Torna al login

Informativa sulla Privacy

Ai sensi dell'Art. 13 del Regolamento (UE) 2016/679 (GDPR)

1. Titolare del Trattamento

Il Titolare del trattamento dei dati personali raccolti tramite la piattaforma Brenda e il soggetto giuridico che gestisce il poliambulatorio (di seguito "Titolare"), raggiungibile ai recapiti indicati nella sezione Contatti.

Nota: i dati specifici del Titolare (ragione sociale, sede, contatti) devono essere compilati dal gestore del poliambulatorio prima della messa in produzione del sistema.

2. Responsabile della Protezione dei Dati (DPO)

Il Titolare ha nominato un Responsabile della Protezione dei Dati (DPO) ai sensi dell'Art. 37 del GDPR, contattabile all'indirizzo email indicato nella sezione Contatti.

Nota: la nomina del DPO e obbligatoria per le strutture sanitarie, anche private (Art. 37, comma 1, lett. c).

3. Finalita e Basi Giuridiche del Trattamento

I dati personali sono trattati per le seguenti finalita:

FinalitaBase giuridica
Gestione del rapporto di lavoro e assegnazione ruoliEsecuzione del contratto (Art. 6.1.b)
Gestione segnalazioni (ticketing) e ordini di lavoroInteresse legittimo del Titolare (Art. 6.1.f)
Gestione documentazione di sicurezza sul lavoroObbligo legale - D.lgs. 81/2008 (Art. 6.1.c)
Manutenzione programmata e gestione assetInteresse legittimo del Titolare (Art. 6.1.f)
Compliance (certificazioni, ispezioni)Obbligo legale (Art. 6.1.c)
Registro attivita (audit log) per sicurezza informaticaInteresse legittimo (Art. 6.1.f) e obbligo legale
Notifiche push sul dispositivoConsenso esplicito dell'interessato (Art. 6.1.a)

4. Categorie di Dati Trattati

  • Dati identificativi: nome, cognome, email aziendale, numero di telefono, qualifica professionale
  • Dati di accesso: credenziali di autenticazione (password cifrata), indirizzo IP, user agent del browser
  • Dati organizzativi: ruolo nel sistema, area e poliambulatorio di assegnazione
  • Dati di attivita: azioni svolte nel sistema (creazione, modifica, approvazione di segnalazioni, ordini di lavoro, documenti), registrate nell'audit log
  • Dati potenzialmente particolari (Art. 9): eventuali certificati di idoneita sanitaria, documentazione medica caricata come allegati

5. Registro delle Attivita (Audit Log)

Il sistema registra automaticamente le operazioni effettuate dagli utenti (creazione, modifica, eliminazione di dati, cambi di stato, approvazioni, accessi al sistema). Tale registrazione e finalizzata alla sicurezza informatica, alla tracciabilita delle operazioni e al rispetto degli obblighi normativi.

Il registro delle attivita puo costituire uno strumento di controllo a distanza ai sensi dell'Art. 4, comma 1, della L. 300/1970 (Statuto dei Lavoratori). Pertanto, la sua attivazione e subordinata alla sottoscrizione di un accordo sindacale (RSA/RSU) o, in alternativa, all'autorizzazione dell'Ispettorato Nazionale del Lavoro.

I dati dell'audit log sono conservati per un periodo massimo di 24 mesi e sono accessibili esclusivamente agli utenti con ruolo di Amministratore.

6. Destinatari dei Dati

I dati personali possono essere comunicati a:

  • Responsabile del trattamento (Art. 28): il soggetto incaricato della manutenzione e gestione tecnica della piattaforma
  • Sub-responsabili: il fornitore del servizio di hosting/VPS e il fornitore del servizio SMTP per l'invio di email, tutti ubicati nell'Unione Europea
  • Personale autorizzato: dipendenti e collaboratori del Titolare, limitatamente alle operazioni di competenza e in base al ruolo assegnato

I dati non sono trasferiti al di fuori dello Spazio Economico Europeo (SEE).

7. Periodi di Conservazione

Tipologia di datoPeriodo di conservazione
Dati del dipendenteDurata del rapporto di lavoro + 10 anni
Sessioni e log di accessoMinimo 6 mesi (Provv. Garante AdS 2008)
Audit log (registro attivita)Massimo 24 mesi
Segnalazioni (ticket) chiuse5 anni
Ordini di lavoro completati10 anni
Documenti di sicurezza sul lavoro10-40 anni (D.lgs. 81/2008)
Notifiche in-app (lette)21 giorni
Sottoscrizioni push notificationFino a revoca del consenso

8. Diritti dell'Interessato

Ai sensi degli Artt. 15-22 del GDPR, l'interessato ha diritto di:

  • Accesso (Art. 15): ottenere conferma del trattamento e copia dei propri dati
  • Rettifica (Art. 16): correggere dati inesatti o incompleti
  • Cancellazione (Art. 17): richiedere la cancellazione dei dati, nei limiti previsti dalla legge
  • Limitazione (Art. 18): limitare il trattamento in determinate circostanze
  • Portabilita (Art. 20): ricevere i propri dati in formato strutturato e leggibile
  • Opposizione (Art. 21): opporsi al trattamento basato su interesse legittimo
  • Revoca del consenso (Art. 7): revocare il consenso alle notifiche push in qualsiasi momento tramite le impostazioni del profilo

Per esercitare i propri diritti, l'interessato puo contattare il Titolare o il DPO ai recapiti indicati nella sezione Contatti.

L'interessato ha inoltre il diritto di proporre reclamo all'Autorita Garante per la Protezione dei Dati Personali (www.garanteprivacy.it).

9. Cookie e Tecnologie Similari

La piattaforma utilizza esclusivamente cookie tecnici necessari al funzionamento del servizio:

  • Cookie di sessione: per mantenere l'autenticazione dell'utente durante la navigazione
  • Cookie CSRF: per la protezione contro attacchi Cross-Site Request Forgery

Non vengono utilizzati cookie di profilazione, di tracciamento o di terze parti. Non e pertanto necessario il consenso preventivo per l'installazione di tali cookie (Art. 122 D.lgs. 196/2003).

10. Misure di Sicurezza

Ai sensi dell'Art. 32 del GDPR, il Titolare adotta misure tecniche e organizzative adeguate, tra cui:

  • Cifratura delle comunicazioni tramite protocollo TLS
  • Cifratura delle password con algoritmo Argon2
  • Controllo degli accessi basato su ruoli (RBAC) con 5 livelli di autorizzazione
  • Timeout automatico delle sessioni inattive (30 minuti)
  • Registrazione delle attivita tramite audit log protetto
  • Archiviazione dei documenti su storage cifrato con accesso tramite URL pre-firmati a scadenza

11. Contatti

Sezione da completare a cura del Titolare del trattamento

  • Ragione sociale e sede legale del Titolare
  • Email e PEC del Titolare
  • Nome e contatti del DPO

Ultimo aggiornamento: Febbraio 2026. Il Titolare si riserva il diritto di modificare la presente informativa in qualsiasi momento, dandone comunicazione agli interessati tramite il sistema.