1. Titolare del trattamento e contatti

DOCTO24 LTD
Registrata nella Repubblica di Cipro
Company Number: ΗΕ 481142
Μακαρίου ΙΙΙ, 228
AGIOS PAVLOS, BLOCK A, Floor 7, Flat/Office 712
3030, Limassol, Cipro

E-Mail: privacy@docto24.de

DOCTO24 LTD è una società registrata nella Repubblica di Cipro ed è pienamente soggetta al Regolamento generale sulla protezione dei dati dell'UE (GDPR). In qualità di azienda dell'UE, si applicano gli stessi elevati standard di protezione dei dati vigenti in Germania o in altri Stati membri dell'UE.

2. Responsabile della protezione dei dati e rappresentante UE

Ai sensi dell'art. 27 GDPR, abbiamo nominato un rappresentante nell'UE che funge anche da responsabile della protezione dei dati:

heyData GmbH
Schützenstraße 5, 10117 Berlin, Germania
Website: www.heydata.eu
E-Mail: datenschutz@heydata.eu

Autorità di controllo competente a Cipro:
Commissioner for Personal Data Protection
1 Iasonos Street, 1082 Nicosia, Cyprus
www.dataprotection.gov.cy

In alternativa, può rivolgersi all'autorità per la protezione dei dati del Suo Paese di residenza, ad esempio il Garante per la protezione dei dati personali in Italia.

3. Ambito di applicazione

La presente informativa sulla privacy si applica alla raccolta, al trattamento e all'utilizzo dei dati personali nell'ambito dell'utilizzo della piattaforma Docto24 (sito web e app) e di tutti i servizi di telemedicina correlati.

Docto24 fornisce attualmente i propri servizi in Germania e prevede l'espansione ad altri Paesi dell'UE (ad es. Francia). In ogni Paese vengono impiegati esclusivamente medici con abilitazione medica valida nel rispettivo Paese del paziente.

4. Separazione dei ruoli: chi è responsabile di cosa?

Nell'utilizzo della nostra piattaforma, vi sono diverse responsabilità in materia di protezione dei dati:

DOCTO24 LTD come titolare del trattamento

Gestione della piattaforma e dell'infrastruttura tecnica
Registrazione degli utenti e gestione degli account
Raccolta della Sua richiesta (questionario anamnestico)
Mediazione verso un medico idoneo
Elaborazione dei pagamenti per le tariffe della piattaforma
Servizio clienti e assistenza

Il medico curante come titolare del trattamento

Trattamento medico e diagnosi
Tenuta della cartella clinica (obbligo di documentazione)
Emissione di ricette mediche e certificati
Segreto professionale medico ai sensi della normativa vigente

Il contratto di trattamento viene stipulato esclusivamente tra Lei e il medico curante.

Farmacie partner come titolari del trattamento

Verifica ed evasione delle ricette mediche
Spedizione dei farmaci
Consulenza farmaceutica

Per il trattamento dei dati da parte delle farmacie partner si applicano le rispettive informative sulla privacy.

5. Definizioni

6. Basi giuridiche del trattamento

Art. 6 par. 1 lett. a GDPR – Consenso (Per cookie opzionali, comunicazioni di marketing)

Art. 6 par. 1 lett. b GDPR – Esecuzione del contratto (Per la fornitura dei servizi della piattaforma)

Art. 6 par. 1 lett. c GDPR – Obbligo legale (Per obblighi di conservazione, documentazione di sostanze controllate)

Art. 6 par. 1 lett. f GDPR – Interesse legittimo (Per la prevenzione delle frodi, sicurezza della piattaforma)

Art. 9 par. 2 lett. a GDPR – Consenso esplicito (Per i dati sanitari nell'anamnesi)

Art. 9 par. 2 lett. h GDPR – Assistenza sanitaria (Per il trattamento e l'assistenza medica)

7. Categorie di dati e finalità

Categoria	Dati	Finalità	Base giuridica
Dati anagrafici e dell'account	Nome, e-mail, data di nascita, indirizzo, numero di telefono	Registrazione, login, gestione dell'account	Art. 6 par. 1 lett. b GDPR
Dati sanitari	Risposte al questionario anamnestico, diagnosi, prescrizioni, referti	Anamnesi medica, diagnosi, trattamento	Art. 9 par. 2 lett. a, h GDPR
Dati di identificazione	Documento d'identità (foto), eventuale selfie per la verifica	Verifica dell'età e dell'identità (obbligo legale)	Art. 6 par. 1 lett. c GDPR
Dati di pagamento	Metodo di pagamento, dati della transazione, indirizzo di fatturazione	Elaborazione dei pagamenti, fatturazione	Art. 6 par. 1 lett. b GDPR
Dati di utilizzo	Indirizzo IP (anonimizzato), pagine visualizzate, informazioni sul dispositivo	Ottimizzazione della piattaforma, risoluzione errori	Art. 6 par. 1 lett. f GDPR
Dati di comunicazione	E-mail, messaggi in chat, richieste di assistenza	Assistenza, notifiche, chat medico-paziente	Art. 6 par. 1 lett. b GDPR

8. Protezione speciale dei dati sanitari

I dati sanitari sono soggetti a una protezione speciale ai sensi dell'Art. 9 GDPR. Adottiamo le seguenti misure per proteggere i Suoi dati sensibili:

Crittografia end-to-end di tutti i dati sanitari durante la trasmissione
Conservazione crittografata nell'UE (AES-256)
Registrazione degli accessi (audit log) per tutti gli accessi ai dati
Limitazione rigorosa degli accessi secondo il principio di minimizzazione
Audit di sicurezza periodici da parte di verificatori esterni
Database separati per i dati medici e amministrativi

9. Trattamento dei dati per le prescrizioni di cannabis

A causa dei particolari requisiti normativi, per la prescrizione di cannabis medica si applicano disposizioni aggiuntive:

Documentazione ai sensi del Decreto Ministeriale 9 novembre 2015 (cannabis terapeutica)
Documentazione dei quantitativi e rispetto dei limiti di legge (100g/30 giorni)
Nessuna divulgazione dei dati dei pazienti alle autorità senza ordine giudiziario
Conservazione separata dei dati relativi al trattamento con cannabis
Documentazione delle ricette conforme alla normativa sulle sostanze controllate

10. Consulto video

Per i consulti video utilizziamo un'istanza Jitsi self-hosted. La comunicazione avviene in forma crittografata (SRTP/DTLS).

Server video self-hosted nell'UE (nessun servizio statunitense)
Trasmissione audio e video crittografata
Nessuna registrazione permanente del consulto video
Cancellazione dei dati temporanei al termine della sessione
I metadati tecnici non vengono collegati ai dati sanitari

11. Fornitori di servizi e responsabili del trattamento

Per singoli servizi ci avvaliamo dei seguenti fornitori, con i quali sono stati stipulati accordi sul trattamento dei dati ai sensi dell'Art. 28 GDPR:

Servizio	Fornitore	Finalità
Hosting e infrastruttura	Hostinger (server UE)	Fornitura della piattaforma
Invio e-mail	Scaleway (Francia)	E-mail transazionali
Elaborazione pagamenti	Komfortkasse, TransVoucher	Elaborazione sicura dei pagamenti
Interfaccia farmacia	Cannaflow, Cannaleo	Trasmissione delle ricette alle farmacie partner
Qualifizierte elektronische Signatur (QES)	Yousign SAS (Frankreich)	Rechtssichere Signatur von Rezepten & AU nach eIDAS (Video-Ident + Signaturzertifikat)
Protezione dei dati	heyData GmbH (Berlino)	Responsabile della protezione dei dati, rappresentante UE

Tutti i fornitori hanno sede nell'UE o trattano i dati esclusivamente su server nell'UE.

Qualifizierte Elektronische Signatur (QES)

Für die rechtssichere elektronische Unterzeichnung von Rezepten und Arbeitsunfähigkeitsbescheinigungen durch unsere Ärzte setzen wir Yousign SAS (Paris, Frankreich) als Qualifizierten Vertrauensdiensteanbieter (QTSP) nach der eIDAS-Verordnung (EU) 910/2014 ein.

Verarbeitete Daten (nur bei Ärzten): Name, E-Mail, Telefon, amtlicher Ausweis (Video-Ident), biometrische Verifikation, Signaturzertifikat

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie § 2 Abs. 3 VDG

Serverstandort: Frankreich (EU)

Auftragsverarbeitungsvertrag (AVV): Mit Yousign besteht ein AVV gemäß Art. 28 DSGVO.

Speicherdauer: Signierte Dokumente werden 10 Jahre aufbewahrt (gesetzliche Aufbewahrungsfrist für Rezepte nach § 18 ApBetrO).

Patientendaten: Im signierten Rezept-PDF werden Patientendaten (Name, Adresse, Medikation) an Yousign übermittelt — dies ist erforderlich für die rechtsgültige Unterzeichnung. Es werden keine Ausweis- oder biometrischen Daten von Patienten an Yousign übertragen.

Weitere Informationen: Yousign Datenschutzerklärung

12. Trasferimento dei dati verso Paesi terzi

Docto24 non trasferisce in linea di principio dati personali verso Paesi terzi al di fuori dell'UE/SEE.

Qualora in futuro fosse necessario un trasferimento di dati verso un Paese terzo, ciò avverrà esclusivamente sulla base di una decisione di adeguatezza della Commissione europea (Art. 45 GDPR) o di garanzie adeguate (Art. 46 GDPR, ad es. clausole contrattuali tipo dell'UE).

Situazione attuale: Ci impegniamo a non trasferire dati sanitari verso Paesi terzi.

13. Durata della conservazione

Conserviamo i Suoi dati solo per il tempo necessario alla rispettiva finalità o per il periodo previsto dagli obblighi legali di conservazione:

Dati dell'account: fino alla cancellazione dell'account
Dati sanitari: 10 anni (obbligo di documentazione medica)
Dati di pagamento: 10 anni (obbligo di conservazione fiscale)
Documenti d'identità: max. 30 giorni dopo la verifica
Dati di utilizzo: 13 mesi (anonimizzati)
Richieste di assistenza: 2 anni dalla conclusione

14. I Suoi diritti come interessato

Ai sensi del GDPR, Le spettano i seguenti diritti:

Diritto di accesso (Art. 15 GDPR)Può richiedere informazioni sui dati personali da noi trattati.

Diritto di rettifica (Art. 16 GDPR)Può richiedere la rettifica di dati inesatti.

Diritto alla cancellazione (Art. 17 GDPR)Può richiedere la cancellazione dei Suoi dati, nella misura in cui non sussistano obblighi legali di conservazione.

Limitazione del trattamento (Art. 18 GDPR)Può richiedere la limitazione del trattamento.

Portabilità dei dati (Art. 20 GDPR)Può ottenere i Suoi dati in un formato comune.

Diritto di opposizione (Art. 21 GDPR)Può opporsi al trattamento basato su interessi legittimi.

Revoca del consensoPuò revocare in qualsiasi momento i consensi prestati con effetto per il futuro.

Diritto di reclamo (Art. 77 GDPR)Può presentare reclamo presso un'autorità di controllo per la protezione dei dati (in Italia: Garante per la protezione dei dati personali).

Per esercitare i Suoi diritti, La preghiamo di inviare un'e-mail a:

E-Mail: datenschutz@heydata.eu
Risponderemo alla Sua richiesta tempestivamente, al più tardi entro un mese.

15. Cookie e tracciamento

Le informazioni sui cookie da noi utilizzati sono disponibili nella nostra Informativa sui cookie.

Non utilizziamo strumenti di tracciamento di terze parti come Google Analytics o Facebook Pixel.

Tutti i dati analitici vengono elaborati esclusivamente internamente e in forma anonima su server nell'UE.

Punti principali:

Solo cookie essenziali senza consenso
Cookie analitici solo con consenso esplicito
Nessun Google Analytics, nessun Facebook Pixel
Tutti i dati su server nell'UE
Impostazioni dei cookie modificabili in qualsiasi momento

16. Comunicazioni via e-mail

Inviamo esclusivamente e-mail transazionali (ad es. conferme d'ordine, notifiche di appuntamento) tramite il nostro servizio e-mail con sede nell'UE.

Nessuna pubblicità non richiesta senza consenso
Possibilità di disiscrizione (Unsubscribe) in ogni e-mail
Invio e-mail crittografato (TLS)
Nessun tracciamento delle e-mail (nessun tasso di apertura, nessun tracciamento dei link)

17. Misure di sicurezza (TOM)

Adottiamo ampie misure tecniche e organizzative (TOM) ai sensi dell'Art. 32 GDPR per la protezione dei Suoi dati:

Crittografia

TLS 1.3 per tutte le connessioni, AES-256 per i dati a riposo

Controllo degli accessi

Role-based Access Control (RBAC), autenticazione a più fattori

Registrazione

Audit log completi per tutti gli accessi ai dati

Backup dei dati

Backup giornalieri crittografati con rotazione di 7 giorni

Sicurezza di rete

Firewall, rilevamento delle intrusioni, protezione DDoS

18. Social network

Sul nostro sito web non sono attualmente integrati plugin di social media (Facebook Like, Twitter Share ecc.). Nessun dato viene trasmesso ai social network.

I link ai nostri profili social media sono presentati come semplici link senza tracciamento.

19. Processo decisionale automatizzato

Non viene effettuato alcun processo decisionale automatizzato (inclusa la profilazione) ai sensi dell'Art. 22 GDPR che produca effetti giuridici nei Suoi confronti o La pregiudichi in modo analogo in maniera significativa.

Il controllo dei sintomi basato sull'IA serve esclusivamente come supporto e non sostituisce la decisione medica.

20. Informativa per il paziente

Nell'ambito del trattamento di telemedicina viene fornita un'informativa sulla protezione dei dati relativa alle particolarità dell'assistenza sanitaria digitale. Questa comprende in particolare le informazioni sul trattamento digitale dei dati sanitari e sulle misure di protezione speciali da noi adottate.

Ulteriori informazioni sono disponibili nella nostra Informativa per il paziente sulla telemedicina.

21. Autenticazione e verifica dell'identità

Per garantire l'identità e l'età utilizziamo una procedura in due fasi:

Verifica dell'età: autodichiarazione e conferma da parte dell'utente
Verifica dell'identità: caricamento di un documento d'identità valido (carta d'identità o passaporto)

I documenti d'identità vengono utilizzati esclusivamente ai fini della verifica e cancellati entro 30 giorni dal completamento della stessa. Non vengono trasmessi a terzi.

22. Modifiche alla presente informativa

Ci riserviamo il diritto di modificare la presente informativa sulla privacy per adeguarla a cambiamenti normativi o a modifiche del servizio. La versione attuale è sempre disponibile su questa pagina.

Le modifiche sostanziali verranno comunicate via e-mail con almeno 30 giorni di preavviso rispetto alla loro entrata in vigore.

Data dell'ultimo aggiornamento: dicembre 2024

23. Contatti per richieste sulla privacy

Per domande sulla protezione dei dati può contattarci ai seguenti recapiti:

Richieste generali sulla privacy:

privacy@docto24.de

Responsabile della protezione dei dati (heyData GmbH):

datenschutz@heydata.eu

Risponderemo alla Sua richiesta entro 30 giorni (Art. 12 par. 3 GDPR).

Informativa sulla privacy

Privacy in sintesi