Informativa Privacy

Titolare del Trattamento

Responsabile della Protezione dei Dati (DPO)

Il DPO è raggiungibile ai seguenti recapiti:

Finalità e Base Giuridica del Trattamento

ACTIVEAGE MOBILE (iOS/Android) non è una app di telemedicina ma uno strumento digitale per aiutare gli anziani con l'invecchiamento attivo e il benessere cognitivo/fisico/sociale, pensata per persone ultrasessantacinquenni al fine di offrire i seguenti servizi:

• Raccomandazioni nutrizionali personalizzate
• Training cognitivo adattivo
• Programmi di esercizio fisico personalizzati
• Matching sociale
• Eventi sociali localizzati
• Messaggistica tra utenti
• Valutazione benessere psicologico
• Notifiche promemoria

Basi giuridiche

Esecuzione del contratto (art. 6, par. 1, lett. b) del GDPR) per: creazione e gestione account (nome, cognome, email, password, data di nascita) e messaggistica tra utenti.

Consenso e consenso esplicito (art. 6, par. 1, lett. a) e art. 9, par. 2, lett. a)) per: raccomandazioni nutrizionali personalizzate; training cognitivo adattivo; programmi di esercizio fisico personalizzati; matching sociale; eventi sociali localizzati; valutazione benessere psicologico; notifiche promemoria.

Interesse legittimo (art. 6, par. 1, lett. f) del GDPR) per: sicurezza account e prevenzione abusi (token, IP, Timestamp, accessi), supporto tecnico (log errori, device info).

Dati Trattati e Destinatari

Le categorie di dati personali trattati dal Titolare variano in funzione del servizio utilizzato all'interno dell'app. Sono trattati i dati personali da Lei forniti in fase di registrazione e utilizzo dell'app, nonché quelli generati dai sistemi a supporto del servizio.

A titolo esemplificativo e non esaustivo, sono trattati:

• Dati identificativi e di contatto: nome, cognome, data di nascita, città, email
• Dati relativi all'account: password, gestione sessioni
• Dati tecnici e di sicurezza: token, indirizzi IP, identificativi dispositivi, log di accesso e di errore
• Dati di utilizzo dell'app

Per specifiche funzionalità, possono essere trattati:

• Dati relativi al benessere: peso, altezza, sesso, livello di attività, tracking alimentare, indicatori calcolati quali metabolismo basale e fabbisogno energetico, performance cognitive, risposte a questionari di umore/motivazione/concentrazione
• Dati sociali: interessi, bio, foto facoltativa
• Dati di geolocalizzazione attenuata: città e distanza rispetto ad altri utenti/eventi, senza memorizzare coordinate di precisione salvo diversa indicazione

I contenuti dei messaggi scambiati tra utenti "matched" sono cifrati "end to end".

Il Titolare tratta categorie particolari di dati (art. 9 GDPR); nello specifico dati che, sebbene non direttamente relativi alla salute, nel loro insieme potrebbero fornire informazioni relative alla salute e al benessere psicologico. Per tali motivi, il Titolare effettua tali trattamenti esclusivamente sulla base del consenso esplicito dell'interessato (art. 9, par. 2, lett. a) del GDPR).

L'accesso ai servizi è subordinato all'autenticazione mediante credenziali dell'app e/o sistemi di SSO (es. "accedi con Apple" / "accedi con Google"). Apple/Google e i provider di push notification trattano taluni dati in qualità di Titolari autonomi del trattamento secondo le rispettive informative.

I dati sono trattati esclusivamente da personale e collaboratori del Titolare, appositamente istruiti e autorizzati, nonché, ove necessario, da soggetti terzi formalmente designati Responsabili del trattamento (art. 28 GDPR).

I dati personali non sono oggetto di comunicazione a terzi né di diffusione, salvo quanto necessario per l'adempimento di obblighi di legge o ordini di Autorità.

Modalità del Trattamento

Il trattamento avviene con modalità informatiche, nel rispetto dei principi di liceità, correttezza, trasparenza, minimizzazione e integrità, nonché delle misure di sicurezza previste dall'art. 32 GDPR.

L'app utilizza algoritmi per personalizzare i contenuti; in relazione ad alcune funzioni, sono adottate decisioni interamente automatizzate:

• Personalizzare piani nutrizionali, programmi di esercizio, training cognitivo
• Proporre/misurare il livello di difficoltà degli esercizi e il ritmo di progressione
• Ordinare e suggerire match sociali ed eventi in base a città, distanza e interessi

Per le decisioni automatizzate necessarie per erogare le funzionalità richieste dall'utente, le basi giuridiche sono l'art. 6, par. 1, lett. b) e l'art. 22, par. 2, lett. a) del GDPR (necessità contrattuale).

I modelli elaborano i parametri forniti (età, sesso, altezza, peso, livello attività, interessi, città, ecc.) e i segnali d'uso per generare punteggi e raccomandazioni. Sono esclusi attributi non pertinenti o potenzialmente discriminatori. Sono previsti test periodici di accuratezza e bias, soglie di confidenza e procedure manuali.

DPIA e Garanzie

Dato l'utilizzo di dati sulla salute e la possibile incidenza significativa delle decisioni automatizzate su una platea di interessati (anche vulnerabili), il Titolare del trattamento ha effettuato una Valutazione d'impatto (DPIA, ai sensi dell'art. 35 del GDPR) e adotta misure tecniche e organizzative adeguate: pseudonimizzazione, audit dei modelli, minimizzazione, controlli ex-ante/ex-post, revisione umana su richiesta.

Periodo di Conservazione

I dati personali sono conservati per il tempo strettamente necessario all'erogazione dei servizi richiesti per il tramite dell'app.

• Dati profilo: dal momento dell'eliminazione del profilo o dalla revoca dei consensi, conservati per ulteriori 30 giorni, per poi essere cancellati o aggregati/anonimizzati
• Inattività: in caso di inutilizzo dell'app per 24 mesi, i dati saranno cancellati o aggregati/anonimizzati
• Log ADS e tecnici: 6 mesi
• Log di sicurezza: 12 mesi
• Contenuti chat (end to end): 30 giorni oltre l'erogazione dei servizi
• Messaggi non recapitati e allegati: fino a 7 giorni per la consegna
• Metadati messaggi: 90 giorni

Trascorsi i predetti termini, i dati sono cancellati o resi anonimi in modo permanente, salvo ulteriori conservazioni richieste da obblighi di legge o per la tutela giudiziaria.

Diritti degli Interessati

Gli interessati possono chiedere al Titolare (e ai Responsabili del trattamento, per quanto di competenza):

• Accesso ai dati personali
• Rettifica dei dati
• Cancellazione dei dati
• Limitazione del trattamento
• Portabilità dei dati
• Opposizione al trattamento
• Revoca dei consensi

I diritti sono esercitabili contattando il Titolare del trattamento o il DPO ai contatti sopra indicati, o per il tramite del canale di contatto rapido in app.

Diritti rispetto alle Decisioni Automatizzate

L'utente ha diritto di:

• Ottenere l'intervento umano
• Esprimere la propria opinione
• Contestare la decisione
• Richiedere una spiegazione significativa della logica
• Revocare il consenso quando questo ne costituisca base giuridica

Diritto di Reclamo

Chi ritiene che il trattamento avvenga in violazione del GDPR può proporre reclamo al Garante per la protezione dei dati personali ai sensi dell'art. 77 GDPR o adire le opportune sedi giudiziarie (art. 79 GDPR).

Note