INFORMATIVA PRIVACY – Pazienti (Utenti) – App ISYPatient

Documento informativo ai sensi e per gli effetti di cui all’art. 13 del Regolamento (UE) 2016/679 (GDPR).

Aggiornamento: 17/12/2025 • Versione: Dicembre 2025

1. TITOLARE DEL TRATTAMENTO

Il Titolare del trattamento dati è MediThynk S.r.l., con sede legale in Via Larga 8, 20122 Milano (MI), nella persona del suo Legale Rappresentante pro-tempore, che potrà contattare per qualsiasi informazione tramite e-mail: info@medithynk.com

2. PRINCIPALI DEFINIZIONI

Dato personale

Qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

Dati particolari (cfr. art. 9 GDPR)

Dati personali idonei a rivelare l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale, nonché dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona.

Titolare del Trattamento

La persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri.

Responsabile del Trattamento

La persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.

3. RUOLI E RESPONSABILITÁ

MediThynk S.r.l. tratterà esclusivamente i tuoi dati personali strettamente necessari all’utilizzo dell’applicazione ISYPatient, per la registrazione, la creazione degli account e per la fornitura di altri servizi messi a disposizione come meglio precisato in questa informativa.

Si precisa che MediThynk S.r.l. non è il Titolare del trattamento dei tuoi dati particolari (dati relativi alla salute), salvo quanto previsto in questa informativa.

Titolari del trattamento dei tuoi dati particolari (dati relativi alla salute) sono i Professionisti sanitari nell’ambito del rapporto medico–paziente di cura e assistenza (art. 9, par. 2, lett. h) e par. 3 del Regolamento e artt. 75 e ss. del Codice). Spetta ai Professionisti sanitari fornirti apposita informativa.

Rispetto a tali trattamenti MediThynk S.r.l. è designato responsabile del trattamento dal professionista sanitario, qualora effettui trattamenti di tipo tecnico amministrativo per suo conto.

4. COOKIE E ALTRI SISTEMI DI TRACCIAMENTO

Cookie

I cookie sono file di testo che i siti visitati dagli utenti inviano ai loro terminali e che vengono ritrasmessi ai siti stessi alla visita successiva. I cookie si possono suddividere in due macro-categorie: “cookie di profilazione” e “cookie tecnici”.

Cookie di profilazione

La presente mobile app non utilizza cookie di profilazione, cioè cookie volti a creare profili relativi all'utente al fine di inviare messaggi in linea con le preferenze manifestate nell'ambito della navigazione sul sito.

Cookie tecnici di sessione

Il sito utilizza cookie tecnici per consentire l’esplorazione sicura, rapida ed efficiente del sito stesso e per fornire agli utenti i servizi richiesti. Per l'installazione di tali cookie non è richiesto il preventivo consenso degli utenti.

L’uso di questi cookie (che non vengono memorizzati in modo persistente sul computer dell’utente e svaniscono con la chiusura del browser) è strettamente limitato alla trasmissione di identificativi di sessione (costituiti da numeri casuali generati dal server) necessari per consentire la navigazione efficace del mobile app.

La configurazione adottata, in modo da escludere trattamenti di dati identificativi, raccoglie le seguenti informazioni:

L’indirizzo IP, che viene mascherato
Il sistema operativo utilizzato
Il tipo di browser
Il tipo di dispositivo (PC, smartphone, etc.)

Cookie di terze parti

Non sono installati cookie di terze parti.

Cookie tecnici che non richiedono consenso

Cookie relativi ad attività strettamente necessarie al funzionamento della mobile app e all’erogazione del servizio.

Nome	Fornitore	Scopo	Scadenza	Tipo
(Nessun cookie di terze parti installato; cookie tecnici di sessione necessari alla fruizione del servizio.)

5. FINALITÀ DEL TRATTAMENTO, BASE GIURIDICA, PERIODO DI CONSERVAZIONE, NATURA DEL CONFERIMENTO

Di seguito sono riportate le finalità, la base giuridica, i periodi di conservazione, le tipologie di dati e la natura del conferimento.

Finalità del trattamento	Base giuridica	Periodo di conservazione dati	Natura del conferimento
A) Registrazione e gestione dell’utilizzo dell’account sull’app ISYPatient. Gestione pagamenti; prenotazione appuntamenti; attivazione chat; abilitazione videocall; adempimenti contrattuali amministrativo-contabili; assistenza e supporto tecnico. La registrazione all’app è consentita anche tramite account social (Apple/Google). In tali casi si applicano le informative privacy e le condizioni del soggetto terzo. L’utilizzo dell’applicazione può comportare l’impiego di strumenti di Intelligenza Artificiale (ChatGPT): si rimanda ai Termini e Condizioni dell’App ISYPatient.	Contratto – Il trattamento è necessario per l’esecuzione di un contratto di cui l’interessato è parte (Considerando 44). Art. 6, par. 1, lett. b) GDPR.	Finalità amministrativo-contabili e fiscali: 10 anni, salvo contenziosi. Dati di abbonamento: per tutta la durata dell’utilizzo dell’app e fino alla cancellazione, o comunque non oltre 30 giorni dalla cessazione del contratto. Inattività account per 3 anni: documenti e account eliminati per mancato utilizzo. Dati delle conversazioni: 2 anni dalla data della conversazione. Dati per assistenza/supporto tecnico: massimo 12 mesi.	Necessario ai fini contrattuali. Il mancato conferimento dei dati personali necessari comporta l’impossibilità di instaurare e gestire il rapporto con l’interessato.
B) Trattamento di categorie particolari di dati per la prenotazione degli appuntamenti e la gestione del contatto con il medico. Saranno trattati esclusivamente i dati volontariamente forniti dall’utente nel corso dell’utilizzo dell’app, anche mediante il servizio di messaggistica (Chatbot AI).	Consenso dell’interessato. Art. 9, par. 2, lett. a) GDPR. Provvedimento del Garante per la protezione dei dati personali n. 55 del 07.03.2019 – Compendio Garante Privacy (marzo 2024).	Fino alla revoca del consenso o alla chiusura dell’account dell’app e comunque non oltre 30 giorni dalla cessazione del contratto. In caso di inattività dell’account per 3 anni: documenti e account eliminati per mancato utilizzo.	Il conferimento è obbligatorio. Il mancato conferimento dei dati necessari comporta l’impossibilità di erogare il servizio richiesto dall’interessato.
C) Gestione di eventuali questioni legali tra le parti.	Legittimo interesse del Titolare. Art. 6, par. 1, lett. f) GDPR – Considerando 47–50.	10 anni, salvo opposizione e salvo il tempo necessario per la difesa in giudizio.	Necessario. L’eventuale diniego dovrà essere bilanciato con il legittimo interesse del Titolare indicato nella finalità.
D) Gestione delle richieste privacy (esercizio dei diritti ex artt. 15 e ss. GDPR).	Obbligo legale. Art. 6, par. 1, lett. c) GDPR – Considerando 45.	5 anni dalla chiusura della richiesta, salvo contenziosi.	Obbligatorio, indispensabile per dare esecuzione agli obblighi di legge.
E) Navigazione sul mobile app. Dati necessari per la fruizione dei servizi, per statistiche sull’uso, controllo del corretto funzionamento e accertamento di responsabilità in caso di ipotetici reati informatici ai danni dell’app e della web app.	Legittimo interesse del Titolare. Art. 6, par. 1, lett. f) GDPR – Considerando 47. È garantita la possibilità di ottenere, su richiesta, informazioni sul test di bilanciamento effettuato.	Dati di navigazione conservati per la durata della sessione e, in ogni caso, non oltre 7 giorni, salvo necessità di accertamento di reati da parte dell’Autorità giudiziaria.	Necessario per la navigazione e l’utilizzo del mobile app e della web app.

6. A CHI VERRANNO COMUNICATI I DATI PERSONALI? DESTINATARI DEI DATI

I dati non saranno diffusi. I dati personali saranno comunicati a soggetti che tratteranno i dati in qualità di Titolari autonomi del trattamento, o Responsabili del trattamento (art. 28 GDPR) e trattati da persone fisiche (art. 29 GDPR) che agiscono sotto l’autorità del Titolare e dei Responsabili sulla base di specifiche istruzioni fornite in ordine a finalità e modalità del trattamento.

I dati saranno comunicati a destinatari appartenenti alle seguenti categorie:

Strutture Sanitarie (es. Ospedali, case di riposo);
soggetti e/o società che forniscono al Titolare il sistema di intelligenza artificiale e la relativa assistenza;
enti, con sede in Italia, previsti dalla vigente normativa in materia contabile e fiscale come destinatari di comunicazioni obbligatorie;
istituti bancari ed equiparati;
Autorità competenti per adempimenti di obblighi di legge e/o di disposizioni di organi pubblici, su richiesta.

L’elenco dei Responsabili del trattamento art. 28 è disponibile scrivendo a info@medithynk.com o agli altri recapiti sopra indicati.

7. VI È UN TRASFERIMENTO DATI VERSO UN PAESE EXTRA SEE?

I suoi dati personali sono ubicati in Europa. Il Titolare si avvale di responsabili del trattamento che possono trasferire i dati extra SEE.

Il Titolare ha deciso di affidarsi a fornitori che presentano garanzie adeguate, nello specifico l’adesione al “Data Privacy Framework”, decisione di adeguatezza che consente di far circolare dati in modo sicuro dallo Spazio Economico Europeo verso le imprese statunitensi che vi aderiscono, senza la necessità di ulteriori garanzie per la protezione dei dati (art. 45 GDPR). In particolare:

Google LLC: policies.google.com/privacy/frameworks?hl=it
Stripe Inc: stripe.com/it/legal/data-privacy-framework
Render: render.com/changelog/render-achieves-certification-under-the-eu-us-data-privacy-framework
Vercel Inc: vercel.com/changelog/vercel-is-now-certified-under-the-eu-us-data-privacy-framework-dpf
Agora Lab Inc: agora.io/en/data-privacy-framework-notice/
Expo: expo.dev/privacy#international-transfers

Inoltre, si avvale del fornitore OpenAI con il quale ha verificato le garanzie fornite dal fornitore (SCC, Standard Contractual Clauses) in ordine al trasferimento dei dati e alle misure di sicurezza applicate.

Per avere informazioni circa le garanzie inerenti il trasferimento di dati fuori dal SEE, gli interessati possono scrivere a info@medithynk.com.

8. VI È UN PROCESSO AUTOMATIZZATO?

I dati personali saranno sottoposti a trattamento manuale tradizionale, elettronico e automatizzato. Si precisa che non si effettuano processi decisionali completamente automatizzati.

9. DIRITTI DEGLI INTERESSATI

Gli interessati potranno far valere i propri diritti come espressi dagli artt. 15 e ss. GDPR, contattando il Titolare del trattamento scrivendo ai contatti sopra indicati.

Il titolare garantisce agli interessati la possibilità di richiedere, in qualunque momento, l’accesso ai propri dati personali (art. 15), la rettifica (art. 16), la cancellazione degli stessi (art. 17), la limitazione del trattamento (art. 18).

Il titolare del trattamento comunica (art. 19), a ciascuno dei destinatari cui sono stati trasmessi i dati personali, le eventuali rettifiche o cancellazioni o limitazioni del trattamento effettuate. Il titolare del trattamento comunica agli interessati che ne facciano richiesta tali destinatari.

Il titolare garantisce il diritto alla portabilità (art. 20) e, in caso di richieste ai sensi dell’art. 20, fornirà agli interessati i dati in un formato strutturato, di uso comune e leggibile da dispositivo automatico.

È riconosciuto agli interessati il diritto di opporsi (art. 21), in qualsiasi momento, al trattamento dei dati basato sul legittimo interesse, scrivendo ai contatti sopra riportati con oggetto “opposizione”. In caso di esercizio del diritto di opposizione al trattamento basato sul legittimo interesse, il titolare riconosce agli interessati la possibilità di ottenere, su richiesta, informazioni sul test di bilanciamento effettuato.

È riconosciuto agli interessati il diritto di revocare il consenso prestato, senza pregiudicare la liceità del trattamento basato sul consenso prestato prima della revoca.

Nel caso in cui gli interessati ritengano che il trattamento dei dati personali effettuato dal Titolare avvenga in violazione di quanto previsto dal Regolamento (UE) 2016/679, sono liberi di presentare un reclamo all’Autorità nazionale di controllo, in particolare nello Stato membro in cui risiedono abitualmente o lavorano, oppure nel luogo ove si è verificata la presunta violazione del Regolamento (Garante Privacy: garanteprivacy.it), o di adire le opportune sedi giudiziarie.

10. MODIFICHE INFORMATIVA

Il titolare potrebbe cambiare, modificare, aggiungere o rimuovere qualsiasi parte della presente Informativa sulla privacy. Al fine di facilitare la verifica di eventuali cambiamenti, l'informativa conterrà l'indicazione della data di aggiornamento dell'informativa stessa.

Data di aggiornamento 17/12/2025

MediThynk Srl, sede legale VIA LARGA 8 - 20122 - MILANO (MI), C.F./P.IVA 14242960962, numero di iscrizione al Registro delle Imprese di Milano, Monza Brianza e Lodi [REA – 2768849]. PEC: medithynk@pec.it

Il Titolare del trattamento:
MEDITHYNK SRL