Sicurezza e compliance
Versione 1.2 · in vigore dal 2026-05-13 · ultimo aggiornamento 2026-05-17
neonatae. è un canale di comunicazione strutturato tra genitori e pediatra. Trattiamo dati sanitari di minori, e per questo la sicurezza non è un livello opzionale: è il fondamento dell'architettura. Questa pagina descrive esattamente come proteggiamo i dati, quali standard rispettiamo, e quando arriveranno le certificazioni indipendenti.
Chi può vedere i dati di tuo figlio
In linguaggio semplice, prima dei dettagli tecnici:
- La tua pediatra vede solo i bambini del proprio studio. Non può vedere i pazienti di altri pediatri. Questo limite è imposto dal database, non solo dall'applicazione.
- Tu, genitore, vedi solo i tuoi figli e le tue conversazioni. Non puoi vedere altre famiglie.
- Neo, l'assistente AI, elabora i messaggi per comporre l'anamnesi ma non riceve mai cognome, codice fiscale, email o l'identità del genitore (vedi la sezione dedicata più sotto).
- neonatae. come azienda: per far funzionare e mantenere il servizio, il personale tecnico ha accesso amministrativo all'infrastruttura. Siamo una realtà early-stage e oggi questo accesso è ristretto a una sola persona, il fondatore. Non lo nascondiamo: a differenza di una grande azienda non possiamo dire "il 99% dello staff non accede ai dati". Quello che garantiamo è diverso e verificabile: ogni accesso ai dati clinici lascia una riga in un audit log append-only, e la nomina di un DPO esterno indipendente è in roadmap (Q2-Q3 2026). La nostra difesa non è "siamo in tanti", è "tutto è tracciato".
- Nessun altro. Nessun inserzionista, nessun data broker, nessuna terza parte commerciale. L'elenco completo dei fornitori tecnici che processano dati per nostro conto è pubblico su /legal/subprocessors.
Crittografia e residenza dati
- In transito: TLS 1.3 obbligatorio su tutte le comunicazioni (HSTS preload abilitato). Punteggio target SSL Labs: A+.
- A riposo: AES-256 sull'intero database Postgres e sullo storage degli allegati clinici. Chiavi gestite da AWS KMS.
- Backup: snapshot giornalieri cifrati AES-256 con Point-in-Time Recovery a 7 giorni. Primo test di Disaster Recovery pianificato Q4 2026.
- Residenza: tutti i dati a riposo sono ospitati esclusivamente nell'Unione Europea, regione AWS Frankfurt (eu-central-1). L'unico trattamento transitorio fuori dal nostro storage è l'inferenza LLM di Neo (vedi la sezione Intelligenza artificiale): provider UE, Zero Data Retention, Clausole Contrattuali Standard UE come garanzia.
- Notifiche push: i payload delle notifiche sono cifrati secondo lo standard Web Push (RFC 8291) con chiavi VAPID generate da noi. Apple/Google/Mozilla fungono da relay opachi e non vedono il contenuto della notifica.
Controllo accessi
- Row-Level Security (RLS) a livello database: ogni tabella applica policy Postgres che restringono la visibilità per riga. Un pediatra non può leggere dati di pazienti che non sono nel suo panel. Una mamma non può leggere bambini di altre famiglie. Verificato a livello Postgres, non solo applicativo.
- Principio del minimo privilegio: ogni identità ha solo i permessi strettamente necessari. Service-role key utilizzata esclusivamente in funzioni server controllate.
- Autenticazione: password hash bcrypt (cost ≥ 10). MFA attiva per il Founder; MFA obbligatoria per pediatra in roadmap Q3 2026.
- Rotazione chiavi: service-role key e Resend API key ruotate annualmente; in caso di incidente entro 24 ore.
Audit log medico-legale
Ogni invio messaggio, ogni lettura, ogni cancellazione è registrata in una tabella audit_log append-only: nessuna policy SQL consente UPDATE o DELETE su questa tabella, nemmeno con privilegi di servizio.
Il pediatra visualizza la propria cronologia da /pilot/pediatra/audit-log. Retention: 10 anni (Art. 2946 c.c. e prassi medico-legale). Hash-chain per integrità tamper-evident in roadmap Q4 2026.
Diritti degli interessati
Il GDPR garantisce diritti che neonatae. onora entro 30 giorni dalla richiesta:
- accesso ai dati (Art. 15);
- rettifica (Art. 16) - modificabile direttamente da /pilot/me;
- cancellazione "diritto all'oblio" (Art. 17) - pulsante diretto in profilo;
- limitazione del trattamento (Art. 18);
- portabilità (Art. 20) - export strutturato su richiesta;
- opposizione (Art. 21);
- reclamo al Garante per la protezione dei dati personali.
Contatto: privacy@neonatae.it.
Differenza rispetto alle chat consumer
Una conversazione clinica su WhatsApp può sembrare comoda, ma manca dei presidi essenziali per uso medico:
| Caratteristica | neonatae. | |
|---|---|---|
| Residenza dati EU garantita | Sì - Frankfurt | Residenza UE non garantita da Meta |
| Audit log medico-legale ispezionabile | Sì, 10 anni append-only | No |
| Right to deletion (Art. 17 GDPR) applicato | Sì, cascade DB | Sul tuo device, non sui backup Meta |
| Separazione clinico/personale | By design | Tutto nello stesso account |
| RLS verificabile a livello DB | Sì, schema open | Black box |
| End-to-end encryption del contenuto | No (server-side processing); roadmap E2E selettiva 2027 | Sì (Signal protocol) |
WhatsApp è ottimo per messaggi tra amici. Per uso clinico mancano i requisiti.
Allineamento a standard riconosciuti
neonatae. mantiene un Information Security Management System (ISMS) allineato a ISO/IEC 27001:2022 e un Privacy Information Management System (PIMS) allineato a ISO/IEC 27701:2019. Lo stato attuale è self-attested, non ancora certificato; la certificazione formale è programmata per Q1-Q2 2027.
I documenti ISMS/PIMS sono disponibili sotto NDA per partner aziendali che ne facciano richiesta scritta a privacy@neonatae.it:
- Information Security Policy (ISP)
- Data Processing Register (Art. 30 GDPR)
- Data Protection Impact Assessment (Art. 35 GDPR)
- Data Retention Policy
- Incident Response Plan
- Access Control Policy
- Cryptography Policy
- ISO 27001/27701 Self-Assessment Matrix
Intelligenza artificiale (Neo)
Neo è l'assistente di anamnesi e supporto operativo integrato in neonatae. Svolge sette funzioni distinte, sempre sotto controllo della pediatra:
- Classificazione di intento su ogni messaggio del genitore (chiusura conversazione, follow-up urgente, nuova richiesta). Se la mamma scrive "ok grazie", Neo riconosce la chiusura e NON riapre l'intake; la notifica alla pediatra viene sospesa per evitare interruzioni inutili.
- Routing per cluster clinico: 11 protocolli (febbre, vomito, diarrea, sintomi respiratori, rash, pianto inconsolabile, trauma, dolore addominale, alimentazione, sonno/comportamento, altro). Ogni cluster ha domande, red flag stratificati per età e set minimo di dati derivati da linee guida pediatriche (SICuPP, NICE, Schmitt-Thompson).
- Anamnesi strutturata: Neo pone alla mamma le domande del protocollo (3-5, configurabile dalla pediatra), poi compone un singolo messaggio strutturato (cluster, fatti raccolti, red flag, urgenza, completezza) pronto per la pediatra. Mai diagnosi, mai interpretazione.
- Bolla di stima risposta (ETA): subito dopo l'intake, Neo informa il genitore di quando arriverà la risposta della pediatra (basato su orari di disponibilità + tempo mediano di risposta storico). Fuori orario: rimanda al prossimo slot disponibile e mostra il numero d'emergenza configurato dalla pediatra.
- Suggerimenti di risposta per la pediatra: la pediatra può richiedere 3 varianti brevi sopra l'input. Clicca, modifica, invia. Il messaggio finale è sempre della pediatra. Il distacco (edit ratio) tra suggerimento e testo inviato viene tracciato per il loop di miglioramento.
- Memoria clinica del bambino: Neo legge anamnesi (allergie, patologie croniche, terapie in corso, note libere della pediatra) + le ultime 5 conversazioni cluster per riconoscere pattern ricorrenti (es. terza febbre in due mesi) e citarli nell'handoff. Mai utilizzata per generare diagnosi automatiche.
- Apprendimento adattivo per pediatra: 17 impostazioni isolate per ciascuna pediatra (tono, soglie di urgenza, terminologia, politica richiesta foto, opt-out per cluster, max turni). Loop di feedback a 7 motivi (errore clinico, red flag mancato, urgenza sbagliata, troppo lungo, troppo corto, domande sbagliate, tono sbagliato): ogni feedback modifica il comportamento di Neo SOLO per quella pediatra al turno successivo, mai a livello globale.
Guardrails non negoziabili:
- Neo non fa diagnosi, non prescrive farmaci, non rassicura su sintomi gravi.
- Red flag pediatrici (febbre >38°C sotto 3 mesi, dispnea, letargia, convulsioni, sangue, vomito persistente, fontanella bombata, rash + febbre, trauma cranico, disidratazione severa) → urgenza
emergencye push immediato, senza domande aggiuntive. - La pediatra ha un interruttore generale (Neo on/off) e può disattivare per cluster (es. solo per "sonno").
- Notifiche push alla pediatra gated da Neo: arrivano solo quando Neo determina che il pediatra deve intervenire (handoff completato, follow-up urgente, intake saltato). Niente push su domande intermedie o conferme di chiusura - meno interruzioni di WhatsApp.
- Ogni chiamata LLM (prompt completo + risposta + token + latenza) è registrata in tabella audit append-only
ai_interactionscon retention 10 anni. - In caso di errore LLM, il messaggio originale della mamma viene consegnato alla pediatra senza alterazioni e senza ritardo.
- Nessun cognome, codice fiscale, email o identità del genitore viene inviato al modello: la mamma è sempre identificata come "mamma di {nome}" e gli identificativi unici sono pseudonimi locali (mitigazione DPIA R-18).
Provider: Mistral AI SAS, azienda francese (UE). Neo usa due modelli a seconda del compito: mistral-large-latest per i passaggi di qualità (handoff strutturato, risposte suggerite) e mistral-small-latest per le classificazioni rapide. Mistral opera sul piano Scale con Zero Data Retention attiva: non addestra sui nostri dati e non conserva né i prompt né le risposte oltre la singola richiesta. Il trattamento è EU-first; il DPA di Mistral incorpora le Clausole Contrattuali Standard UE (2021/914) come garanzia per qualsiasi elaborazione fuori dallo Spazio Economico Europeo. Roadmap Q4 2026: fine-tuning su dataset proprietario di feedback (target 500 esempi). Q1 2027: self-hosting su infrastruttura UE proprietaria (Hetzner EU), zero sub-responsabili LLM.
Modifica anagrafica bilaterale
I dati identificativi del bambino (nome visualizzato, data di nascita, sesso) possono essere modificati solo con doppio consenso genitore + pediatra. Una parte propone, l'altra accetta, rifiuta o ritira. La modifica applicata si limita ai campi anagrafici whitelisted da un trigger PostgresSECURITY DEFINER: i campi clinici (allergie, patologie, terapie) restano sotto autorità esclusiva della pediatra.
Ogni richiesta, decisione o ritiro è registrata nell'audit log con motivo testuale e attori pseudonimizzati. Il flusso elimina la possibilità che una parte modifichi unilateralmente l'identità del bambino senza traccia (mitigazione DPIA R-21).
Sub-responsabili del trattamento
L'elenco completo dei provider che processano dati per conto di neonatae. è pubblicato all'indirizzo /legal/subprocessors. Eventuali nuovi sub-responsabili sono notificati con 30 giorni di preavviso ai Pediatra (autonomi Titolari del trattamento dei dati clinici dei loro pazienti).
Gestione incidenti e notifiche
In caso di violazione di dati personali:
- contenimento e triage entro 1 ora dalla scoperta (Sev-1);
- notifica al Garante entro 72 ore (Art. 33 GDPR);
- notifica agli interessati senza ritardo se rischio elevato (Art. 34 GDPR);
- notifica ai Pediatra (Titolari clinici) entro 24 ore (DPA);
- post-mortem scritto entro 10 giorni lavorativi.
Trasparenza AI e contenuti generati
In linea con l'Art. 50 del Regolamento UE 2024/1689 (AI Act) e con le linee guida del Garante Italia sulla disclosure dei contenuti sintetici, neonatae. dichiara apertamente quando usa intelligenza artificiale:
- Immagini di prodotto e illustrazioni di marketing: alcune immagini su questo sito (es. visualizzazioni concettuali di pediatra allo schermo, mockup di prodotto in contesti non ancora live) sono state generate da modelli di intelligenza artificiale a scopo illustrativo. La UI funzionante del prodotto è accessibile in qualsiasi momento al percorso
/pilot- quello che vedi lì è il prodotto reale, non un mockup. - Foto di team e founder: le foto delle persone reali del team sono fotografie autentiche, non generate da AI.
- Comunicazione clinica della Piattaforma: Neo si identifica sempre in chat con etichette esplicite e tipografia distinta dalle bolle umane: "Neo · raccolta dati" per le domande, "Composto da Neo a partire dalle risposte della mamma" per l'handoff strutturato, "Neo · risposta stimata" per la bolla ETA, "Neo · modifica anagrafica" per le richieste di modifica dati. Le risposte suggerite alla pediatra sono etichettate come tali e diventano messaggi umani solo dopo conferma. Il consenso al trattamento del minore include esplicitamente questi trattamenti (vedi /privacy § 9).
- Audit log: ogni interazione con un modello AI (prompt completo + risposta) è registrata in tabella append-only
ai_interactionsper accountability medico-legale, 10 anni di retention. - Niente AI in contesti decisionali clinici autonomi: Neo non fa diagnosi, non prescrive, non rassicura su sintomi gravi. La decisione clinica resta sempre della pediatra umana.
Roadmap certificazioni e hardening
| Quando | Cosa |
|---|---|
| Q2-Q3 2026 | Nomina DPO esterno specializzato healthcare. MFA obbligatoria per pediatra. Suite di test RLS automatica. |
| Q3-Q4 2026 | Pen-test esterno indipendente. Disaster Recovery drill. Hash-chain audit log. Sentry + Plausible integrati con PII scrubbing. |
| Q1-Q2 2027 | Audit Stage 1 + Stage 2 ISO/IEC 27001. Estensione ISO/IEC 27701. |
| Q2-Q3 2027 | Selective End-to-End encryption per allegati clinici (referti, ricette). |
| Quando applicabile | CE Marking MDR Class IIa se/quando aggiungeremo decision support AI (V1 chat strutturata umana non è SaMD). |
Contatti
- Privacy e diritti GDPR: privacy@neonatae.it
- Segnalazione vulnerabilità (responsible disclosure): security@neonatae.it
- Garante per la protezione dei dati personali: garanteprivacy.it
docs/policy/).