Informativa Privacy

1. Titolare del Trattamento

Art. 13, par. 1, lett. a) GDPR

Il Titolare del trattamento dei dati personali è:

Denominazione	[TUA AZIENDA o nome individuale]
Legale rappresentante	[TUO NOME E COGNOME]
Sede legale	[TUO INDIRIZZO]
P.IVA	[TUA PIVA]
Email privacy	privacy@time4pill.com
Sito web	https://time4pill.com

Il Titolare può essere contattato per qualsiasi questione relativa al trattamento dei dati personali scrivendo all'indirizzo email sopra indicato.

2. Tipologie di Dati Raccolti

Art. 13, par. 1, lett. d) GDPR

Nell'ambito dell'erogazione del servizio Time4Pill, vengono raccolte e trattate le seguenti categorie di dati personali:

a) Dati anagrafici e di contatto

Nome, cognome, data di nascita del paziente
Codice fiscale (ove necessario per identificazione univoca)
Indirizzo di residenza o domicilio
Numeri di telefono del paziente, dei familiari e del medico curante
Indirizzi email
Chat ID Telegram dei familiari e caregiver

b) Dati sanitari (categoria particolare — Art. 9 GDPR)

Elenco dei farmaci assunti e relativi dosaggi
Orari prescritti per l'assunzione delle terapie
Log di assunzione: data, ora e conferma di avvenuta somministrazione
Dati di compliance terapeutica (percentuale di aderenza alla terapia)
Segnalazioni SOS e allarmi sanitari
Report giornalieri e settimanali sullo stato terapeutico

c) Dati tecnici e di localizzazione

Identificativo univoco del dispositivo Time4Pill (Device ID)
Stato di connessione del dispositivo (online/offline)
Data e ora dell'ultimo contatto (heartbeat)
Versione firmware del dispositivo
Indirizzo IP di connessione

d) Dati di navigazione

Dati di accesso alla dashboard (login, logout, timestamp)
Tipo di browser, sistema operativo, risoluzione schermo
Pagine visitate e tempo di permanenza

             Nota importante: I dati di cui alla lettera b) sono classificati come dati relativi alla salute ai sensi dell'Art. 4, par. 15 e dell'Art. 9 del GDPR. Il loro trattamento è soggetto a condizioni e garanzie supplementari descritte alla Sezione 4.
          

3. Finalità e Base Giuridica del Trattamento

Artt. 6 e 9 GDPR

Finalità	Descrizione	Base giuridica
Erogazione del servizio	Gestione del portapillole smart, monitoraggio assunzione farmaci, invio notifiche e allarmi	Esecuzione del contratto (Art. 6, par. 1, lett. b)
Trattamento dati sanitari	Raccolta e analisi dei dati relativi a farmaci, terapie e compliance	Consenso esplicito dell'interessato (Art. 9, par. 2, lett. a)
Notifiche ai familiari	Invio di alert, promemoria e report a familiari e medici tramite Telegram	Consenso esplicito + legittimo interesse (Art. 6, par. 1, lett. f)
Sicurezza e SOS	Gestione allarmi SOS, segnalazione dispositivi offline	Interesse vitale dell'interessato (Art. 6, par. 1, lett. d)
Miglioramento del servizio	Analisi aggregate e anonimizzate per migliorare l'efficacia del prodotto	Legittimo interesse del Titolare (Art. 6, par. 1, lett. f)
Adempimenti legali	Conservazione dati per obblighi fiscali, contabili e normativi	Obbligo legale (Art. 6, par. 1, lett. c)

4. Dati Sanitari — Trattamento Speciale ex Art. 9 GDPR

Art. 9 GDPR — Linee guida Garante Privacy 2019

             Trattamento di categorie particolari di dati: Time4Pill tratta dati relativi alla salute che ricevono una protezione rafforzata ai sensi del Regolamento UE 2016/679.
          

I dati sanitari trattati includono:

Farmaci e terapie: nome del farmaco, dosaggio, frequenza e orari di assunzione prescritti
Log comportamentali: registrazione di ogni evento di assunzione o mancata assunzione della pillola, con data e ora precise
Compliance terapeutica: calcolo della percentuale di aderenza alla terapia nel tempo
Allarmi sanitari: segnalazioni SOS, dosi mancate consecutive, anomalie nel comportamento terapeutico

Il trattamento di tali dati avviene esclusivamente sulla base del consenso esplicito dell'interessato o del suo tutore/amministratore di sostegno, ai sensi dell'Art. 9, par. 2, lett. a) del GDPR.

Garanzie adottate per il trattamento dei dati sanitari:

Minimizzazione: vengono raccolti solo i dati strettamente necessari al funzionamento del servizio
Pseudonimizzazione: i dati sanitari sono associati a identificativi interni, non direttamente ai dati anagrafici
Cifratura: tutti i dati sanitari sono cifrati sia in transito (TLS 1.3) che a riposo (AES-256)
Accesso limitato: solo gli operatori autorizzati e gli utenti con ruolo specifico possono accedere ai dati sanitari
Audit trail: ogni accesso ai dati sanitari viene registrato in un log immutabile
Separazione: i dati sanitari sono conservati in collezioni separate con controllo degli accessi dedicato

5. Periodo di Conservazione dei Dati

Art. 13, par. 2, lett. a) GDPR

I dati personali sono conservati per il tempo strettamente necessario al raggiungimento delle finalità per cui sono stati raccolti, nel rispetto del principio di limitazione della conservazione (Art. 5, par. 1, lett. e) GDPR).

Tipologia di dato	Periodo di conservazione	Motivazione
Dati account utente	Durata del rapporto contrattuale + 12 mesi	Necessità contrattuale
Dati sanitari e log terapeutici	24 mesi dall'ultima attività	Utilità clinica e compliance
Report e statistiche	12 mesi dalla generazione	Analisi terapeutica
Dati del dispositivo	Durata del rapporto + 6 mesi	Assistenza tecnica
Log di accesso e sicurezza	6 mesi	Sicurezza informatica
Dati contabili e fiscali	10 anni	Obbligo legale (D.Lgs. 196/2003, normativa fiscale)
Consensi GDPR	Durata del rapporto + 5 anni	Prova del consenso prestato

Alla scadenza del periodo di conservazione, i dati vengono cancellati in modo sicuro o, ove possibile, anonimizzati irreversibilmente per fini statistici.

6. Diritti dell'Interessato

Artt. 15-22 GDPR

In qualità di interessato al trattamento, hai il diritto di:

Diritto	Articolo	Descrizione
Accesso	Art. 15	Ottenere conferma dell'esistenza di un trattamento e accedere ai propri dati
Rettifica	Art. 16	Ottenere la correzione dei dati inesatti o l'integrazione di quelli incompleti
Cancellazione	Art. 17	Ottenere la cancellazione dei dati (“diritto all'oblio”), salvo obblighi legali
Limitazione	Art. 18	Ottenere la limitazione del trattamento in determinate circostanze
Portabilità	Art. 20	Ricevere i propri dati in formato strutturato, di uso comune e leggibile da dispositivo automatico
Opposizione	Art. 21	Opporsi al trattamento basato su legittimo interesse o profilazione
Revoca del consenso	Art. 7, par. 3	Revocare in qualsiasi momento il consenso prestato, senza pregiudicare la liceità del trattamento precedente

             Come esercitare i tuoi diritti: Puoi inviare una richiesta scritta a privacy@time4pill.com specificando il diritto che intendi esercitare. Risponderemo entro 30 giorni dalla ricezione, come previsto dall'Art. 12 GDPR.
          

7. Trasferimento Dati a Terzi

Artt. 28 e 44-49 GDPR

I dati personali possono essere comunicati ai seguenti soggetti terzi, nominati Responsabili del trattamento ai sensi dell'Art. 28 GDPR:

Servizio	Fornitore	Finalità	Localizzazione	Garanzie
Hosting server	Hetzner Online GmbH	Archiviazione ed elaborazione dati	Germania (UE)	Conforme GDPR, certificazione ISO 27001
Database	MongoDB Atlas (MongoDB Inc.)	Persistenza dei dati applicativi	Configurabile UE (Frankfurt)	DPA sottoscritto, conformità SOC 2 Type II
Notifiche	Telegram FZ-LLC	Invio notifiche, alert e report ai familiari/caregiver	Emirati Arabi Uniti (sede), server distribuiti	Crittografia end-to-end disponibile, minimizzazione dati inviati

             Trasferimenti extra-UE: Per quanto riguarda Telegram, i dati trasmessi si limitano al minimo necessario (testo della notifica, senza dati anagrafici completi). Il trasferimento avviene sulla base dell'Art. 49, par. 1, lett. a) GDPR (consenso esplicito dell'interessato). Non vengono trasferiti dati sanitari in chiaro verso piattaforme extra-UE.
          

I dati personali non vengono venduti, ceduti o comunicati a terzi per finalità di marketing, profilazione commerciale o altri scopi incompatibili con quelli sopra indicati.

8. Misure di Sicurezza Adottate

Art. 32 GDPR

Il Titolare adotta misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, in conformità all'Art. 32 del GDPR:

Misure tecniche

Crittografia in transito: tutte le comunicazioni avvengono su protocollo HTTPS con TLS 1.2+
Crittografia a riposo: i dati sensibili sono cifrati con algoritmo AES-256
Hashing delle password: le credenziali utente sono protette con bcrypt (12 rounds di salt)
Rate limiting: protezione contro attacchi brute-force sugli endpoint di autenticazione
Helmet.js: protezione degli header HTTP contro attacchi comuni (XSS, clickjacking, MIME sniffing)
JWT con scadenza: i token di autenticazione hanno scadenza temporale configurabile
Backup regolari: backup giornalieri del database con retention di 30 giorni
Firewall: configurazione firewall restrittiva sul server (solo porte necessarie)

Misure organizzative

Principio del minimo privilegio: ogni utente ha accesso solo ai dati strettamente necessari al proprio ruolo
Controllo degli accessi basato su ruolo (RBAC): ruoli distinti per paziente, familiare, farmacista e medico
Formazione del personale: tutto il personale autorizzato riceve formazione specifica sulla protezione dei dati
Procedure di data breach: procedure documentate per la gestione e notifica delle violazioni dei dati (Art. 33-34 GDPR)

9. Cookie Policy

Direttiva ePrivacy 2002/58/CE — Linee guida Garante 10 giugno 2021

Il sito web time4pill.com utilizza le seguenti tipologie di cookie:

Tipo	Nome	Finalità	Durata	Consenso
Tecnico	t4p_session	Mantenimento della sessione di autenticazione	Sessione	Non necessario (Art. 122 D.Lgs. 196/2003)
Tecnico	t4p_token	Token JWT per autenticazione API	7 giorni	Non necessario
Tecnico	t4p_cookie_consent	Memorizzazione scelta cookie dell'utente	12 mesi	Non necessario

             Nessun cookie di profilazione: Time4Pill non utilizza cookie di profilazione, di marketing o di terze parti per tracciamento pubblicitario. Vengono utilizzati esclusivamente cookie tecnici strettamente necessari al funzionamento del servizio.
          

10. Responsabile della Protezione dei Dati (DPO)

Artt. 37-39 GDPR

Ai sensi degli Artt. 37-39 del GDPR, il Titolare ha valutato la necessità di nomina di un Responsabile della Protezione dei Dati (DPO). Considerata la natura del trattamento di dati relativi alla salute su larga scala, il Titolare ha provveduto alla designazione del DPO.

DPO	[NOME DPO o "In fase di nomina"]
Email DPO	dpo@time4pill.com

Il DPO può essere contattato per qualsiasi questione relativa al trattamento dei dati personali e all'esercizio dei diritti previsti dal GDPR.

11. Diritto di Reclamo al Garante Privacy

Art. 77 GDPR — Art. 141 D.Lgs. 196/2003

Fatti salvi ogni altro ricorso amministrativo o giurisdizionale, se ritieni che il trattamento dei tuoi dati personali violi il GDPR, hai il diritto di proporre reclamo all'Autorità Garante per la protezione dei dati personali:

Autorità	Garante per la protezione dei dati personali
Sede	Piazza Venezia, 11 — 00187 Roma
Email	protocollo@gpdp.it
PEC	protocollo@pec.gpdp.it
Sito web	www.garanteprivacy.it
Centralino	06.69677.1

Prima di proporre reclamo, ti invitiamo a contattarci all'indirizzo privacy@time4pill.com per tentare una risoluzione amichevole della problematica.

12. Consenso Esplicito per Dati Sanitari

Art. 9, par. 2, lett. a) GDPR — Art. 2-septies D.Lgs. 196/2003

Il trattamento dei dati relativi alla salute richiede il consenso esplicito dell'interessato, prestato con dichiarazione espressa e inequivocabile.

            Modalità di raccolta del consenso:
            Il consenso viene raccolto in forma digitale al momento della registrazione al servizio
Il consenso è specifico per ciascuna finalità di trattamento
Il consenso è documentato: viene registrato con timestamp, versione della policy e identificativo dell'interessato
Il consenso è revocabile in qualsiasi momento senza pregiudicare la liceità del trattamento precedente
Il consenso è informato: viene prestato dopo aver preso visione della presente informativa

          

La revoca del consenso al trattamento dei dati sanitari comporta l'impossibilità di continuare a erogare il servizio di monitoraggio terapeutico. In tal caso, i dati già raccolti verranno cancellati entro 30 giorni dalla revoca, salvo obblighi legali di conservazione.

13. Informativa per Tutori e Amministratori di Sostegno

Art. 2-quinquies D.Lgs. 196/2003

Time4Pill è un servizio destinato prevalentemente a pazienti anziani che possono trovarsi in condizione di ridotta autonomia. In tali casi:

Il consenso al trattamento dei dati può essere prestato dal tutore, dall'amministratore di sostegno o da chi esercita la responsabilità genitoriale o legale sull'interessato
Il tutore/amministratore di sostegno deve fornire prova documentale della propria qualità (decreto di nomina del Giudice Tutelare)
Il consenso del tutore deve essere prestato nell'esclusivo interesse del tutelato
Il tutelato, qualora in grado di comprendere, ha comunque il diritto di essere informato sul trattamento dei propri dati

            Ruoli nel sistema Time4Pill:
            Paziente: il soggetto i cui dati sanitari vengono trattati
Familiare (figlio/caregiver): può monitorare la compliance del paziente e ricevere notifiche
Farmacista: può gestire i farmaci prescritti e verificare l'aderenza
Medico: può consultare i report terapeutici e i dati di compliance

          

Ciascun ruolo ha accesso limitato ai soli dati necessari per la propria funzione, in applicazione del principio di minimizzazione (Art. 5, par. 1, lett. c) GDPR).