WhatsAppinfo@ri-hub.it

Politica de Confidențialitate

Informare în temeiul art. 13–14 din Regulamentul UE 2016/679 (GDPR). Ultima revizuire: mai 2026.

1. Operatorul de date

Operatorul de date este Ri-Hub S.r.l. S.T.P., cu sediul social în Italia. Pentru a vă exercita drepturile prevăzute de GDPR și pentru orice solicitare, vă rugăm să scrieți la privacy@ri-hub.it.

Legal identification: Ri-Hub S.r.l. S.T.P. — Registered office: Corso Assarotti 19/1, 16043 Chiavari (GE), Italy — VAT/Tax ID (P.IVA/C.F.): 02992670998 — REA GE-525421 — Share capital: €10,000 fully paid up — PEC: ri-hub@pec.it

2. Prelucrarea datelor de sănătate (Art. 9 GDPR)

Ri-Hub este o platformă de fizioterapie online: pe parcursul utilizării serviciului colectăm și prelucrăm date privind sănătatea (categorie specială în temeiul art. 9 GDPR), în special: răspunsurile la chestionarele de anamneză, nivelurile de durere, descrierile simptomatologiei, obiectivele terapeutice, planurile de tratament. Videoconsultațiile sunt furnizate în timp real și nu sunt înregistrate și nici stocate sub nicio formă audio sau video.

Temei juridic. Prelucrarea datelor de sănătate se bazează pe două temeiuri cumulative: consimțământul explicit al persoanei vizate (art. 9.2.a GDPR) colectat în momentul semnării consimțământului informat sanitar și executarea unui contract de prestare de servicii medicale (art. 9.2.h GDPR) la care persoana vizată este parte. Prelucrarea este, de asemenea, conformă cu Liniile directoare ale Garantului italian în materie de telemedicină și cu indicațiile Comitetului European pentru Protecția Datelor (EDPB). Fără furnizarea acestor date nu este posibilă prestarea serviciului medical solicitat.

Interdicția de difuzare și de utilizare secundară. Datele de sănătate sunt prelucrate exclusiv în scopuri de îngrijire, diagnosticare și gestionare a parcursului de reabilitare al fiecărui pacient. Ri-Hub NU difuzează, NU cedează, NU vinde și NU comunică datele de sănătate către terți diferiți de subiecții autorizați expres indicați la § 5 (fizioterapeutul desemnat și furnizorii tehnologici numiți Persoane împuternicite de operator). Datele de sănătate nu sunt utilizate în scopuri publicitare, de profilare sau de marketing în nicio circumstanță.

Stocare pe sisteme conforme cu legislația europeană. Datele de sănătate sunt stocate pe infrastructură cloud localizată în Spațiul Economic European (SEE) la furnizori conformi cu GDPR, cu criptare atât în tranzit (TLS 1.3), cât și at-rest. Niciun fel de date de sănătate nu sunt transferate în afara UE/SEE. Eventualele persoane împuternicite tehnologice din afara UE (de ex. Stripe pentru plăți) prelucrează doar date administrative și contabile — niciodată date de sănătate — pe baza Clauzelor Contractuale Standard aprobate de Comisia Europeană (art. 46 GDPR).

Secret profesional. Fizioterapeuții care accesează datele de sănătate sunt înscriși în Registrul profesional și obligați la secretul profesional în temeiul art. 622 din Codul Penal italian, al art. 200 din Codul de Procedură Penală italian și al Codului Deontologic al profesiei. Accesul la datele de sănătate este limitat exclusiv la pacientul desemnat (principiul minimizării, art. 5.1.c GDPR) și înregistrat în jurnale de audit nemodificabile.

Pseudonimizare și minimizare. Acolo unde este posibil din punct de vedere tehnic, datele de sănătate sunt pseudonimizate sau criptate la nivel aplicativ. Statisticile agregate pentru uz intern sau pentru clinici/companii partenere sunt furnizate exclusiv în formă anonimă și agregată, fără posibilitatea de a re-identifica pacientul individual.

3. Categorii de date cu caracter personal prelucrate

  • Date de identificare: nume, prenume, cod fiscal, data nașterii, adresă, date de contact.
  • Documente de identitate (imagine).
  • Credențiale de autentificare: e-mail, parolă sub formă de hash, token Google dacă accesați prin OAuth.
  • Date de sănătate: anamneză, durere, simptome, planuri terapeutice, rezultate ale chestionarelor de evaluare. Ședințele video nu sunt înregistrate.
  • Date de plată: gestionate de furnizorul Stripe (nu memorăm datele cardului).
  • Date tehnice: adresă IP, jurnale de acces, identificatori ai dispozitivului (dacă este instalat Capacitor).
  • Date de utilizare agregate și anonime (numai dacă ați acceptat cookie-urile analytics).

4. Scopurile prelucrării

  • Furnizarea serviciului de fizioterapie online (temei: contract / consimțământ explicit Art. 9).
  • Gestionare administrativă și contabilă (temei: obligație legală).
  • Securitatea aplicației, prevenirea fraudei și diagnostică (temei: interes legitim).
  • Comunicări de serviciu și notificări privind programările (temei: contract).
  • Marketing și buletin informativ numai dacă ați acordat consimțământ separat în faza de înregistrare (temei: consimțământ revocabil în orice moment).
  • Analytics agregate numai dacă ați acceptat cookie-urile analytics (temei: consimțământ revocabil din banner-ul cookie).

5. Destinatari și persoane împuternicite externe

Toți subiecții enumerați mai jos sunt numiți Persoane împuternicite de operator în temeiul art. 28 GDPR printr-un act contractual specific. Niciun subiect din afara acestei liste nu accesează datele dumneavoastră. Datele de sănătate sunt accesibile exclusiv fizioterapeutului desemnat; toți ceilalți furnizori prelucrează date strict tehnice/administrative.

  • Fizioterapeuți parteneri: accesează datele de sănătate ale exclusiv pacientului desemnat pentru a furniza prestația. Înscriși în Registrul profesional, obligați la secret profesional în temeiul art. 622 din Codul Penal italian. Niciun fizioterapeut nu poate vizualiza datele pacienților care nu îi sunt desemnați.
  • Cloud hosting UE (centre de date localizate în Spațiul Economic European): infrastructură aplicativă și baze de date. Niciun transfer extra-UE pentru datele de sănătate. Criptare TLS în tranzit + criptare at-rest pe volume.
  • Stripe (Irlanda + SUA): gestionarea plăților. Prelucrează exclusiv date administrative (sumă, e-mail, date de facturare). Niciodată date de sănătate. Eventualul transfer extra-UE este bazat pe Clauzele Contractuale Standard art. 46 GDPR.
  • Google LLC: numai dacă accesați cu contul dumneavoastră Google (OAuth limitat la e-mail + profil) sau dacă fizioterapeutul a activat sincronizarea propriului Google Calendar (scope calendar.events, citire/scriere limitată la evenimentele create de Ri-Hub). Niciodată date de sănătate ale pacientului. Transfer extra-UE bazat pe Clauzele Contractuale Standard.
  • PostHog (cloud EU, eu.i.posthog.com): analytics agregate anonime numai după consimțământ explicit prin banner-ul cookie. IP neurmărit; session replay dezactivat. Niciodată date de sănătate.
  • Brevo (Sendinblue): trimiterea de e-mailuri tranzacționale și buletine informative. Servere UE. Prelucrează doar e-mail + nume.
  • Twilio Video (Irlanda + SUA): furnizarea videoconsultațiilor în timp real prin canale criptate în tranzit (SRTP/DTLS). Serverele SFU Twilio transmit fluxurile audio/video între fizioterapeut și pacient; videoconsultațiile NU sunt înregistrate și nici stocate. Transfer extra-UE bazat pe Clauzele Contractuale Standard art. 46 GDPR.
  • Apple Inc. (SUA): numai dacă accesați cu Apple ID prin „Sign in with Apple". Prelucrează exclusiv identificatorul Apple + e-mail (relay anonim opțional). Niciodată date de sănătate. Transfer extra-UE bazat pe SCC.
  • Firebase Cloud Messaging (Google LLC, SUA): pentru notificările push în aplicația Android și iOS. Prelucrează doar un token opac al dispozitivului. Niciodată date de sănătate în payload. Transfer extra-UE bazat pe SCC.
  • MinIO (object storage auto-găzduit, regiune UE): păstrarea documentelor de consimțământ informat semnat (PDF + carte de identitate față/verso). Servere interne Ri-Hub, acces restricționat exclusiv personalului tehnic autorizat și fizioterapeutului desemnat. Criptare at-rest la nivel de volum.
  • CRM intern Ri-Hub (server auto-găzduit UE, domeniu crm.ri-hub.it): sistem de gestionare a fișelor pacienților accesibil exclusiv personalului clinic/administrativ Ri-Hub obligat la secret profesional și acorduri de confidențialitate. Primește sincronizare automată a evenimentelor: înregistrare, anamneză programată, consimțământ semnat, achiziție de ședințe, ședințe finalizate.
  • Calendly (SUA): dacă fizioterapeutul a conectat propriul cont Calendly pentru sincronizarea disponibilității în afara Ri-Hub. Prelucrează doar metadate ale sloturilor (date/ore), nicio dată clinică. Transfer extra-UE bazat pe SCC.
  • Google Analytics 4 (Google LLC, SUA): metrici de utilizare agregate numai după consimțământ explicit prin banner-ul cookie. IP anonimizat, personalizarea reclamelor dezactivată implicit. Niciodată date de sănătate. SCC.

6. Drepturile dumneavoastră (Art. 15–22 GDPR)

Aveți dreptul de a: accesa datele dumneavoastră, de a le rectifica, de a obține ștergerea lor ("dreptul de a fi uitat"), de a restricționa prelucrarea, de a le primi într-un format portabil, de a vă opune prelucrării, de a revoca în orice moment consimțămintele acordate (inclusiv cookie analytics și marketing) fără a aduce atingere legalității prelucrării bazate pe consimțământul acordat înainte de revocare.

Puteți, de asemenea, depune plângere la Garantul pentru Protecția Datelor cu Caracter Personal (www.garanteprivacy.it).

Pentru a vă exercita drepturile, scrieți la privacy@ri-hub.it. Ștergerea contului din aplicație implică eliminarea datelor cu caracter personal în termen de 30 de zile; pentru obligații fiscale și contractuale, anumite înregistrări (de ex. facturare, programări) sunt păstrate sub formă pseudonimizată pe perioada prevăzută de lege.

7. Perioada de păstrare

  • Date de cont și de sănătate: pe toată durata raportului contractual și până la 10 ani de la încetarea acestuia, exclusiv în scopul respectării obligației de păstrare a fișei medicale și fiscale.
  • Token-uri de autentificare: refresh token reînnoit la fiecare acces, valabilitate maximă 365 de zile de inactivitate.
  • Date analytics anonime (PostHog): 12 luni.
  • Jurnale tehnice de securitate: 6 luni.

8. Măsuri de securitate

Adoptăm măsuri tehnice și organizatorice adecvate riscului în temeiul art. 32 GDPR:

  • Criptare în tranzit: TLS 1.3 obligatoriu pe toate conexiunile dintre aplicație/site și backend, nicio comunicare în clar.
  • Criptare at-rest: volumele pe care se află datele de sănătate sunt criptate la nivel de disc; token-urile OAuth și datele cele mai sensibile sunt suplimentar criptate la nivel aplicativ.
  • Autentificare: refresh token cu hashing SHA-256 și rotație automată; parolele nu sunt niciodată memorate în clar (hash cu algoritmi standard PBKDF2/argon2).
  • Control acces (RBAC): roluri distincte pacient / fizioterapeut / administrator cu privilegii minime; fizioterapeutul vede doar datele pacienților care îi sunt desemnați.
  • Jurnal de audit: înregistrare imuabilă a accesărilor la datele de sănătate, păstrată 6 luni în scopuri de securitate.
  • Backup: backup-uri criptate și versionate, istoricizate în regiune UE, testate periodic.
  • Localizare UE: datele de sănătate rezidează exclusiv pe infrastructură cloud în Spațiul Economic European; niciun transfer extra-UE pentru datele de sănătate.
  • Standarde de securitate ale furnizorilor: furnizorii de hosting și cloud utilizați operează cu certificări ISO 27001 / SOC 2 și sunt conformi cu GDPR.
  • Formare și proceduri: personalul este format în domeniul confidențialității + securității; plan de gestionare a încălcărilor de date cu notificare către Garant în termen de 72 de ore (art. 33 GDPR) și către persoana vizată în caz de risc ridicat (art. 34).

9. Minori

Serviciul nu este destinat minorilor sub 14 ani. Pentru utilizatorii cu vârsta între 14 și 18 ani, prelucrarea necesită consimțământul titularului responsabilității părintești (D.Lgs. 101/2018 art. 2-quinquies din legislația italiană). Dacă sunteți părinte și suspectați că un minor sub 14 ani a creat un cont, contactați privacy@ri-hub.it pentru a solicita ștergerea imediată.

Pentru informații detaliate privind utilizarea cookie-urilor (necesare, analytics etc.) consultați Politica privind Cookie-urile. Puteți modifica preferințele dumneavoastră în orice moment din banner-ul cookie de pe pagina principală.

11. Modificări

Această informare poate fi actualizată. Versiunea curentă este publicată pe ri-hub.it/ro/privacy și este oglindită în aplicație la app.ri-hub.it/privacy pentru a garanta accesul și în modalitate Capacitor offline. Ultima revizuire: mai 2026.

Politica de Confidențialitate | Ri-Hub