Informativa sul trattamento dei dati personali artt. 13 e 14 Reg. UE 2016/679(GDPR) per il servizio Faith (APP Desktop)
Gentile Utente, la presente informativa è resa da e-Shark S.r.l. (di seguito anche “il Titolare” o “E-Shark”), con sede legale in Via Antonio Gramsci 52, 95030 Gravina di Catania (CT), C.F./P.IVA 03954260877, in qualità di Titolare del trattamento dei dati personali necessari alla registrazione e all’utilizzo dell’applicazione mobile “Faith (APP Desktop)” (di seguito anche solo “l’App” o “Faith”), ai sensi e per gli effetti degli artt. 13 e 14 del Regolamento UE 2016/679 (di seguito “GDPR”).
Faith è un’applicazione desktop progettata per consentire ai professionisti sanitari (medici specialisti, medici di medicina generale, pediatri di libera scelta) di gestire le attività del proprio studio medico. L’App permette, tra le altre funzionalità, l’emissione di ricette dematerializzate (DEMA) SSN e non SSN, la gestione degli appuntamenti, la consultazione delle cartelle cliniche dei pazienti e la sincronizzazione dei dati tra diverse postazioni di lavoro, nonché la comunicazione con i pazienti che utilizzano l’App DottorBox.
L’utilizzo dell’App comporta la preventiva installazione del software desktop Faith presso lo studio del professionista sanitario e l’acquisto della relativa licenza d’uso.
Ruoli privacy nell’ambito del servizio Faith:
I professionisti sanitari che utilizzano il software Faith rivestono il ruolo di Titolari del trattamento dei dati sanitari dei propri pazienti. E-Shark riveste il duplice ruolo di: (i) Titolare del trattamento per i dati personali degli utenti necessari alla registrazione e fruizione dei servizi della piattaforma; (ii) Responsabile del trattamento ai sensi dell’art. 28 GDPR, per quanto concerne i dati sanitari dei pazienti, sulla base delle istruzioni impartite dai singoli professionisti sanitari titolari. La presente informativa disciplina esclusivamente il trattamento sub (i).
Il Titolare ha nominato un Responsabile della protezione Dati contattabile all’indirizzo: dpo@e-shark.it
CATEGORIE DI DATI PERSONALI TRATTATI
Nell’ambito dell’erogazione dei servizi tramite l’App Faith, il Titolare tratta le seguenti categorie di dati personali:
Dati identificativi e anagrafici
Nome e cognome o Ragione Sociale – Codice fiscale – Partita IVA – Indirizzo di Posta Elettronica – PEC – Recapiti telefonici – Numero del Documento di Identificazione – Credenziali di Accesso (username e password) – Indirizzo fiscale e di studio – Asl e Regione di appartenenza – Numero iscrizione all’Albo – Codice Regionale MMG e PLS
Dati tecnici e di navigazione
Indirizzo IP – Tipo, Versione e architettura del sistema operativo – Identificativo Univoco del Dispositivo – Nome computer – Versione, distribuzione e tipo installazione di Faith – Versione SQL Server di Microsoft – versione .NET – CPU – RAM.
Dati relativi all’autenticazione tramite Google
Qualora l’App utilizzi servizi di autenticazione Google (OAuth 2.0), saranno trattati i dati necessari al processo di autenticazione, quali l’indirizzo e-mail associato all’account Google, il nome del profilo e il token di autenticazione. Tali dati sono utilizzati esclusivamente per verificare l’identità dell’utente e consentire l’accesso ai servizi dell’App. L’App non accede, utilizza, archivia o condivide alcun dato aggiuntivo proveniente dai servizi Google dell’utente al di fuori di quanto strettamente necessario per l’autenticazione.
Finalità e modalità di accesso all’email dell’Utente
Per poter accedere alla posta di GMAIL, Google utilizza un sistema di autenticazione OAuth 2.0, che fornisce un token di accesso (access token) e un token di aggiornamento (refresh token).
In pratica:
• L’Utente concede l’autorizzazione a Faith una sola volta, accedendo con l’account Google tramite in una finestra ufficiale (gestita da Google).
• Google rilascia a Faith un token di accesso temporaneo e, all’occorrenza un refresh token che Faith utilizzerà per chiamare le API di Gmail per leggere messaggi della posta elettronica.
• Faith accede alla posta dell’Utente individuando esclusivamente l’ e–mail del Sistema TS che contiene il codice per sbloccare l’autenticazione a due fattori per l’emissione delle ricette dematerializzate, proponendo il codice sulla mascherina di Faith.
Dati particolari (dati sanitari)
Con riferimento ai dati relativi alla salute dei pazienti, trattati per il tramite dell’App, il Titolare del trattamento è esclusivamente il professionista sanitario (medico curante) che utilizza Faith. E-Shark non tratta direttamente tali dati se non in qualità di Responsabile del trattamento ex art. 28 GDPR, su istruzione documentata del professionista sanitario. Per il trattamento dei dati sanitari si rinvia all’informativa resa dal proprio medico curante.
FINALITÀ E BASI GIURIDICHE DEL TRATTAMENTO
I dati personali dell’utente sono trattati dal Titolare per le seguenti finalità:
Erogazione dei servizi della piattaforma Faith
Registrazione dell’utente, creazione e gestione dell’account, autenticazione, accesso alle funzionalità dell’App, sincronizzazione dei dati tra dispositivi, assistenza tecnica
Base giuridica: art. 6, par. 1, lett. b) GDPR – esecuzione del contratto di licenza o di misure precontrattuali adottate su richiesta dell’interessato.
Adempimento di obblighi normativi
Adempimento di obblighi previsti dalla legge, da regolamenti o dalla normativa europea (ad es. obblighi fiscali, contabili, conservazione documentale).
Base giuridica: art. 6, par. 1, lett. c) GDPR – adempimento di un obbligo legale.
MECCANISMI DI PROTEZIONE E SICUREZZA DEI DATI
Ai sensi dell’art. 32 GDPR, il Titolare adotta misure tecniche e organizzative adeguate a garantire un livello di sicurezza proporzionato al rischio, tenuto conto della natura, dell’oggetto, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche. In conformità ai principi di privacy by design e by default di cui all’art. 25 GDPR, le misure implementate sono le seguenti:
Crittografia dei dati
I dati anagrafici dei pazienti, conservati nel database locale (Microsoft SQL Server), sono protetti tramite la tecnologia Always Encrypted con algoritmo AEAD_AES_256_CBC_HMAC_SHA_256, che garantisce la pseudonimizzazione in modo che i dati sanitari non siano direttamente riconducibili al paziente.
Crittografia in transito
Tutte le comunicazioni tra l’App Faith e i server avvengono tramite protocollo HTTPS con Transport Layer Security (TLS), che garantisce: crittografia dei dati in transito per la protezione contro le intercettazioni; integrità dei dati durante il trasferimento.
MODALITÀ DEL TRATTAMENTO
I dati personali sono trattati su supporto informatico, mediante strumenti elettronici e automatizzati, nel rispetto dei principi di liceità, correttezza, trasparenza, minimizzazione, esattezza, limitazione della conservazione, integrità e riservatezza di cui all’art. 5 GDPR. I dati sono conservati in formato elettronico su dispositivi interni e su piattaforme cloud tramite fornitori qualificati, con l’impiego delle misure di sicurezza descritte alla sezione 5. I dati non sono elaborati tramite processi decisionali interamente automatizzati, compresa la profilazione, ai sensi dell’art. 22 GDPR.
NATURA DEL CONFERIMENTO DEI DATI
Il conferimento dei dati identificativi, anagrafici, tecnici e di navigazione è facoltativo ma necessario per la registrazione e l’utilizzo dei servizi dell’App Faith. Il mancato o incompleto conferimento dei dati comporterà l’impossibilità di erogare i servizi richiesti.
DESTINATARI E CATEGORIE DI DESTINATARI
I dati personali dell’utente potranno essere comunicati, nei limiti strettamente pertinenti alle finalità indicate, alle seguenti categorie di soggetti:
• personale dipendente e collaboratori del Titolare, debitamente autorizzati al trattamento ai sensi dell’art. 29 GDPR e dell’art. 2-quaterdecies del Codice Privacy;
• professionisti, società o studi professionali che prestino al Titolare assistenza o consulenza amministrativa, contabile, fiscale o legale;
• OVHcloud (OVH SAS, 2 rue Kellermann, 59100 Roubaix, Francia), in qualità di sub-responsabile del trattamento ai sensi dell’art. 28, par. 2, GDPR, quale provider di servizi di hosting e infrastruttura cloud;
• Autorità pubbliche, enti ed organismi in adempimento di obblighi di legge o su richiesta di autorità legittimate;
• terzi fornitori di servizi informatici funzionali all’erogazione del servizio, nominati responsabili del trattamento ex art. 28 GDPR.
I dati personali dell’utente non saranno in alcun caso oggetto di diffusione né di comunicazione a soggetti terzi non autorizzati.
TRASFERIMENTO DEI DATI
I dati personali sono trattati e conservati su server ubicati all’interno dell’Unione Europea (data center OVHcloud, Gravelines, Francia). Non è previsto il trasferimento dei dati personali verso Paesi terzi al di fuori dello Spazio Economico Europeo. Qualora si rendesse necessario un trasferimento extra-UE, il Titolare si impegna a darne preventiva comunicazione all’interessato e ad adottare le garanzie adeguate previste dagli artt. 44-49 GDPR (decisioni di adeguatezza, clausole contrattuali standard, norme vincolanti d’impresa).
PERIODO DI CONSERVAZIONE DEI DATI
I dati personali dell’utente saranno conservati per il tempo strettamente necessario al perseguimento delle finalità per cui sono stati raccolti, nel rispetto del principio di limitazione della conservazione di cui all’art. 5, par. 1, lett. e) GDPR, secondo i seguenti criteri:
• Dati per l’erogazione del servizio: per tutta la durata della registrazione dell’utente nell’App e, successivamente alla cessazione del rapporto contrattuale, per un periodo di 10 (dieci) anni ai fini della conservazione documentale per esigenze di natura amministrativa, contabile e fiscale.
• Dati per obblighi di legge: per il periodo previsto dalla specifica normativa di riferimento applicabile.
• Dati di autenticazione Google: i token di autenticazione sono conservati per la durata della sessione e, in caso di accesso persistente, fino alla revoca dell’autorizzazione da parte dell’utente o alla scadenza del token.
Alla scadenza dei termini di conservazione, i dati personali saranno cancellati o resi anonimi in modo irreversibile. L’utente può richiedere la cancellazione dei propri dati in qualsiasi momento, fatto salvo il rispetto degli obblighi di conservazione imposti dalla legge.
DIRITTI DELL’INTERESSATO
In relazione ai trattamenti descritti nella presente informativa, l’utente può esercitare, nei limiti e alle condizioni previsti dagli artt. 15-22 GDPR, i seguenti diritti:
• Diritto di accesso (art. 15 GDPR): ottenere conferma dell’esistenza di un trattamento, accedere ai propri dati e ottenerne copia;
• Diritto di rettifica (art. 16 GDPR): ottenere la correzione dei dati inesatti e l’integrazione dei dati incompleti;
• Diritto alla cancellazione (art. 17 GDPR): ottenere la cancellazione dei dati, salvo gli obblighi di conservazione previsti dalla legge;
• Diritto di limitazione (art. 18 GDPR): ottenere la limitazione del trattamento nei casi previsti dalla norma;
• Diritto alla portabilità (art. 20 GDPR): ricevere i propri dati in formato strutturato, di uso comune e leggibile da dispositivo automatico;
• Diritto di opposizione (art. 21 GDPR): opporsi al trattamento per motivi connessi alla propria situazione particolare;
• Diritto di revoca del consenso (art. 7, par. 3, GDPR): revocare in qualsiasi momento il consenso prestato, senza pregiudicare la liceità del trattamento effettuato prima della revoca;
• Diritto di reclamo (art. 77 GDPR): proporre reclamo all’Autorità Garante per la Protezione dei Dati Personali, Piazza Venezia 11, 00187 Roma (RM) – www.garanteprivacy.it.
L’esercizio dei diritti è gratuito ai sensi dell’art. 12 GDPR. L’utente può esercitare i propri diritti contattando il Titolare ai recapiti indicati nella sezione 1 o il DPO ai recapiti indicati nella sezione 2. Il Titolare fornirà riscontro entro 30 giorni dalla ricezione della richiesta, eventualmente prorogabili di ulteriori 60 giorni in ragione della complessità o del numero delle richieste, dandone comunicazione all’interessato.
MODIFICHE ALLA PRESENTE INFORMATIVA
Il Titolare si riserva il diritto di modificare, integrare o aggiornare periodicamente la presente informativa, anche in adeguamento a modifiche normative o a variazioni delle funzionalità dell’App. Ogni modifica sarà comunicata all’utente tramite notifica nell’App o mediante pubblicazione della versione aggiornata. L’utilizzo dell’App dopo la comunicazione delle modifiche costituisce accettazione della nuova informativa, fatta salva la necessità di acquisire un nuovo consenso ove richiesto dalla normativa vigente.
Ultimo aggiornamento: 14 aprile 2026 – Versione 2.3
