GDPR: Regolamento UE 2016/679

Privacy Policy

Come trattiamo i tuoi dati personali, perché li raccogliamo e quali diritti hai nei nostri confronti.

Ultimo aggiornamento: 20 maggio 2026

⚠️
Piattaforma in fase di test

Logopedy è attualmente in fase sperimentale. I dati raccolti durante questa fase potrebbero essere eliminati al termine del periodo di test. Non inserire dati sanitari sensibili reali finché la piattaforma non è uscita ufficialmente dalla fase beta.

1. Titolare del trattamento

Logopedy è un progetto universitario. Il responsabile del trattamento dei dati è il team di sviluppo del progetto.

Per qualsiasi questione relativa alla privacy puoi contattarci all'indirizzo: development.giuseppe@gmail.com

2. Dati personali raccolti

Raccogliamo esclusivamente i dati necessari al funzionamento della piattaforma.

Nota (fase beta): la registrazione dei pazienti avviene solo tramite invito del proprio logopedista. La registrazione dei logopedisti è soggetta a verifica email e approvazione manuale del team.

2.1 Dati di registrazione — Paziente

  • Nome e cognome
  • Indirizzo email, utilizzato come identificativo di accesso
  • Password, conservata in forma cifrata (hash bcrypt); non accessibile in chiaro
  • Data di nascita
  • Ruolo (paziente), selezionato in fase di registrazione
  • Foto profilo (facoltativa), caricata dall'utente, archiviata su Supabase Storage in un bucket ad accesso pubblico tramite URL. La foto è visibile al proprio logopedista all'interno della piattaforma.

2.2 Dati di registrazione — Logopedista

  • Nome e cognome
  • Indirizzo email
  • Password, conservata in forma cifrata (hash bcrypt)
  • Città e specializzazione
  • Telefono (facoltativo)
  • Ruolo (logopedista)

2.3 Dati del profilo logopedista (facoltativi)

  • Bio, anni di esperienza, formazione, lingue parlate
  • Tariffa indicativa minima e massima per seduta
  • Foto profilo: archiviata su Supabase Storage in un bucket ad accesso pubblico tramite URL. La foto viene visualizzata sulla scheda pubblica del logopedista, accessibile a chiunque senza necessità di registrazione.
  • Fasce orarie di disponibilità (giorno, ora inizio/fine, tipo seduta)

2.4 Dati di utilizzo del servizio

  • Appuntamenti: data, ora, tipo (in presenza / online), stato, note facoltative, eventuali richieste di cambio orario
  • Messaggi: contenuto dei messaggi scambiati tra paziente e logopedista all'interno della piattaforma
  • Esercizi assegnati: titolo, descrizione, modalità di risposta, parametri di configurazione, note del logopedista, stato di completamento, punteggio e dati di risposta
  • Registrazioni audio: file audio prodotti dal paziente durante gli esercizi vocali, conservati su Supabase Storage e accessibili esclusivamente al logopedista assegnante. Il paziente può eliminare l'assegnazione per rimuovere i file correlati.

2.5 Dati tecnici

  • Cookie di sessione: identificatore di sessione Flask cifrato, necessario per mantenere l'accesso attivo
  • Log del server: indirizzo IP e timestamp delle richieste, conservati per sicurezza tecnica

2.6 Dati analitici (solo con consenso)

  • Dati di navigazione pseudonimizzati: pagine visitate, azioni eseguite (click, submit), tipo di dispositivo e browser, performance di caricamento — raccolti tramite PostHog solo se l'utente ha prestato il consenso ai cookie analitici. Non raccogliamo dati sanitari tramite analytics.

2.7 Dati integrazione Google Calendar (solo logopedisti — opzionale)

Se il logopedista sceglie di connettere il proprio account Google, raccogliamo e conserviamo i seguenti dati aggiuntivi:

  • Token OAuth 2.0 Google: access token, refresh token e relativa scadenza — necessari per interagire con le API Google Calendar per conto del logopedista. Conservati in forma cifrata su Supabase.
  • Indirizzo email Google del logopedista, acquisito al momento della connessione tramite OpenID Connect.
  • ID evento Google Calendar e link Google Meet: generati automaticamente alla conferma di un appuntamento online e conservati in abbinamento all'appuntamento.

Al momento della conferma di un appuntamento online, l'indirizzo email del paziente viene trasmesso a Google LLC come partecipante all'evento di calendario, al fine di consentire l'invio dell'invito e del promemoria direttamente da parte di Google. Il paziente riceverà pertanto una notifica email da Google Calendar.

La connessione Google Calendar è facoltativa e può essere revocata in qualsiasi momento dalla dashboard del logopedista. La revoca non elimina retroattivamente gli eventi già creati su Google Calendar.

2.8 Note cliniche del paziente (solo logopedisti — dati sanitari)

I logopedisti registrati su Logopedy hanno la facoltà di inserire, nella propria area personale, note cliniche relative ai propri pazienti (ad es. annotazioni sull'andamento del percorso, obiettivi terapeutici, osservazioni comportamentali). Questi dati sono classificati come dati relativi alla salute ai sensi dell'art. 9 del GDPR.

  • Chi inserisce i dati: esclusivamente il logopedista che ha in carico il paziente.
  • Accesso: le note sono visibili solo al logopedista che le ha create. Logopedy non accede a questi dati se non per esigenze tecniche di manutenzione o su ordine dell'autorità giudiziaria.
  • Base giuridica: il trattamento avviene nell'ambito della relazione terapeutica tra logopedista e paziente, sulla base del consenso esplicito del paziente alla prestazione sanitaria (art. 9 c. 2 lett. h GDPR — medicina preventiva e terapia) e del legittimo interesse professionale del logopedista.
  • Conservazione: le note sono conservate per tutta la durata della relazione terapeutica e cancellate su richiesta del logopedista o del paziente, oppure entro 30 giorni dalla cancellazione dell'account.
  • Utilizzo AI: le note cliniche possono essere elaborate da un sistema di intelligenza artificiale (in esecuzione su server dedicato) al solo fine di suggerire al logopedista esercizi pertinenti al profilo del paziente. Nessun dato viene trasmesso a terze parti né utilizzato per addestrare modelli AI.

3. Finalità e base giuridica del trattamento

FinalitàBase giuridica
Erogazione del servizio (prenotazioni, messaggistica, esercizi, area personale) Esecuzione del contratto (art. 6 c. 1 lett. b GDPR)
Invio email transazionali (conferma prenotazione, reset password, benvenuto) Esecuzione del contratto (art. 6 c. 1 lett. b GDPR)
Sicurezza e prevenzione di accessi non autorizzati Legittimo interesse (art. 6 c. 1 lett. f GDPR)
Integrazione Google Calendar e generazione automatica di link Google Meet per le sessioni online Esecuzione del contratto / consenso del logopedista all'integrazione (art. 6 c. 1 lett. b e lett. a GDPR)
Analisi statistica dell'utilizzo della piattaforma (PostHog) Consenso (art. 6 c. 1 lett. a GDPR)
Note cliniche inserite dal logopedista sul paziente — compreso l'utilizzo AI per suggerire esercizi Trattamento necessario a fini di medicina preventiva e terapia / consenso (art. 9 c. 2 lett. h GDPR)

4. Conservazione dei dati

  • Dati di registrazione: conservati per tutta la durata dell'account. In caso di cancellazione, i dati vengono eliminati entro 30 giorni.
  • Appuntamenti e messaggi: conservati per la durata del percorso terapeutico.
  • Log tecnici: conservati per 90 giorni.
  • Cookie di sessione: scadono alla chiusura del browser o dopo il logout.
  • Dati analitici (PostHog): conservati per un massimo di 1 anno.
  • Token OAuth Google Calendar: conservati fino alla disconnessione dell'account Google da parte del logopedista, o alla cancellazione dell'account Logopedy, e comunque eliminati entro 30 giorni da tali eventi. I link Meet e gli ID evento associati agli appuntamenti seguono la stessa durata degli appuntamenti stessi.

5. Condivisione dei dati con terze parti

I tuoi dati personali non vengono venduti né ceduti a terzi. Possono essere condivisi esclusivamente con i seguenti fornitori tecnici necessari al funzionamento del servizio:

  • Supabase Inc. (database PostgreSQL, sede USA — trasferimento coperto da Standard Contractual Clauses)
  • Resend Inc. (invio email transazionali)
  • Render Inc. (hosting dell'applicazione)
  • Google LLC — due utilizzi distinti:
    • Google Fonts (CDN): l'indirizzo IP viene trasmesso a Google ad ogni caricamento della pagina per il recupero dei font tipografici.
    • Google Calendar API e Google Meet (solo per i logopedisti che attivano l'integrazione): i token OAuth del logopedista, l'email del paziente e i dettagli dell'appuntamento vengono trasmessi a Google per la creazione dell'evento di calendario e del link Meet. Google invia direttamente al paziente l'invito e i promemoria dell'evento. Trattamento soggetto alla Privacy Policy di Google.
  • PostHog Inc. (analytics, EU Cloud) — dati di navigazione pseudonimizzati, solo con consenso esplicito dell'utente. I dati sono conservati su server nell'Unione Europea.
  • Il logopedista scelto dall'utente: accede ai dati strettamente necessari all'erogazione del percorso terapeutico (appuntamenti, messaggi, esercizi)

6. Trasferimenti internazionali

Alcuni fornitori (Supabase, Resend, Render) hanno sede negli Stati Uniti. I trasferimenti avvengono nel rispetto del GDPR mediante Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea.

I dati analitici raccolti tramite PostHog sono trattati esclusivamente su server nell'Unione Europea (EU Cloud), senza trasferimenti verso paesi terzi.

7. I tuoi diritti

In qualità di interessato hai i seguenti diritti ai sensi del GDPR:

  • Accesso (art. 15): ottenere conferma che i tuoi dati siano trattati e riceverne copia
  • Rettifica (art. 16): correggere dati inesatti o incompleti
  • Cancellazione (art. 17): richiedere la cancellazione dei dati ("diritto all'oblio")
  • Limitazione (art. 18): limitare il trattamento in determinati casi
  • Portabilità (art. 20): ricevere i dati in formato strutturato e leggibile da macchina
  • Opposizione (art. 21): opporti al trattamento basato su legittimo interesse
  • Revoca del consenso: ritirare in qualsiasi momento il consenso ai cookie analitici, senza effetto retroattivo

Per esercitare i tuoi diritti scrivi a: development.giuseppe@gmail.com. Risponderemo entro 30 giorni.

Hai anche il diritto di proporre reclamo al Garante per la Protezione dei Dati Personali: www.garanteprivacy.it

8. Cookie

Utilizziamo cookie tecnici necessari al funzionamento del servizio e, con il tuo consenso, cookie analitici (PostHog). Per informazioni dettagliate consulta la nostra Cookie Policy.

9. Minori

Il servizio è destinato a persone di età pari o superiore a 16 anni. La registrazione di minori sotto i 16 anni richiede il consenso di un genitore o tutore.

10. Modifiche alla presente informativa

Ci riserviamo il diritto di aggiornare questa Privacy Policy in caso di modifiche al servizio. Le modifiche saranno comunicate via email o tramite avviso in piattaforma.