Privacy Policy — Lineapura

In sintesi: Lineapura raccoglie dati personali e dati sulla salute per erogare il servizio di telemedicina. I dati sanitari sono trattati con il tuo consenso esplicito, custoditi su server in Europa, e non vengono ceduti a terzi per fini commerciali.

1. Titolare del trattamento

I trattamenti descritti coinvolgono due titolari autonomi, ciascuno per i rispettivi ambiti di competenza, ai sensi dell'art. 4 n. 7 GDPR. Non si tratta di contitolarità ex art. 26: i due titolari sono indipendenti.

1.1 Lumina U Srl (brand: Lineapura) — Titolare per la piattaforma tecnologica

Denominazione: Lumina U Srl
Brand commerciale: Lineapura
P.IVA / C.F.: 14241430967
Sede legale: Via Felice Casati, 39 — 20124 Milano (MI)
Capitale sociale: € 10.000 i.v.
Email privacy: privacy@lineapura.it
Ambito di titolarità: trattamenti connessi all'erogazione del servizio di piattaforma — gestione account, screening preliminare, infrastruttura per la televisita, pagamenti, comunicazioni di servizio, marketing, analytics.

1.2 Il medico che ti segue — Titolare autonomo per il trattamento clinico

Il medico iscritto all'Albo che, attraverso la piattaforma, conduce la televisita, valuta il caso, decide la prescrizione e gestisce il follow-up, è autonomo titolare del trattamento rispetto ai dati raccolti nell'ambito della prestazione professionale (art. 9 GDPR e Codice di Deontologia Medica). Il medico è identificato per nome, numero di iscrizione all'Albo e contatti nella documentazione clinica fornita al paziente al momento della televisita. I diritti GDPR relativi ai trattamenti clinici si esercitano direttamente nei confronti del medico.

In sintesi: Lumina U Srl è titolare per i dati relativi al funzionamento della piattaforma; il medico è titolare autonomo per i dati clinici raccolti nella prestazione professionale. I due titolari sono indipendenti l'uno dall'altro.

1.3 DPO — Responsabile della Protezione dei Dati

Il Responsabile della Protezione dei Dati di Lumina U Srl è raggiungibile all'indirizzo dpo@lineapura.it. La nomina del DPO è prevista ai sensi dell'art. 37 GDPR in considerazione del trattamento sistematico e su larga scala di dati relativi alla salute (art. 9 GDPR).

2. Dati raccolti

2.1 Dati di registrazione e account

Nome e cognome
Indirizzo email
Numero di telefono
Data di nascita e luogo di residenza
Codice fiscale (per l'emissione della ricetta dematerializzata)

2.2 Dati sulla salute (dati particolari ex art. 9 GDPR)

Peso, altezza, indice di massa corporea (BMI)
Anamnesi medica remota e prossima raccolta nel questionario
Comorbidità e patologie pregresse
Farmaci in uso
Dati di monitoraggio mensile (peso, effetti collaterali, risposta terapeutica)
Contenuto delle televisite e delle chat con il medico

2.3 Dati di pagamento

I dati di pagamento (numero carta, IBAN) non vengono mai memorizzati sui nostri sistemi. Il pagamento è gestito interamente da Stripe, Inc., certificato PCI-DSS Level 1. Riceviamo da Stripe solo gli ultimi 4 cifre della carta e i token di abbonamento.

2.4 Dati tecnici e di navigazione

Indirizzo IP, browser, sistema operativo
Pagine visitate, data e ora di accesso
Cookie (vedi Cookie Policy)

3. Finalità e base giuridica

Finalità	Base giuridica
Erogazione del servizio di piattaforma (account, accesso alla televisita, gestione abbonamento)	Art. 6.1.b GDPR — esecuzione del contratto
Trasmissione al medico dei dati di screening per la valutazione clinica	Art. 9.2.h GDPR — finalità di medicina preventiva, diagnosi, assistenza sanitaria
Trattamento clinico (visita, prescrizione, follow-up) da parte del medico in qualità di titolare autonomo	Art. 9.2.h GDPR — il medico è soggetto al segreto professionale ai sensi dell'art. 9.3 GDPR
Gestione dei pagamenti	Art. 6.1.b GDPR — esecuzione del contratto
Adempimenti fiscali (incluso reporting DAC7 ad Agenzia delle Entrate)	Art. 6.1.c GDPR — obbligo legale
Conservazione documentazione sanitaria	Art. 6.1.c GDPR — obbligo legale (art. 22 D.Lgs. 502/1992)
Comunicazioni di servizio (conferme, reminder, supporto operativo)	Art. 6.1.b GDPR — esecuzione del contratto
Marketing diretto via email su servizi analoghi a clienti esistenti	Art. 6.1.f GDPR — legittimo interesse (soft spam, art. 130 c. 4 Codice Privacy), con sempre possibile opt-out
Marketing via canali terzi (Meta, Google Ads, WhatsApp marketing)	Art. 6.1.a GDPR — consenso esplicito, revocabile in ogni momento
Analytics e miglioramento del servizio (cookie analitici, PostHog)	Art. 6.1.a GDPR — consenso (cookie banner) per analytics non strettamente necessari
Difesa in giudizio e tutela dei diritti	Art. 6.1.f GDPR — legittimo interesse

4. Dati sulla salute — cautele specifiche

I dati sulla salute sono dati particolari ai sensi dell'art. 9 GDPR e ricevono protezione rafforzata:

Sono trattati esclusivamente dai medici della rete Lineapura nell'ambito del rapporto di cura
Il personale non medico (tecnici, supporto) accede solo a dati anonimizzati o pseudonimizzati
Sono cifrati sia in transito (TLS 1.3) che a riposo (AES-256)
Vengono conservati su server ubicati nell'Unione Europea (AWS Frankfurt / Supabase EU)
Non vengono ceduti a terzi per finalità commerciali, pubblicitarie o di profilazione

5. Conservazione dei dati

Categoria di dato	Durata conservazione	Motivazione
Documentazione medica (referti, prescrizioni, note cliniche)	10 anni dalla fine del rapporto di cura	Obbligo di legge — art. 22 D.Lgs. 502/1992
Dati account e anagrafici	5 anni dalla cancellazione account	Eventuale contenzioso / obblighi fiscali
Dati di pagamento (token Stripe)	10 anni	Obbligo conservazione ai fini fiscali
Log tecnici e di navigazione	12 mesi	Sicurezza informatica
Dati marketing (se consenso prestato)	Fino alla revoca del consenso	Consenso

6. Responsabili esterni del trattamento e altri destinatari

6.1 Responsabili del trattamento (art. 28 GDPR)

Per l'erogazione del servizio Lumina U Srl si avvale dei seguenti fornitori, designati Responsabili del trattamento ai sensi dell'art. 28 GDPR. Ciascuno tratta i dati esclusivamente per le finalità di Lumina U Srl e nel rispetto delle istruzioni impartite tramite Data Processing Agreement.

Fornitore	Finalità	Trasferimenti extra-UE
Daily.co	Infrastruttura per videochiamata della televisita	USA — SCC
Stripe Payments Europe Ltd	Elaborazione pagamenti, fatturazione, reporting fiscale (DAC7)	USA — SCC
Twilio Inc.	Invio SMS e messaggi WhatsApp di servizio	USA — SCC
Supabase	Database e backend applicativo	UE (Francoforte) — no trasferimenti
AWS (Amazon Web Services)	Hosting infrastruttura, archiviazione file, backup	UE (Francoforte/Irlanda) — no trasferimenti
PostHog	Analytics di prodotto, session replay (con consenso)	UE (eu.posthog.com)
Meta Platforms Ireland Ltd	Pixel Meta per misurazione marketing (solo con consenso cookie)	USA — SCC
Google Ireland Ltd	Google Analytics, Google Ads, Google Workspace (solo con consenso per Analytics/Ads)	USA — SCC
Notion Labs Inc.	Documentazione interna, knowledge base	USA — SCC
n8n	Automazioni operative tra sistemi (workflow interni)	UE — self-hosted, no trasferimenti
Zoho Corporation B.V.	Email transazionali, helpdesk, CRM	UE (Olanda)

6.2 Altri destinatari (titolari autonomi o destinatari ex lege)

Il medico che ti segue, in qualità di titolare autonomo per i trattamenti clinici (vedi §1.2)
La farmacia indicata, limitatamente ai dati strettamente necessari per la dispensazione del farmaco (codice NRE della ricetta dematerializzata, dati anagrafici minimi)
Autorità pubbliche (Agenzia delle Entrate, autorità sanitarie, autorità giudiziarie) quando richiesto per legge o per la difesa di un diritto in giudizio
Consulenti professionali (commercialista, legali) sotto vincolo di segreto professionale

I tuoi dati non sono ceduti né venduti a terzi per finalità commerciali proprie di tali terzi. Non condividiamo i tuoi dati con aziende farmaceutiche, inserzionisti pubblicitari o broker di dati.

7. Trasferimenti extra-UE

Alcuni dei fornitori indicati al §6.1 hanno sede negli Stati Uniti (Daily.co, Stripe, Twilio, Meta, Google, Notion). I trasferimenti avvengono sulla base delle Clausole Contrattuali Standard approvate dalla Commissione Europea con Decisione 2021/914 (art. 46 GDPR) e, ove applicabile, di misure supplementari (cifratura in transito TLS 1.3 e at rest, pseudonimizzazione, controlli di accesso). L'elenco aggiornato dei sub-responsabili è disponibile su richiesta a privacy@lineapura.it.

8. I tuoi diritti

Hai il diritto di:

Accesso (art. 15) — ottenere copia di tutti i tuoi dati personali trattati
Rettifica (art. 16) — correggere dati inesatti o incompleti
Cancellazione (art. 17) — chiedere la cancellazione dei dati, salvo gli obblighi di conservazione legale
Limitazione (art. 18) — limitare il trattamento in determinate circostanze
Portabilità (art. 20) — ricevere i tuoi dati in formato strutturato e leggibile da macchina
Opposizione (art. 21) — opporsi al trattamento per fini di marketing
Revoca del consenso — in qualsiasi momento, senza pregiudicare la liceità del trattamento precedente

Per esercitare i tuoi diritti scrivi a privacy@lineapura.it. Risponderemo entro 30 giorni. Hai anche il diritto di proporre reclamo al Garante per la protezione dei dati personali (www.garanteprivacy.it).

9. Minori

Il servizio è riservato a persone che abbiano compiuto 18 anni di età. Non raccogliamo consapevolmente dati di minori. Se vieni a conoscenza che un minore ha fornito dati personali, contatta privacy@lineapura.it per la cancellazione immediata.

10. Contatti e DPO

Per qualsiasi questione relativa alla presente Privacy Policy:

Email privacy: privacy@lineapura.it
DPO: dpo@lineapura.it
Posta: Lumina U Srl — Ufficio Privacy — Via Felice Casati, 39 — 20124 Milano (MI)

Per i diritti GDPR relativi ai trattamenti clinici, contatta direttamente il medico (i contatti sono nella documentazione clinica fornita al momento della televisita).