Privacy Policy
Informativa sul trattamento dei dati personali relativa al sito e alla piattaforma NeuroStep.
Ultimo aggiornamento: 6 maggio 2026
Indice
Pagine correlate
1. Identita e contatti
Questa informativa riguarda il sito e la piattaforma NeuroStep, software operato da CHIANCA MARCO.
Operatore del servizio: CHIANCA MARCO
Codice fiscale: CHNMRC97R09A399S
Partita IVA: IT03160010645
Sede: Contrada Cesine 40/B, 83031 Ariano Irpino (AV), Italia
Email privacy: privacy@neurostep.it
Email legale / DPA: legal@neurostep.it
Nota contrattuale: per i clienti B2B, i dati contrattuali completi della controparte, inclusi eventuali riferimenti fiscali e sede legale, sono riportati nell’ordine, nel master service agreement o nella documentazione commerciale sottoscritta con il cliente.
Rappresentante UE / DPO: se sara nominato un rappresentante ai sensi dell’art. 27 GDPR o un DPO ai sensi dell’art. 37 GDPR, i relativi recapiti saranno pubblicati in questa pagina.
Se verra nominato o aggiornato un Responsabile della Protezione dei Dati (DPO), i relativi contatti saranno pubblicati in questa pagina.
2. Ruoli privacy e categorie di dati
A seconda del contesto, CHIANCA MARCO può operare con ruoli diversi ai sensi del GDPR.
- Titolare del trattamento: per account, billing, supporto, sicurezza piattaforma, consensi privacy e gestione del rapporto commerciale.
- Responsabile o fornitore tecnico: per i dati clinici trattati sulla piattaforma per conto di cliniche, organizzazioni o professionisti che determinano finalita e mezzi del trattamento principale.
| Categoria | Dettaglio | Fonte |
|---|---|---|
| Dati account e membership | Nome, email professionale, ruolo, organizzazione, inviti, stato account, MFA e metadata tecnici necessari alla sicurezza e alla gestione degli accessi. | Direttamente dall’utente, dal cliente B2B o dai flussi di provisioning amministrativo. |
| Dati clinici e di paziente | Anagrafica paziente, note, obiettivi clinici, sessioni, assessment, report, dati comportamentali e informazioni sanitarie o comunque appartenenti a categorie particolari ex art. 9 GDPR. | Inseriti da cliniche, terapisti, coordinatori o altri soggetti autorizzati che usano la piattaforma. |
| Dati billing e contrattuali | Piano, abbonamento, transazioni, informazioni fiscali, storico fatture e interazioni relative al rapporto commerciale. | Direttamente dal cliente e dai sistemi di pagamento connessi. |
| Dati di supporto e sicurezza | Ticket, log minimizzati, audit trail, consensi privacy, incidenti di piattaforma, error monitoring opzionale e dati tecnici strettamente necessari al debug. | Dall’uso del servizio, dai moduli di supporto e dai sistemi di monitoraggio configurati con consenso dove richiesto. |
| Dati di navigazione sul sito pubblico | Pageview aggregate del sito pubblico tramite Umami cookieless, stato del consenso, strumenti browser essenziali e analytics avanzati del sito pubblico quando abilitati. | Browser dell’utente e SDK caricati secondo il perimetro pubblico: Umami baseline senza cookie sulle route pubbliche; GA4 solo dopo consenso. |
3. Finalita e basi giuridiche
Trattiamo i dati personali per erogare il servizio, gestire la sicurezza della piattaforma, rispettare obblighi di legge e, dove richiesto, sulla base del consenso espresso dell’utente.
| Finalita | Base giuridica |
|---|---|
| Creazione account, login, gestione membership, provisioning e sicurezza operativa | Art. 6(1)(b) GDPR e, per misure tecniche di sicurezza e audit, art. 6(1)(f) GDPR |
| Erogazione del servizio clinico per conto di cliniche, professionisti o organizzazioni | Art. 6 GDPR secondo il ruolo del cliente titolare; per categorie particolari di dati anche art. 9 GDPR secondo il caso applicabile |
| Billing, adempimenti amministrativi, fiscali e gestione contrattuale | Art. 6(1)(b) e 6(1)(c) GDPR |
| Gestione ticket, stabilita del servizio, prevenzione abusi, audit e accountability | Art. 6(1)(f) GDPR e, per le evidenze di consenso, art. 7(1) GDPR |
| Misurazione audience cookieless del sito pubblico | Art. 6(1)(f) GDPR, con minimizzazione, assenza di cookie/storage analytics, rispetto Do Not Track e area /app esclusa |
| Analytics avanzati del sito pubblico, error monitoring opzionale e preferenze cookie non essenziali | Art. 6(1)(a) GDPR e art. 122 Codice Privacy |
| Funzioni AI eseguite localmente sul dispositivo, quando presenti | Art. 6(1)(b) GDPR o art. 6(1)(f) GDPR, con esecuzione locale e senza trasferimento automatico verso fornitori AI remoti per tale funzione |
Non utilizziamo processi decisionali esclusivamente automatizzati che producano effetti giuridici o incidano in modo analogo e significativo sull’interessato. Le funzionalita AI eventualmente presenti nel prodotto hanno funzione di supporto e non sostituiscono il giudizio clinico del professionista.
4. Destinatari e fonti dei dati
I dati personali possono essere comunicati o resi accessibili, nei limiti del principio di minimizzazione, a soggetti che intervengono nell’erogazione del servizio o nel rapporto contrattuale.
| Destinatario / categoria | Ruolo | Nota |
|---|---|---|
| Cliniche, organizzazioni e professionisti clienti | Titolari o soggetti autorizzati del cliente, secondo il caso | Accedono ai dati clinici solo nel perimetro dei ruoli e delle assegnazioni applicabili. |
| Firebase / Google Cloud | Fornitore infrastrutturale / sub-responsabile | Autenticazione, database, hosting, storage e funzioni server della piattaforma. |
| Stripe | Fornitore pagamenti | Utilizzato per checkout, abbonamenti e componenti di billing. |
| Sentry | Fornitore monitoraggio errori opzionale | Attivato solo con consenso dedicato e con sanitizzazione dei dati applicativi. |
| Umami Cloud | Fornitore misurazione audience cookieless del sito pubblico | Limitato alle sole route pubbliche, senza cookie analytics, query string o area /app. |
| Google Analytics 4 | Fornitore analytics avanzati del sito pubblico | Limitato alle sole route pubbliche e attivato solo dopo consenso esplicito. |
5. Trasferimenti, sub-processori e infrastruttura
Il database Firestore principale risulta verificato in multi-region europea eur3. Le Cloud Functions applicative sono allineate a europe-west1. La region del bucket Firebase Storage e l’eventuale presenza di media clinici restano oggetto di verifica amministrativa dedicata.
Quando il trattamento comporta componenti ospitate o gestite fuori dal SEE, applichiamo il pacchetto interno di review su vendor e trasferimenti, che include DPA, SCC o altri meccanismi contrattuali applicabili del fornitore. Non dichiariamo che l’intero stack resti esclusivamente nel SEE finche il perimetro Storage non e verificato in modo definitivo.
| Vendor | Finalita | Location / region | Nota |
|---|---|---|---|
| Firebase / Firestore | Database applicativo e sincronizzazione | eur3 (verificato) | Area primaria dati applicativi verificata in multi-region europea. |
| Cloud Functions | Backend applicativo e funzioni server | europe-west1 (configurato) | Runtime allineato all’area europea per ridurre latenza operativa e trasferimenti non necessari fuori SEE. |
| Firebase Storage | Storage file e media | In verifica amministrativa | La region del bucket e il perimetro eventuali media clinici sono ancora oggetto di conferma amministrativa. |
| Stripe | Pagamenti e abbonamenti | Secondo infrastruttura vendor | Il rapporto contrattuale e i trasferimenti sono disciplinati dai termini del fornitore. |
| Sentry | Error monitoring opzionale | Secondo configurazione vendor | Attivo solo con consenso e con scrub dei dati sensibili lato client. |
| Umami Cloud | Misurazione audience cookieless del sito pubblico | Secondo regione selezionata in Umami Cloud e infrastruttura vendor | Sempre attivo sulle sole pagine pubbliche; nessun cookie/storage analytics, query string/hash esclusi e area /app bloccata. |
| Google Analytics 4 | Analytics avanzati del sito pubblico | Secondo configurazione vendor | Attivo solo dopo consenso; escluso dall’area clinica /app, con query string non inviata e pageview iniziale disattivata. |
6. Conservazione dei dati
Conserviamo i dati solo per il tempo necessario alle finalita indicate, agli obblighi di legge, alla sicurezza del servizio e all’eventuale tutela dei diritti del titolare o del cliente.
| Dataset | Periodo o criterio di conservazione |
|---|---|
| Dati account, membership e configurazione organizzativa | Per la durata del rapporto contrattuale e per il tempo necessario a gestire sicurezza, contestazioni e chiusura operativa del servizio. |
| Dati clinici, sessioni, assessment, report ed eventi collegati | Soft delete su richiesta o fine rapporto; hard delete tecnica a 30 giorni da deletedAt salvo legal hold, obblighi di legge o decisione diversa del titolare applicabile. |
| Ticket di supporto sanitizzati | 90 giorni da resolvedAt, salvo incidenti aperti o necessità probatorie documentate. |
| Incidenti piattaforma e log operativi di sicurezza | 180 giorni o più se richiesto per investigazione, audit o obblighi difensivi. |
| Audit consensi e registrazioni privacy append-only | Conservati fino a revisione della policy probatoria e comunque per il tempo necessario a dimostrare accountability e validità del consenso. |
| Browser storage e cookie non essenziali | Secondo la durata tecnica indicata nella Cookie Policy o fino alla revoca/cancellazione manuale. |
7. Sicurezza, minori e AI locale
Applichiamo misure tecniche e organizzative per minimizzazione, segregazione degli accessi, cifratura in transito, tracciamento degli eventi sensibili, retention controllata e gating dei consensi. La MFA viene descritta e applicata solo dove richiesta dalle policy tecniche effettivamente attive.
- L’area clinica
/appnon viene tracciata da analytics pubblici. - I ticket di supporto e i diagnostics vengono minimizzati e sanitizzati.
- I dati di minori e categorie particolari richiedono particolare attenzione alla base giuridica e al ruolo del genitore, tutore o altro soggetto legittimato.
- Le eventuali funzioni AI di supporto che usano modelli on-device elaborano i dati localmente sul dispositivo e, per tale funzione, non inviano automaticamente prompt o output a un provider AI remoto.
Se in futuro verranno introdotti modelli remoti o integrazioni esterne ulteriori, aggiorneremo questa informativa, la review sui trasferimenti e la base giuridica applicabile prima dell’attivazione.
8. Diritti degli interessati
| Diritto / aspetto procedurale | Dettaglio operativo |
|---|---|
| Accesso, rettifica, cancellazione, limitazione, opposizione e portabilita | Puoi esercitare i diritti previsti dagli artt. 15-22 GDPR scrivendo a privacy@neurostep.it o tramite il canale privacy del cliente B2B che usa la piattaforma. |
| Tempi di risposta | Rispondiamo senza ingiustificato ritardo e, di norma, entro 1 mese dal ricevimento della richiesta. Se necessario possiamo prorogare di ulteriori 2 mesi, dandone comunicazione motivata entro il primo mese. |
| Formato della risposta | Quando la richiesta arriva in formato elettronico, rispondiamo normalmente in formato elettronico salvo diversa richiesta dell’interessato. |
| Richieste relative a minori o dati clinici | Per dati di minori o categorie particolari di dati possiamo richiedere verifica del ruolo del genitore, tutore o altro soggetto legittimato, nonché coordinamento con il titolare cliente. |
| Reclamo all’autorita di controllo | Puoi proporre reclamo al Garante per la protezione dei dati personali ai sensi dell’art. 77 GDPR se ritieni che il trattamento violi la normativa applicabile. |
Per i dati clinici caricati da un cliente B2B, la richiesta dell’interessato può richiedere coordinamento con il titolare che usa la piattaforma. Per i dati piattaforma gestiti direttamente da CHIANCA MARCO, puoi scrivere a privacy@neurostep.it.
9. Aggiornamenti e contatti
Possiamo aggiornare questa informativa per riflettere evoluzioni del prodotto, cambiamenti normativi, nuovi fornitori o modifiche sostanziali alle finalita del trattamento.
In caso di aggiornamenti sostanziali ai trattamenti opzionali o agli strumenti di tracciamento, il sistema può richiedere una nuova scelta di consenso tramite il banner o il centro preferenze cookie.
Contatto privacy: privacy@neurostep.it
Contatto legale / DPA: legal@neurostep.it
Autorita di controllo: Garante per la protezione dei dati personali.