cost runaway Mistral). La revisione esterna da parte di DPO specializzato healthcare è programmata entro Q3 2026. Le sintesi dei rischi LLM sono pubblicate su /security (vedi sezioni R-17 a R-32). La DPIA integrale è disponibile su richiesta a privacy@neonatae.it.
Questa Informativa è la versione 1.3 in vigore dal 2026-05-23. Le differenze rispetto alla v1.2 sono visibili nel changelog interno: aggiunta documentazione di IntakeFrame, kill switch system-wide Neo, 5 endpoint di sicurezza CE Class I, tabella audit verifica iscrizione albo, ancoraggio versione del modello Mistral. La revisione da parte di DPO esterno specializzato healthcare è programmata entro Q3 2026. Eventuali aggiornamenti verranno comunicati agli utenti con preavviso di 30 giorni come previsto dall'Art. 13.2.f GDPR.