Salta al contenuto principale
🚀 Beta pubblica — Alcune funzionalità potrebbero non essere ancora disponibili
FarmadeskAccedi

Informativa sulla Privacy

ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 ("GDPR") e del D.Lgs. 30 giugno 2003, n. 196 ("Codice Privacy"), come modificato dal D.Lgs. 10 agosto 2018, n. 101

Ultimo aggiornamento: 18 aprile 2026

1. Titolare del Trattamento

Farmadesk S.r.l.
Sede legale: Corso Umberto I, 123 - 94013 Leonforte (EN) - Italia
P.IVA / C.F.: 01234567891
REA: EN-123456 | Capitale sociale: €10.000 interamente versato
Email: info@aifarmadesk.it
PEC: farmadesk@pec.aifarmadesk.it
Sito web: www.aifarmadesk.it

Per ogni comunicazione relativa alla protezione dei dati personali è possibile scrivere a: privacy@aifarmadesk.it.

Responsabile della Protezione dei Dati (DPO): ai sensi dell'art. 37 del GDPR, è stato nominato un Data Protection Officer contattabile ai seguenti recapiti:
Email: dpo@aifarmadesk.it
Il DPO è disponibile per ogni comunicazione relativa al trattamento dei dati personali e all'esercizio dei diritti previsti dal GDPR. Maggiori informazioni →

2. Categorie di Dati Personali Trattati

Il Titolare tratta le seguenti categorie di dati personali ai sensi degli artt. 13(1)(c) e 14(1)(d) del GDPR:

  • Dati identificativi e di contatto: nome e cognome del titolare/legale rappresentante della farmacia, denominazione farmacia, indirizzo, email, PEC, numero di telefono, partita IVA, codice fiscale.
  • Dati di autenticazione: email, password (conservata esclusivamente in forma di hash crittografico bcrypt), eventuale secondo fattore di autenticazione (TOTP).
  • Dati di fatturazione: piano di abbonamento sottoscritto, storico dei pagamenti, dati della carta di pagamento (gestiti integralmente da Stripe Inc. in qualitĂ  di Responsabile del trattamento — Stripe non condivide con Farmadesk i dati completi della carta).
  • Dati tecnici di navigazione: indirizzo IP, tipo e versione del browser (user agent), sistema operativo, data e ora di accesso, pagine visitate, durata della sessione.
  • Dati di utilizzo della piattaforma: operazioni effettuate nei moduli (posta, automazioni mail, store builder), log delle azioni per audit trail.
  • Dati della farmacia: tipologia (farmacia/parafarmacia), numero di autorizzazione per vendita online, dati di configurazione della vetrina online.

Dati particolari (art. 9 GDPR - categorie particolari): Farmadesk non richiede né tratta consapevolmente dati relativi alla salute, all'origine razziale o etnica, alle opinioni politiche, alle convinzioni religiose o filosofiche, all'appartenenza sindacale, a dati genetici, biometrici o relativi alla vita sessuale degli utenti della piattaforma SaaS.

Nota importante per Store Builder Farmacie: I dati dei clienti finali delle farmacie che utilizzano la vetrina online (inclusi eventuali dati sanitari desumibili dagli acquisti di farmaci) sono trattati da Farmadesk S.r.l. in qualità di Responsabile del trattamento ex art. 28 GDPR, mentre la Farmacia Aderente è l'unicoTitolare del trattamento con piena responsabilità della conformità GDPR. La farmacia deve ottenere il consenso esplicito dei clienti ai sensi dell'art. 9(2)(a) GDPR per il trattamento di dati sanitari. Vedi Sezione 15 per dettagli.

3. FinalitĂ  e Base Giuridica del Trattamento

FinalitĂ Base giuridica (art. 6 GDPR)
Registrazione dell'account e fornitura del servizio SaaSEsecuzione del contratto — art. 6(1)(b)
Gestione dell'abbonamento e fatturazioneEsecuzione del contratto — art. 6(1)(b)
Adempimenti fiscali e contabili (conservazione fatture, registri IVA)Obbligo di legge — art. 6(1)(c) (artt. 2214-2220 c.c.; D.P.R. 633/72)
Sicurezza della piattaforma: log di accesso, rate limiting, prevenzione frodiInteresse legittimo — art. 6(1)(f)
Audit trail delle operazioni (tracciabilità delle azioni)Interesse legittimo — art. 6(1)(f); obbligo di legge per dati contabili — art. 6(1)(c)
Miglioramento del servizio e analisi aggregate anonimizzateInteresse legittimo — art. 6(1)(f)
Comunicazioni di servizio (aggiornamenti, manutenzione, scadenze)Esecuzione del contratto — art. 6(1)(b)
Comunicazioni promozionali e newsletterConsenso — art. 6(1)(a), revocabile in qualsiasi momento

4. ModalitĂ  del Trattamento

I dati personali sono trattati con strumenti informatici e telematici, con logiche strettamente connesse alle finalitĂ  indicate e, comunque, in modo da garantire la sicurezza e la riservatezza dei dati stessi, nel rispetto delle misure organizzative, fisiche e logiche previste dalle disposizioni vigenti.

5. Misure di Sicurezza (art. 32 GDPR)

Il Titolare adotta misure tecniche e organizzative adeguate a garantire un livello di sicurezza proporzionato al rischio, tra cui:

  • Crittografia dei dati a riposo (AES-256-GCM) e in transito (TLS 1.2+).
  • Hashing delle password con algoritmo bcrypt (costo 12).
  • Autenticazione a due fattori (2FA/TOTP) disponibile per tutti gli utenti.
  • Protezione CSRF (Cross-Site Request Forgery) e rate limiting sugli endpoint critici.
  • Backup giornalieri automatizzati con retention di 30 giorni.
  • Audit trail immutabile con conservazione minima di 5 anni.
  • Controllo degli accessi basato su ruoli (RBAC).
  • Monitoraggio continuo dell'infrastruttura e alerting automatico.

6. Periodo di Conservazione dei Dati (art. 13(2)(a) GDPR)

  • Dati dell'account: per tutta la durata del rapporto contrattuale e per 12 mesi successivi alla cancellazione dell'account (per consentire eventuale riattivazione e per adempimenti di legge).
  • Documenti fiscali e contabili: 10 anni dalla data di registrazione (art. 2220 c.c.; art. 43 D.P.R. 600/73; art. 57 D.P.R. 633/72).
  • Log di sicurezza e audit trail: 5 anni.
  • Dati tecnici di navigazione: 6 mesi, conformemente al principio di limitazione della conservazione (art. 5(1)(e) GDPR) e al Provvedimento del Garante sugli amministratori di sistema del 27 novembre 2008 (doc. web n. 1577499, come modificato il 25 giugno 2009). In caso di accertamento di illeciti, i dati potranno essere conservati per il tempo necessario alla tutela dei diritti del Titolare in sede giudiziaria.
  • Dati per finalitĂ  di marketing: fino alla revoca del consenso o, in assenza di revoca, per 24 mesi dall'ultimo contatto attivo.

Decorsi i termini di conservazione, i dati personali vengono cancellati o resi anonimi in modo irreversibile.

7. Destinatari e Comunicazione dei Dati (art. 13(1)(e) GDPR)

I dati personali possono essere comunicati a:

  • Stripe Inc. (responsabile del trattamento ex art. 28 GDPR): per l'elaborazione dei pagamenti.
  • Provider di hosting (Hostinger International Ltd.): per l'erogazione dell'infrastruttura server, con sede in UE.
  • AutoritĂ  competenti: ove richiesto dalla legge (Agenzia delle Entrate, Guardia di Finanza, AutoritĂ  Giudiziaria).
  • Consulenti professionali: commercialisti, legali e revisori, limitatamente ai dati strettamente necessari, vincolati da obbligo di riservatezza.

I dati personali non vengono venduti a terzi né utilizzati per profilazione o decisioni automatizzate con effetti giuridici o significativi (art. 22 GDPR).

8. Trasferimento dei Dati verso Paesi Terzi (artt. 44-49 GDPR)

I dati personali sono conservati su server situati nell'Unione Europea. Stripe Inc. può trasferire dati negli Stati Uniti sulla base del Data Privacy Framework (DPF) UE-USA (decisione di adeguatezza della Commissione Europea del 10 luglio 2023) e delle Clausole Contrattuali Standard (SCC) come garanzia supplementare ai sensi dell'art. 46(2)(c) GDPR. Nessun altro trasferimento di dati verso paesi terzi viene effettuato.

9. Diritti dell'Interessato (artt. 15-22 GDPR)

In qualitĂ  di interessato, l'utente ha diritto di:

  • Accesso (art. 15): ottenere conferma dell'esistenza del trattamento e copia dei dati personali.
  • Rettifica (art. 16): ottenere la correzione di dati inesatti o l'integrazione di dati incompleti.
  • Cancellazione (art. 17): ottenere la cancellazione dei dati ("diritto all'oblio"), salvo che sussista un obbligo legale di conservazione.
  • Limitazione (art. 18): ottenere la limitazione del trattamento nei casi previsti dalla legge.
  • PortabilitĂ  (art. 20): ricevere i dati in formato strutturato, di uso comune e leggibile da dispositivo automatico (JSON, CSV), e trasmetterli a un altro titolare.
  • Opposizione (art. 21): opporsi al trattamento basato sull'interesse legittimo, inclusa la profilazione.
  • Revoca del consenso (art. 7(3)): revocare in qualsiasi momento il consenso prestato, senza pregiudizio per la liceitĂ  del trattamento anteriore alla revoca.
  • Non essere sottoposto a decisioni automatizzate (art. 22): Farmadesk non effettua processi decisionali automatizzati con effetti giuridici sull'interessato.

10. ModalitĂ  di Esercizio dei Diritti

Le richieste possono essere inviate a:

  • Email: privacy@aifarmadesk.it
  • PEC: farmadesk@pec.it
  • Posta raccomandata: Farmadesk S.r.l., Via Roma 1, 20100 Milano (MI)

Il Titolare fornisce riscontro entro 30 giorni dal ricevimento della richiesta (art. 12(3) GDPR), prorogabili di ulteriori 60 giorni in caso di complessità o numerosità delle richieste, previa comunicazione motivata. L'esercizio dei diritti è gratuito, salvo richieste manifestamente infondate o eccessive (art. 12(5) GDPR).

11. Diritto di Reclamo (art. 77 GDPR)

Qualora l'interessato ritenga che il trattamento dei propri dati personali avvenga in violazione del GDPR, ha diritto di proporre reclamo all'AutoritĂ  di controllo competente:

Garante per la Protezione dei Dati Personali
Piazza Venezia, 11 — 00187 Roma
Centralino: +39 06.696771
Email: garante@gpdp.it — PEC: protocollo@pec.gpdp.it
Sito web: www.garanteprivacy.it

12. Violazione dei Dati Personali (Data Breach — artt. 33-34 GDPR)

In caso di violazione dei dati personali che presenti un rischio per i diritti e le libertĂ  degli interessati, il Titolare provvede a:

  • Notificare la violazione al Garante entro 72 ore dalla scoperta (art. 33).
  • Comunicare la violazione agli interessati senza ingiustificato ritardo, qualora il rischio sia elevato (art. 34).
  • Documentare ogni violazione, i suoi effetti e le misure correttive adottate.

13. Cookie

La piattaforma utilizza esclusivamente cookie tecnici strettamente necessari per l'autenticazione dell'utente e il corretto funzionamento del servizio (art. 122 D.Lgs. 196/2003; Linee guida del Garante del 10 giugno 2021). Non vengono utilizzati cookie di profilazione, cookie analitici di terze parti o strumenti di tracciamento pubblicitario. Per tali cookie tecnici non è richiesto il consenso dell'utente.

14. Natura del Conferimento dei Dati

Il conferimento dei dati contrassegnati come obbligatori (email, password, nome farmacia) è necessario per la registrazione e l'utilizzo del servizio. Il mancato conferimento comporta l'impossibilità di usufruire della piattaforma. Il conferimento dei dati per finalità di marketing è facoltativo e il mancato consenso non pregiudica l'accesso al servizio.

15. Trattamento dei Dati dei Clienti Finali delle Farmacie (Art. 28 GDPR - Data Processing Agreement)

15.1 Qualificazione dei Ruoli GDPR

Farmacia Aderente = Titolare del Trattamento (art. 4(7) GDPR)
La farmacia determina finalità e mezzi del trattamento dei dati dei propri clienti finali, è responsabile della conformità GDPR e deve predisporre e pubblicare la propria informativa privacy conforme agli artt. 13-14 GDPR.

Farmadesk S.r.l. = Responsabile del Trattamento (art. 28 GDPR)
Farmadesk tratta i dati dei clienti finali esclusivamente per conto della farmacia, secondo le istruzioni documentate nel Data Processing Agreement (DPA), limitatamente alle finalitĂ  di erogazione del servizio SaaS (gestione ordini, hosting, backup).

15.2 Data Processing Agreement (DPA)

Ai sensi dell'art. 28(3) GDPR, il rapporto tra Titolare (Farmacia) e Responsabile (Farmadesk) è regolato da un contratto scritto (DPA) che include:

  • Oggetto, durata, natura e finalitĂ  del trattamento
  • Tipo di dati personali e categorie di interessati (clienti finali)
  • Obblighi e diritti del titolare (farmacia)
  • Obblighi del responsabile: trattare dati solo su istruzione, garantire riservatezza, adottare misure sicurezza art. 32 GDPR, assistere nei diritti interessati, notificare data breach entro 24 ore
  • Sub-responsabili autorizzati (es. AWS per hosting, Stripe per pagamenti)
  • Cancellazione/restituzione dati a fine contratto

15.3 Dati Sanitari (Art. 9 GDPR)

L'acquisto di farmaci rivela informazioni sullo stato di salute del cliente, qualificandosi come dato sanitario (art. 9 GDPR - categorie particolari). La farmacia DEVE ottenere consenso esplicito del cliente (art. 9(2)(a) GDPR) prima di processare l'ordine.

Farmadesk fornisce alla farmacia gli strumenti tecnici per raccogliere tale consenso (checkbox dedicata nel checkout), ma la responsabilitĂ  finale della conformitĂ  ricade sulla farmacia in qualitĂ  di Titolare.

15.4 Esercizio Diritti da parte dei Clienti Finali

I clienti finali che desiderano esercitare i propri diritti (accesso, rettifica, cancellazione, portabilità, opposizione) relativi ai dati forniti per acquisti o prenotazioni devono rivolgersi direttamente alla farmacia presso cui hanno effettuato l'ordine. Farmadesk assiste la farmacia fornendo strumenti self-service per export/cancellazione dati, ma non può rispondere direttamente alle richieste dei clienti finali in quanto non è Titolare del trattamento.

16. Modifiche alla Presente Informativa

Il Titolare si riserva di aggiornare la presente informativa per adeguarla a nuove disposizioni normative o a variazioni del servizio. Le modifiche sostanziali saranno comunicate all'utente via email con almeno 15 giorni di preavviso e pubblicate su questa pagina con indicazione della data di aggiornamento.

17. Legge Applicabile e Foro Competente

La presente informativa è disciplinata dal Regolamento (UE) 2016/679, dal D.Lgs. 196/2003 (come modificato dal D.Lgs. 101/2018) e dalla normativa italiana in materia di protezione dei dati personali. Per qualsiasi controversia relativa all'interpretazione o all'applicazione della presente informativa è competente in via esclusiva il Foro di Milano.

Termini di Servizio|Cookie Policy|Torna alla homepage