InnovaMed
Area Legale — InnovaMed

Privacy Policy

Informativa ai sensi dell'art. 13 GDPR per visitatori, lead e account medici del sito med.innovaflow.it.

Versione 1.0Ultima modifica: 21 aprile 2026Hash SHA-256: 1aa231677ef94526

Privacy Policy — Sito med.innovaflow.it

GLDA SRL — Titolare autonomo del trattamento ex art. 13 GDPR

DocumentoPrivacy Policy del sito InnovaMed
Versione1.0
Data di emissione10 aprile 2026
Prossima revisione ordinaria10 aprile 2027, oppure ad evento (modifica del prodotto, nuovo sub-processor, modifica normativa)
AmbitoSito https://med.innovaflow.it e sotto-domini eventuali (https://innovaflow.it, https://med.innovaflow.it/trust)
TitolareGLDA SRL — C.F./P.IVA 14385190963
Destinatari della presente informativaVisitatori del sito, lead commerciali, account dei medici clienti (limitatamente ai dati di gestione account, NON ai dati dei loro pazienti)
Documenti correlatiDPA Master v1.0, Termini di Servizio v1.0, Sub-Processor List, Modulo Consenso WhatsApp Paziente

Avvertenza importante. La presente informativa riguarda esclusivamente i trattamenti per i quali GLDA SRL agisce in qualita di Titolare autonomo del trattamento. Non riguarda i dati personali dei pazienti dei medici clienti, per i quali GLDA opera in qualita di Responsabile del trattamento ex art. 28 GDPR su istruzioni del medico Titolare. Per tali trattamenti il Titolare e il medico/studio cliente, il quale e tenuto a fornire al paziente la propria informativa autonoma.

1. Titolare del trattamento

Il Titolare del trattamento dei dati personali raccolti tramite il sito https://med.innovaflow.it (e relativi sotto-domini) e:

GLDA - GESTIONI LAVORI DATI APPALTI S.R.L. (in forma abbreviata "GLDA S.r.l.")

  • Sede legale: Via della Resistenza 56, 20090 Buccinasco (MI), Italia
  • Codice Fiscale e Partita IVA: 14385190963
  • Numero REA: MI - 2779148 (Camera di Commercio Milano Monza Brianza Lodi)
  • Capitale sociale: € 1.000,00 i.v.
  • PEC: glda@legalmail.it
  • Email punto di contatto privacy: privacy@innovaflow.it
  • Legale rappresentante: D'Alessandro Giuseppe, Amministratore Unico

2. Punto di contatto privacy

Per qualsiasi questione relativa alla protezione dei dati personali, l'esercizio dei diritti degli interessati (artt. 15-22 GDPR), segnalazioni, reclami o richieste di chiarimento:

  • Email dedicata: privacy@innovaflow.it
  • PEC: glda@legalmail.it
  • Posta: GLDA SRL — Privacy — Via della Resistenza 56, 20090 Buccinasco (MI)

Il punto di contatto privacy e presidiato dal Privacy Lead interno di GLDA, nominato ex art. 29 GDPR (figura interna, non DPO). Le richieste vengono prese in carico entro 24 ore lavorative dalla ricezione e riscontrate entro 30 giorni, estendibili a ulteriori 60 giorni con motivazione ai sensi dell'art. 12.3 GDPR.

3. Responsabile della protezione dei dati (DPO) — non nominato

GLDA SRL non ha attualmente nominato un Responsabile della Protezione dei Dati (DPO). Tale decisione e il risultato di una valutazione scritta motivata condotta ai sensi del principio di accountability ex art. 5.2 GDPR, in applicazione delle Linee Guida WP243 rev.01 dell'EDPB e delle FAQ del Garante per la protezione dei dati personali sul Responsabile della Protezione dei Dati in ambito privato.

In sintesi, la valutazione ha concluso che:

  • GLDA non rientra tra i soggetti obbligati ex art. 37.1.a GDPR (non e autorita pubblica ne ente pubblico);
  • il core business di GLDA non consiste in attivita di monitoraggio regolare e sistematico degli interessati su larga scala ai sensi dell'art. 37.1.b GDPR, come definito dalle Linee Guida WP243;
  • il trattamento di dati particolari ex art. 9 GDPR (dati sanitari dei pazienti) avviene in qualita di Responsabile del trattamento e non di Titolare, conformemente al Compendio Garante 28/03/2024;
  • alla data odierna il numero di interessati e il volume aggregato dei trattamenti non integra la soglia di "larga scala" ai sensi delle Linee Guida WP243.

La valutazione e soggetta a revisione annuale o al verificarsi di specifici trigger. In caso di modifica delle condizioni, GLDA provvedera alla nomina di un DPO esterno indipendente e ne dara comunicazione aggiornando la presente informativa.

Il documento integrale "Valutazione DPO scritta v1.0" e disponibile su richiesta motivata a privacy@innovaflow.it.

4. Tipologie di dati personali trattati da GLDA come Titolare

GLDA tratta, in qualita di Titolare autonomo del trattamento, le seguenti categorie di dati personali.

4.1 Dati di navigazione del sito

In occasione della consultazione del sito vengono raccolti automaticamente, per la durata tecnica strettamente necessaria:

  • indirizzo IP di provenienza;
  • user agent del browser (tipo, versione, sistema operativo);
  • pagine visitate, orari di richiesta, referrer, metodo HTTP, esito della risposta;
  • identificatore di sessione anonimo e dati dei cookie tecnici essenziali;
  • metadati tecnici utili al monitoraggio della sicurezza (x-vercel-ip-city, x-vercel-ip-country, x-vercel-ip-region a livello aggregato di citta/regione/paese);
  • log tecnici del server e della CDN (Vercel).

I dati di navigazione non sono utilizzati per profilazione commerciale, pubblicita comportamentale, cessione a terzi o marketing.

4.2 Dati di account dei clienti medici (lato gestione account)

Quando un professionista sanitario, uno studio medico o un loro delegato sottoscrive il servizio InnovaMed, GLDA raccoglie e tratta come Titolare i dati relativi agli utenti della dashboard (proprietario, dottori, staff, eventuali utenti kiosk) limitatamente alla gestione account:

  • dati anagrafici: nome, cognome, titolo professionale, numero di iscrizione all'Ordine;
  • email e numero di telefono professionale;
  • credenziali di autenticazione (hash della password con bcrypt, mai in chiaro);
  • metadati di sessione e dispositivo: identificatore di dispositivo persistente (innovamed_device_id, cookie HttpOnly Secure), indirizzo IP, user agent, citta/paese/regione di provenienza, elenco delle sessioni attive;
  • ruoli e permessi associati all'account all'interno dello studio;
  • metadati di attivita (ultimo accesso, audit log di sicurezza);
  • preferenze personali dell'account (tema, lingua, notifiche).

Nota di perimetro: i dati dei pazienti gestiti dai medici clienti tramite la dashboard sono fuori dal perimetro della presente informativa — sono trattati da GLDA come Responsabile del trattamento e disciplinati dal DPA Master v1.0.

4.3 Dati di fatturazione e adempimenti fiscali

Per l'esecuzione del contratto B2B e l'adempimento degli obblighi legali fiscali e contabili:

  • ragione sociale del cliente o denominazione dello studio;
  • indirizzo sede legale e sede operativa, codice fiscale, partita IVA, codice SDI o PEC per fatturazione elettronica;
  • dati di pagamento tramite processori terzi (GLDA non conserva numeri di carta, CVV o IBAN in chiaro: la gestione e delegata al provider di pagamento);
  • storico dei documenti fiscali emessi e ricevuti.

4.4 Dati di contatto raccolti tramite form web e canali commerciali

  • Form "richiesta demo" e "richiesta informazioni" sul sito: nome, cognome, email, telefono, ruolo, nome dello studio, messaggio libero;
  • Corrispondenza via email o telefono di natura pre-contrattuale e commerciale;
  • Iscrizione a eventuali newsletter (solo previo consenso esplicito).

4.5 Dati relativi a interazioni con il servizio di assistenza

In caso di apertura di ticket di supporto via email, i dati di contatto e il contenuto delle richieste sono trattati per la sola finalita di gestione del ticket.

Esclusione esplicita. GLDA non tratta come Titolare i dati personali dei pazienti dei medici clienti. Tali dati (anagrafica paziente, dati sanitari, conversazioni WhatsApp con il chatbot, documenti clinici, note cliniche, referti) sono trattati esclusivamente in qualita di Responsabile del trattamento ex art. 28 GDPR per conto del medico Titolare. Per informazioni sul trattamento dei dati dei pazienti, rivolgersi al proprio medico/studio di riferimento.

5. Finalita del trattamento e basi giuridiche

5.1 Erogazione del servizio InnovaMed e gestione del rapporto contrattuale B2B

Base giuridica: esecuzione di un contratto di cui l'interessato e parte o misure precontrattuali (art. 6.1.b GDPR).

Rientrano: creazione e manutenzione degli account della dashboard, autenticazione, fornitura dell'infrastruttura tecnica, onboarding dello studio, gestione del ciclo di vita dell'abbonamento, assistenza tecnica, notifiche transazionali di sicurezza (nuovo dispositivo, cambio password, revoca sessione).

5.2 Adempimento di obblighi di legge fiscali, contabili e regolatori

Base giuridica: adempimento di un obbligo legale (art. 6.1.c GDPR).

Vi rientrano la fatturazione elettronica, la tenuta delle scritture contabili e dei registri IVA, le comunicazioni alle autorita competenti, la conservazione dei documenti fiscali per i termini di legge.

5.3 Sicurezza informatica, prevenzione frodi e tutela del servizio

Base giuridica: legittimo interesse del Titolare (art. 6.1.f GDPR) alla sicurezza dei propri sistemi, alla prevenzione di abusi, intrusioni, frodi, scraping non autorizzato o tentativi di accesso illecito.

Rientrano: log di sicurezza, monitoraggio dei tentativi di accesso falliti, controlli di rate limiting, device fingerprinting per rilevare accessi anomali, log delle attivita amministrative, audit log delle operazioni sensibili, uso di servizi di monitoraggio errori (Sentry) con scrubbing di dati personali identificativi.

5.4 Miglioramento del servizio e analisi statistiche aggregate

Base giuridica: legittimo interesse del Titolare (art. 6.1.f GDPR) al miglioramento continuo del servizio offerto ai clienti B2B.

Limitazione rigorosa: questa finalita e perseguita esclusivamente su dati aggregati, anonimi o pseudonimizzati relativi all'uso della dashboard. GLDA non utilizza mai i dati dei pazienti per finalita proprie (training AI, benchmarking, ricerca), conformemente al vincolo del Compendio Garante 28/03/2024 e al DPA.

5.5 Marketing e comunicazioni commerciali

Base giuridica: consenso esplicito e revocabile dell'interessato (art. 6.1.a GDPR) per:

  • invio di newsletter e aggiornamenti prodotto;
  • comunicazioni commerciali su nuove funzionalita, offerte, eventi.

Il consenso e raccolto in modo granulare, per ciascuna finalita separata, ed e revocabile in qualsiasi momento senza pregiudicare la liceita del trattamento effettuato prima della revoca. La revoca del consenso marketing non incide sull'erogazione del servizio.

5.6 Difesa in giudizio

Base giuridica: legittimo interesse del Titolare (art. 6.1.f GDPR) alla tutela dei propri diritti in sede giudiziale e stragiudiziale.

6. Natura del conferimento

Il conferimento dei dati indicati come obbligatori e necessario per l'instaurazione del rapporto contrattuale e per l'erogazione del servizio. Il rifiuto di fornire tali dati comporta l'impossibilita di erogare il servizio.

Il conferimento dei dati per finalita di marketing e facoltativo: il rifiuto non pregiudica l'accesso al servizio.

7. Destinatari dei dati e sub-responsabili del trattamento

I dati personali potranno essere comunicati a:

  • personale autorizzato di GLDA (Privacy Lead, team tecnico, team amministrativo) istruito ex art. 29 GDPR e art. 2-quaterdecies del D.Lgs. 196/2003;
  • consulenti esterni (commercialista, consulente del lavoro, legali, auditor), nominati Responsabili del trattamento ove necessario;
  • fornitori tecnologici (sub-responsabili), designati Responsabili del trattamento ex art. 28 GDPR con contratto scritto;
  • autorita pubbliche (Garante per la protezione dei dati personali, Agenzia delle Entrate, autorita giudiziaria, forze dell'ordine) nei soli casi previsti dalla legge.

L'elenco completo e aggiornato dei sub-responsabili utilizzati per l'erogazione del servizio InnovaMed e pubblicato all'indirizzo:

https://med.innovaflow.it/trust/sub-processors

GLDA non vende, cede, noleggia o trasferisce a terzi per finalita commerciali i dati personali degli utenti.

8. Trasferimenti di dati verso Paesi terzi (extra-SEE)

Alcuni sub-responsabili sono societa con sede o operativita al di fuori dello Spazio Economico Europeo, in particolare negli Stati Uniti d'America. I trasferimenti di dati personali avvengono nel rispetto delle garanzie del Capo V GDPR (artt. 44-50).

Per ciascun trasferimento extra-SEE, GLDA ha verificato la presenza di:

  1. Adeguatezza: per i trasferimenti verso gli USA, GLDA si avvale di provider certificati nell'ambito del EU-U.S. Data Privacy Framework (DPF), adottato con Decisione di Esecuzione UE 2023/1795 del 10 luglio 2023. Le certificazioni sono verificabili pubblicamente sul registro https://www.dataprivacyframework.gov/list.

  2. Clausole Contrattuali Standard (SCC) UE 2021/914 sottoscritte con ciascun sub-responsabile extra-SEE.

  3. Transfer Impact Assessment (TIA) per ciascun flusso, secondo le Raccomandazioni EDPB 01/2020.

Per il trattamento dei messaggi conversazionali tramite l'assistente virtuale, GLDA ha selezionato Google Vertex AI con data residency garantita nella region europe-west4 (Eemshaven, Paesi Bassi), con CDPA di Google sottoscritto, vincolo contrattuale di non utilizzo dei dati per training di modelli AI (Training Restriction art. 17 CDPA) e configurazione per minimizzazione della retention.

I TIA condotti da GLDA sono disponibili su richiesta motivata.

9. Periodo di conservazione dei dati

Categoria di datoDurata di conservazioneBase della conservazione
Dati di navigazione e log server12 mesi dalla raccoltaLegittimo interesse alla sicurezza
Dati di account dei clientiPer tutta la durata del contratto + 10 anni dalla cessazioneEsecuzione contratto + tutela probatoria (art. 2946 c.c.)
Credenziali di autenticazione (hash password)Fino a cancellazione account o 90 giorni dalla cessazione del servizioSicurezza del servizio
Audit log di sicurezza su account amministrativi24 mesiLegittimo interesse, in linea con Provv. Garante 474/2025
Dati di fatturazione e documenti fiscali10 anni dall'emissioneArt. 2220 c.c., art. 22 D.P.R. 600/1973, art. 39 D.P.R. 633/1972
Dati di contatto da form "richiesta demo"24 mesi dall'ultimo contatto, salvo conversione in clienteLegittimo interesse commerciale
Corrispondenza pre-contrattuale12 mesi dall'ultimo contattoLegittimo interesse
Dati marketing (consenso)Fino a revoca del consenso, con verifica di validita almeno biennaleConsenso
Dati di ticket di assistenza24 mesi dalla chiusura del ticketLegittimo interesse
Dati trattati in contenziosoDurata del procedimento + 10 anni dalla sentenza definitivaDifesa in giudizio
Log accettazione DPA click-wrap10 anni dalla cessazione del Contratto PrincipaleProva legale art. 28 GDPR + art. 2702 c.c.

Al termine dei periodi di conservazione, i dati vengono cancellati o anonimizzati in modo irreversibile, salvo obblighi di legge ulteriori.

10. Diritti degli interessati (artt. 15-22 GDPR)

In qualunque momento ogni interessato ha il diritto di:

  • accedere ai propri dati personali (art. 15);
  • rettificare dati inesatti o integrare dati incompleti (art. 16);
  • ottenere la cancellazione dei propri dati (art. 17), salvo le eccezioni di cui all'art. 17.3;
  • richiedere la limitazione del trattamento (art. 18);
  • ricevere notifica delle rettifiche, cancellazioni e limitazioni effettuate (art. 19);
  • ricevere in formato strutturato (es. JSON) i dati forniti e trasmetterli a un altro titolare (art. 20 — portabilita);
  • opporsi in qualsiasi momento al trattamento fondato sul legittimo interesse, incluso il marketing diretto (art. 21);
  • non essere sottoposto a decisioni basate unicamente su trattamento automatizzato (art. 22). GLDA non effettua decisioni automatizzate con effetti giuridici significativi sui dati dei clienti B2B;
  • revocare il consenso prestato in qualsiasi momento, senza che cio pregiudichi la liceita del trattamento effettuato prima della revoca.

10.1 Modalita di esercizio dei diritti

Le richieste possono essere inoltrate ai canali del paragrafo 2, indicando il diritto invocato, gli estremi dell'interessato, un valido documento di identita ai soli fini della verifica e una descrizione della richiesta.

GLDA riscontra la richiesta entro 30 giorni dal ricevimento, prorogabili di ulteriori 60 giorni in caso di complessita (art. 12.3 GDPR).

Se la richiesta riguarda dati per i quali GLDA opera come Responsabile del trattamento (dati dei pazienti dei medici clienti), GLDA inoltra la richiesta al Titolare medico competente entro 24 ore dalla ricezione, ne da comunicazione all'interessato e assiste il Titolare nell'esercizio dei diritti ai sensi dell'art. 28.3.e GDPR.

11. Diritto di reclamo al Garante

Fatta salva ogni altra azione amministrativa o giurisdizionale, l'interessato puo proporre reclamo all'Autorita di controllo italiana:

Garante per la Protezione dei Dati Personali

  • Piazza Venezia n. 11, 00187 Roma
  • Centralino: (+39) 06.69677.1
  • Email: protocollo@gpdp.it
  • PEC: protocollo@pec.gpdp.it
  • Sito web: https://www.garanteprivacy.it

12. Cookie e tecnologie di tracciamento

Il sito utilizza cookie tecnici essenziali necessari alla navigazione, all'autenticazione e alla sicurezza del servizio. Questi cookie non richiedono consenso preventivo ai sensi del Provvedimento del Garante del 10 giugno 2021 "Linee guida cookie e altri strumenti di tracciamento".

In particolare:

  • Cookie di sessione di autenticazione (Better Auth, HttpOnly Secure SameSite);
  • Cookie di device fingerprinting innovamed_device_id (UUID v4, HttpOnly Secure SameSite=Lax, TTL 5 anni) per riconoscere il dispositivo a fini di sicurezza;
  • Cookie di preferenza (tema, lingua, ultimo studio selezionato).

GLDA non utilizza: cookie di profilazione, cookie pubblicitari di terze parti, pixel di social network, tecnologie di fingerprinting del browser per finalita di marketing.

Per dettagli puntuali si rinvia alla Cookie Policy disponibile alla pagina https://med.innovaflow.it/trust/cookie-policy.

13. Impiego di sistemi di intelligenza artificiale

Ai sensi dell'art. 50 del Regolamento (UE) 2024/1689 (AI Act), GLDA dichiara con trasparenza che il proprio servizio InnovaMed utilizza sistemi di intelligenza artificiale nelle seguenti modalita:

  • Assistente virtuale basato su LLM per l'interazione conversazionale via WhatsApp tra paziente e studio medico, con funzione strettamente tecnico-amministrativa;
  • Provider sottostante: Google Cloud Vertex AI, modelli della famiglia Gemini, region europe-west4 (Eemshaven, Paesi Bassi);
  • Cloud Data Processing Addendum di Google Cloud sottoscritto, con vincolo contrattuale di non utilizzare i dati per addestramento, fine-tuning o miglioramento dei modelli ("Training Restriction" art. 17 CDPA);
  • Nessuna decisione automatizzata significativa ai sensi dell'art. 22 GDPR: il sistema non assume decisioni di natura clinica, diagnostica, terapeutica ne determina esiti giuridici. L'assistente virtuale non fornisce diagnosi, pareri clinici o indicazioni terapeutiche, e include disclaimer espliciti a ogni avvio di conversazione.

Il paziente che interagisce con il chatbot ha sempre il diritto di richiedere l'intervento di un operatore umano, scrivendo parole chiave come "UMANO", "OPERATORE" o "PERSONA".

14. Modifiche alla presente informativa

GLDA si riserva il diritto di modificare la presente informativa in qualsiasi momento, dandone comunicazione mediante:

  • pubblicazione della versione aggiornata su https://med.innovaflow.it/trust/privacy;
  • indicazione della nuova versione e della data di entrata in vigore nell'intestazione del documento;
  • invio di una comunicazione email agli utenti registrati della dashboard quando la modifica comporti variazioni sostanziali (nuovi destinatari, nuove finalita, modifica delle basi giuridiche);
  • preavviso di almeno 30 giorni per l'entrata in vigore delle modifiche sostanziali, salvo modifiche imposte da obblighi di legge.

Lo storico delle versioni precedenti e disponibile su richiesta.

15. Foro competente

Per ogni controversia inerente alla presente informativa e al trattamento dei dati personali sara competente in via esclusiva il Foro di Milano, fatta salva l'inderogabilita del foro del consumatore nei casi previsti dalla legge.

Data di emissione: 10 aprile 2026 Versione: 1.0 Firma digitale del legale rappresentante GLDA SRL:

D'ALESSANDRO Giuseppe Amministratore Unico — GLDA SRL Codice fiscale: DLSGPP69T03F839R PEC: dalessandro.g@legalmail.it

GLDA SRL — InnovaMed — Privacy Policy del sito v1.0 — 10 aprile 2026 Sede legale: Via della Resistenza 56, 20090 Buccinasco (MI) — C.F./P.IVA 14385190963 — REA MI-2779148 PEC: glda@legalmail.it — Punto di contatto privacy: privacy@innovaflow.it