Ai sensi degli art. 13 e 14 del Regolamento UE 2016/679 (“Regolamento” o “GDPR”) e ss.mm.ii., la Omnia Sano società consortile a responsabilità limitata, aggregato di medicina di laboratorio (di seguito “Omnia Sano”), con sede in Trapani, via Convento San Francesco di Paola, 73, indirizzo PEC omniasano@pec.it, in qualità di titolare del trattamento (di seguito, per brevità, “Titolare”), Le fornisce le seguenti informazioni riguardanti il trattamento dei Suoi dati personali nell’ambito dell’utilizzo dell’applicazione mobile “OmniaSano” (di seguito “App”).

Il Titolare del trattamento dei dati personali è:

Omnia Sano s.c.a r.l.
Via Convento San Francesco di Paola, 73 — 91100 Trapani
P.I./C.F.: 02601390814 | REA TP-182979
PEC: omniasano@pec.it
Email: segreteria@omniasano.it

Il Titolare ha designato la sig.ra Eva Enza Amenta “responsabile della protezione dei dati” (“DPO”), raggiungibile all’indirizzo di posta elettronica dpo@omniasano.it.

Nell’ambito dell’utilizzo dell’App, il Titolare raccoglie e tratta le seguenti categorie di dati personali:

1. dati identificativi e di contatto: nome, cognome, numero di telefono, codice fiscale, data di nascita, indirizzo email, indirizzo di residenza, comune, CAP;
2. dati relativi alla salute: referti di analisi di laboratorio, risultati diagnostici e documenti medici associati;
3. dati finanziari: importi delle fatture, stato dei pagamenti, dati necessari all’elaborazione dei pagamenti online (gestiti tramite Stripe);
4. dati di prenotazione: date e sedi degli appuntamenti, tipologia di esami richiesti;
5. dati tecnici: token di autenticazione, token per le notifiche push, versione dell’applicazione e piattaforma del dispositivo;
6. dati biometrici: l’App consente l’autenticazione tramite impronta digitale o riconoscimento facciale. Tali dati biometrici sono gestiti esclusivamente dal sistema operativo del dispositivo e non vengono mai trasmessi ai server del Titolare né a terze parti.

I dati personali sono trattati esclusivamente per le finalità strettamente necessarie allo svolgimento delle attività del Titolare e, in particolare:

1. autenticazione e accesso al servizio: verifica dell’identità dell’utente tramite numero di telefono, data di nascita e codice OTP inviato via SMS
   base giuridica: esecuzione del contratto (art. 6, par. 1, lett. b, GDPR);
2. attività sanitaria e consultazione dei documenti: accesso ai referti di analisi di laboratorio e alle fatture
   base giuridica: esecuzione del contratto e obbligo legale (art. 6, par. 1, lett. b e c, GDPR);
3. gestione delle prenotazioni: prenotazione, consultazione e gestione degli appuntamenti per esami di laboratorio
   base giuridica: esecuzione del contratto (art. 6, par. 1, lett. b, GDPR)
4. pagamenti online: elaborazione dei pagamenti per le prestazioni sanitarie tramite Stripe
   base giuridica: esecuzione del contratto (art. 6, par. 1, lett. b, GDPR);
5. notifiche push: invio di notifiche relative alla disponibilità dei referti, delle fatture e ai promemoria degli appuntamenti
   base giuridica: legittimo interesse del Titolare (art. 6, par. 1, lett. f, GDPR);
6. adempimento di obblighi legali: rispetto degli obblighi previsti da leggi, regolamenti e normativa comunitaria in materia sanitaria, fiscale e amministrativa
   base giuridica: obbligo legale (art. 6, par. 1, lett. c, GDPR);
7. comunicazioni di marketing: invio di comunicazioni promozionali relative ai servizi del laboratorio
   base giuridica: consenso dell’utente (art. 6, par. 1, lett. a, GDPR). L’utente può revocare il consenso in qualsiasi momento tramite le impostazioni dell’App, senza che ciò pregiudichi la liceità del trattamento precedente alla revoca.

I dati personali sono trattati con strumenti elettronici e sono protetti con misure di sicurezza adeguate, tra cui:

• tutte le comunicazioni tra l’App e i server avvengono tramite protocollo HTTPS con crittografia TLS;
• l’autenticazione avviene tramite token JWT (JSON Web Token) con scadenza temporale;
• il token di autenticazione è conservato in modo sicuro sul dispositivo tramite meccanismi di archiviazione del sistema operativo;
• l’autenticazione biometrica (impronta digitale, riconoscimento facciale) è gestita interamente dal sistema operativo del dispositivo; i dati biometrici non lasciano mai il dispositivo;
• i documenti medici scaricati sono conservati nella memoria interna dell’applicazione, accessibile esclusivamente dall’App stessa.

I dati personali dell’utente sono trattati esclusivamente dal personale formalmente autorizzato del Titolare, nell’ambito delle proprie mansioni. Nei limiti strettamente necessari all’erogazione dei servizi, il Titolare si avvale dei seguenti fornitori terzi, nominati responsabili del trattamento:

1. Firebase Cloud Messaging (Google LLC): utilizzato per l’invio di notifiche push. Google riceve un identificativo tecnico del dispositivo (token FCM) e i topic di iscrizione.
   Informativa privacy: https://policies.google.com/privacy
2. Stripe Inc.: utilizzato per l’elaborazione dei pagamenti online. Stripe riceve i dati necessari al pagamento (nome, email). I dati delle carte di credito sono gestiti interamente da Stripe e non transitano né vengono conservati sui server del Titolare.
   Informativa privacy: https://stripe.com/it/privacy
3. operatore di telecomunicazioni: per l’invio del codice OTP via SMS. Il numero di telefono è comunicato al provider SMS esclusivamente per finalità di autenticazione.
4. strutture sanitarie e centri clinici diagnostici terzi, ove necessario per il completamento della prestazione sanitaria richiesta.
5. enti previdenziali, assicurazioni e organismi sanitari di controllo, per quanto di specifica competenza.
6. autorità giudiziaria e di pubblica sicurezza, nei casi previsti dalla legge.

I dati personali non vengono diffusi né ceduti a terzi per finalità di marketing senza il previo consenso dell’utente.

I dati personali sono conservati per il tempo strettamente necessario alle finalità per cui sono stati raccolti:

• dati di autenticazione (token): fino al logout dell’utente o alla scadenza del token.
• dati del profilo utente: conservati sul dispositivo fino al logout. Sui server del Titolare, per la durata del rapporto contrattuale e per i termini previsti dalla legge.
• referti e fatture: conservati sul dispositivo fino alla cancellazione manuale tramite la funzione “Pulisci cache” nella sezione Profilo dell’App. Sui server del Titolare, conservati a tempo indeterminato in conformità agli obblighi di legge in materia di documentazione sanitaria.
• dati delle prestazioni ambulatoriali: conservati secondo le norme vigenti.
• dati di pagamento: conservati da Stripe secondo la propria informativa e per i termini previsti dalla normativa fiscale.
• token per le notifiche push: conservati finché l’App è installata sul dispositivo.

Alcuni dei fornitori terzi di cui si avvale il Titolare (in particolare Google LLC per Firebase e Stripe Inc.) hanno sede negli Stati Uniti d’America. Il trasferimento dei dati verso tali soggetti avviene esclusivamente in conformità alle garanzie previste dal Regolamento UE 2016/679, in particolare mediante il ricorso a clausole contrattuali standard approvate dalla Commissione Europea o, ove applicabile, in virtù di una decisione di adeguatezza.

Per ulteriori informazioni sulle garanzie adottate è possibile contattare il DPO all’indirizzo dpo@omniasano.it.

Ai sensi degli artt. 15-22 del GDPR, l’utente ha diritto di:

1. accesso: ottenere conferma dell’esistenza di un trattamento dei propri dati personali e accedere a tali dati.
2. rettifica: ottenere la correzione dei dati personali inesatti o l’integrazione dei dati incompleti.
3. cancellazione: ottenere la cancellazione dei propri dati personali, nei casi previsti dalla legge.
4. limitazione: ottenere la limitazione del trattamento nei casi previsti dalla legge.
5. portabilità: ricevere i propri dati personali in formato strutturato, di uso comune e leggibile da dispositivo automatico.
6. opposizione: opporsi al trattamento dei propri dati personali per motivi connessi alla propria situazione particolare.
7. revoca del consenso: revocare in qualsiasi momento il consenso al trattamento per finalità di marketing, senza che ciò pregiudichi la liceità del trattamento basata sul consenso prestato prima della revoca.

Per esercitare i propri diritti, l’utente può contattare il DPO all’indirizzo: dpo@omniasano.it.

L’utente ha inoltre il diritto di proporre reclamo all’Autorità Garante per la Protezione dei Dati Personali: www.garanteprivacy.it.

L’App conserva sul dispositivo dell’utente le seguenti informazioni:

• credenziali di sessione per consentire l’accesso senza reinserimento delle credenziali.
• dati del profilo utente per la consultazione offline.
• referti e fatture scaricati in formato PDF nella memoria interna dell’applicazione.
• preferenze dell’utente relative alle notifiche e alle impostazioni dell’App.

L’utente può eliminare i documenti scaricati in qualsiasi momento tramite la funzione “Pulisci cache” presente nella sezione Profilo dell’App. La disinstallazione dell’App comporta la cancellazione di tutti i dati conservati localmente.

Il Titolare si riserva il diritto di modificare la presente informativa in qualsiasi momento. Le modifiche saranno comunicate tramite aggiornamento dell’App. La data dell’ultimo aggiornamento è indicata in alto.

Per qualsiasi domanda o richiesta relativa alla presente informativa o al trattamento dei dati personali:

Responsabile della Protezione dei Dati (DPO): Eva Enza Amenta
Email: dpo@omniasano.it