WhatsAppinfo@ri-hub.it

Politika e Privatësisë

Informacion sipas neneve 13–14 të Rregullores BE 2016/679 (GDPR). Rishikimi i fundit: maj 2026.

1. Kontrolluesi i të dhënave

Kontrolluesi i të dhënave është Ri-Hub S.r.l. S.T.P., me seli ligjore në Itali. Për të ushtruar të drejtat e parashikuara nga GDPR dhe për çdo kërkesë na shkruani në privacy@ri-hub.it.

Legal identification: Ri-Hub S.r.l. S.T.P. — Registered office: Corso Assarotti 19/1, 16043 Chiavari (GE), Italy — VAT/Tax ID (P.IVA/C.F.): 02992670998 — REA GE-525421 — Share capital: €10,000 fully paid up — PEC: ri-hub@pec.it

2. Përpunimi i të dhënave shëndetësore (Neni 9 GDPR)

Ri-Hub është një platformë fizioterapie online: gjatë përdorimit të shërbimit mbledhim dhe përpunojmë të dhëna që lidhen me shëndetin (kategori e veçantë sipas nenit 9 të GDPR), në veçanti: përgjigjet e pyetësorëve të anamnezës, nivelet e dhimbjes, përshkrimet e simptomatologjisë, objektivat terapeutike, planet e trajtimit. Vidiovizitat ofrohen në kohë reale dhe nuk regjistrohen as ruhen në asnjë formë audio ose video.

Baza ligjore. Përpunimi i të dhënave shëndetësore mbështetet në dy baza kumulative: pëlqimi i shprehur i subjektit të të dhënave (neni 9.2.a GDPR) i marrë në momentin e nënshkrimit të pëlqimit të informuar shëndetësor, dhe ekzekutimi i një kontrate për shërbim shëndetësor (neni 9.2.h GDPR) në të cilën subjekti i të dhënave është palë. Përpunimi është gjithashtu në përputhje me Udhëzimet e Garantit italian në fushën e telemjekësisë dhe me udhëzimet e Bordit Evropian për Mbrojtjen e të Dhënave (EDPB). Pa dhënien e këtyre të dhënave nuk është e mundur të ofrohet shërbimi shëndetësor i kërkuar.

Ndalimi i përhapjes dhe i përdorimit dytësor. Të dhënat shëndetësore përpunohen ekskluzivisht për qëllime të kujdesit, diagnozës dhe menaxhimit të rrugëtimit rehabilitues të secilit pacient. Ri-Hub NUK përhap, NUK transferon, NUK shet dhe NUK komunikon të dhënat shëndetësore tek palë të treta të ndryshme nga subjektet e autorizuara shprehimisht të treguara në § 5 (fizioterapisti i caktuar dhe ofruesit teknologjikë të emëruar Përpunues të të dhënave). Të dhënat shëndetësore nuk përdoren për qëllime reklamimi, profilizimi ose marketingu në asnjë rrethanë.

Ruajtja në sisteme në përputhje me legjislacionin evropian. Të dhënat shëndetësore ruhen në infrastrukturë cloud të vendosur në Zonën Ekonomike Evropiane (ZEE) pranë ofruesve në përputhje me GDPR, me enkriptim si gjatë transmetimit (TLS 1.3) ashtu edhe në qetësi (at-rest). Asnjë e dhënë shëndetësore nuk transferohet jashtë BE/ZEE. Përpunuesit teknologjikë të mundshëm jashtë BE-së (p.sh. Stripe për pagesat) përpunojnë vetëm të dhëna administrative dhe kontabile — kurrë të dhëna shëndetësore — në bazë të Klauzolave Standarde Kontraktuale të miratuara nga Komisioni Evropian (neni 46 GDPR).

Sekreti profesional. Fizioterapistët që aksesojnë të dhënat shëndetësore janë të regjistruar në Albo dhe të detyruar nga sekreti profesional sipas nenit 622 të Kodit Penal italian, nenit 200 të Kodit të Procedurës Penale italian dhe Kodit Deontologjik të profesionit. Aksesi në të dhënat shëndetësore është i kufizuar vetëm te pacienti i caktuar (parimi i minimizimit, neni 5.1.c GDPR) dhe gjurmohet në audit log të pamodifikueshëm.

Pseudonimizimi dhe minimizimi. Aty ku është teknikisht e mundur, të dhënat shëndetësore pseudonimizohen ose enkriptohen në nivel aplikacioni. Statistikat e grumbulluara për përdorim të brendshëm ose për klinika/kompani të kontraktuara ofrohen ekskluzivisht në formë anonime dhe të grumbulluar, pa mundësi për të ri-identifikuar pacientin individual.

3. Kategoritë e të dhënave personale të përpunuara

  • Të dhëna identifikuese: emri, mbiemri, kodi fiskal, data e lindjes, adresa, kontaktet.
  • Dokumente identifikimi (imazh).
  • Kredencialet e autentifikimit: email, fjalëkalim në formë hash, token Google nëse aksesohet me OAuth.
  • Të dhëna shëndetësore: anamnezë, dhimbje, simptoma, plane terapeutike, rezultate të pyetësorëve të vlerësimit. Seancat me video nuk regjistrohen.
  • Të dhëna pagese: të menaxhuara nga ofruesi Stripe (nuk ruajmë të dhënat e kartës).
  • Të dhëna teknike: adresa IP, log-et e aksesit, identifikuesit e pajisjes (nëse është instaluar Capacitor).
  • Të dhëna përdorimi të grumbulluara dhe anonime (vetëm nëse keni pranuar cookie-t analytics).

4. Qëllimet e përpunimit

  • Ofrimi i shërbimit të fizioterapisë online (bazë: kontratë / pëlqim i shprehur Neni 9).
  • Menaxhimi administrativ dhe kontabël (bazë: detyrim ligjor).
  • Siguria e aplikacionit, parandalimi i mashtrimeve dhe diagnostika (bazë: interes i ligjshëm).
  • Komunikime shërbimi dhe njoftime në lidhje me takimet (bazë: kontratë).
  • Marketing dhe newsletter vetëm nëse keni dhënë pëlqim të veçantë gjatë regjistrimit (bazë: pëlqim i revokueshëm në çdo moment).
  • Analytics të grumbulluara vetëm nëse keni pranuar cookie-t analytics (bazë: pëlqim i revokueshëm nga banner-i i cookie-ve).

5. Marrësit dhe përpunuesit e jashtëm

Të gjitha subjektet e listuara më poshtë janë emëruar Përpunues të të dhënave sipas nenit 28 të GDPR me akt të posaçëm kontraktor. Asnjë subjekt jashtë kësaj liste nuk akseson të dhënat tuaja. Të dhënat shëndetësore aksesohen ekskluzivisht nga fizioterapisti i caktuar; të gjithë ofruesit e tjerë përpunojnë të dhëna rreptësisht teknike/administrative.

  • Fizioterapistë të kontraktuar: aksesojnë të dhënat shëndetësore vetëm të pacientit të caktuar për të ofruar shërbimin. Të regjistruar në Albo, të detyruar nga sekreti profesional sipas nenit 622 të Kodit Penal italian. Asnjë fizioterapist nuk mund të shohë të dhënat e pacientëve që nuk i janë caktuar atij.
  • Cloud hosting BE (data center të vendosura në Zonën Ekonomike Evropiane): infrastruktura aplikative dhe baza e të dhënave. Asnjë transferim jashtë BE-së për të dhënat shëndetësore. Enkriptim TLS gjatë transmetimit + enkriptim at-rest në volume.
  • Stripe (Irlandë + SHBA): menaxhimi i pagesave. Përpunon ekskluzivisht të dhëna administrative (shumën, email, të dhënat anagrafike të faturimit). Kurrë të dhëna shëndetësore. Transferimi i mundshëm jashtë BE-së bazohet në Klauzolat Standarde Kontraktuale neni 46 GDPR.
  • Google LLC: vetëm nëse hyni me llogarinë tuaj Google (OAuth i kufizuar në email + profil) ose nëse fizioterapisti ka aktivizuar sinkronizimin e Google Calendar të tij (scope calendar.events, lexim/shkrim i kufizuar te ngjarjet e krijuara nga Ri-Hub). Kurrë të dhëna shëndetësore të pacientit. Transferimi jashtë BE-së bazuar në Klauzolat Standarde Kontraktuale.
  • PostHog (cloud BE, eu.i.posthog.com): analytics të grumbulluara anonime vetëm pas pëlqimit të shprehur përmes banner-it të cookie-ve. IP nuk gjurmohet; session replay i çaktivizuar. Kurrë të dhëna shëndetësore.
  • Brevo (Sendinblue): dërgimi i email-eve transaksionale dhe newsletter. Server BE. Përpunon vetëm email + emër.
  • Twilio Video (Irlandë + SHBA): ofrimi i vidiovizitave në kohë reale përmes kanaleve të enkriptuara gjatë transmetimit (SRTP/DTLS). Serverët SFU të Twilio përcjellin rrjedhat audio/video midis fizioterapistit dhe pacientit; vidiovizitat NUK regjistrohen as ruhen. Transferim jashtë BE-së bazuar në Klauzolat Standarde Kontraktuale neni 46 GDPR.
  • Apple Inc. (SHBA): vetëm nëse hyni me Apple ID-në tuaj përmes "Sign in with Apple". Përpunon ekskluzivisht identifikuesin Apple + email (relay anonim opsional). Kurrë të dhëna shëndetësore. Transferim jashtë BE-së bazuar në SCC.
  • Firebase Cloud Messaging (Google LLC, SHBA): për njoftimet push në aplikacionin Android dhe iOS. Përpunon vetëm një token opak të pajisjes. Kurrë të dhëna shëndetësore në payload. Transferim jashtë BE-së bazuar në SCC.
  • MinIO (object storage i vetë-strehuar, rajoni BE): ruajtja e dokumenteve të pëlqimit të informuar të nënshkruar (PDF + kartë identiteti përpara/prapa). Server të brendshëm Ri-Hub, akses i kufizuar vetëm te personeli teknik i autorizuar dhe te fizioterapisti i caktuar. Enkriptim at-rest në nivelin e volumit.
  • CRM i brendshëm Ri-Hub (server i vetë-strehuar BE, domeni crm.ri-hub.it): sistem i menaxhimit të kartelave të pacientëve i aksesueshëm vetëm nga personeli klinik/administrativ i Ri-Hub i lidhur me sekretin profesional dhe marrëveshje konfidencialiteti. Merr sinkronizim automatik të ngjarjeve: regjistrim, anamnezë e rezervuar, pëlqim i nënshkruar, blerje seancash, seanca të përfunduara.
  • Calendly (SHBA): nëse fizioterapisti ka lidhur llogarinë e tij Calendly për sinkronizimin e disponueshmërisë jashtë Ri-Hub. Përpunon vetëm metadata të sloteve (data/orë), pa të dhëna klinike. Transferim jashtë BE-së bazuar në SCC.
  • Google Analytics 4 (Google LLC, SHBA): metrika përdorimi të grumbulluara vetëm pas pëlqimit të shprehur përmes banner-it të cookie-ve. IP i anonimizuar, personalizimi i reklamave i çaktivizuar si parazgjedhje. Kurrë të dhëna shëndetësore. SCC.

6. Të drejtat tuaja (Nenet 15–22 GDPR)

Keni të drejtën të: aksesoni të dhënat tuaja, t'i korrigjoni, të merrni fshirjen e tyre ("e drejta për t'u harruar"), të kufizoni përpunimin e tyre, t'i merrni në format të transferueshëm, të kundërshtoni përpunimin, të revokoni në çdo moment pëlqimet e dhëna (përfshirë cookie-t analytics dhe marketing) pa cenuar ligjshmërinë e përpunimit të bazuar në pëlqimin e dhënë para revokimit.

Mund gjithashtu të paraqisni ankesë te Garanti për Mbrojtjen e të Dhënave Personale (www.garanteprivacy.it).

Për të ushtruar të drejtat shkruani në privacy@ri-hub.it. Fshirja e llogarisë nga aplikacioni sjell heqjen e të dhënave personale brenda 30 ditëve; për detyrime fiskale dhe kontraktuale disa të dhëna (p.sh. faturim, takime) mbahen në formë të pseudonimizuar për kohën e parashikuar nga ligji.

7. Periudha e ruajtjes

  • Të dhënat e llogarisë dhe shëndetësore: gjatë gjithë kohëzgjatjes së marrëdhënies kontraktuale dhe deri në 10 vjet nga përfundimi, vetëm për qëllime të detyrimit të ruajtjes së dosjes shëndetësore dhe fiskale.
  • Token-at e autentifikimit: refresh token i rinovuar në çdo akses, vlefshmëri maksimale 365 ditë inaktiviteti.
  • Të dhënat analytics anonime (PostHog): 12 muaj.
  • Log-et teknike të sigurisë: 6 muaj.

8. Masat e sigurisë

Marrim masa teknike dhe organizative të përshtatshme me rrezikun sipas nenit 32 të GDPR:

  • Enkriptim gjatë transmetimit: TLS 1.3 i detyrueshëm në të gjitha lidhjet midis aplikacionit/sajtit dhe backend, pa asnjë komunikim të hapur.
  • Enkriptim at-rest: volumet ku qëndrojnë të dhënat shëndetësore janë të enkriptuara në nivel disku; token-at OAuth dhe të dhënat më të ndjeshme janë gjithashtu të enkriptuara në nivel aplikacioni.
  • Autentifikim: refresh token me hashing SHA-256 dhe rotacion automatik; fjalëkalimet kurrë nuk ruhen të hapura (hash me algoritme standarde PBKDF2/argon2).
  • Kontroll i aksesit (RBAC): role të dallueshme pacient / fizioterapist / administrator me privilegje minimale; fizioterapisti sheh vetëm të dhënat e pacientëve që i janë caktuar atij.
  • Audit log: regjistrimi i pandryshueshëm i akseseve në të dhënat shëndetësore, i ruajtur 6 muaj për qëllime sigurie.
  • Backup: backup të enkriptuar dhe me versione, të arkivuara në rajon BE, të testuara periodikisht.
  • Lokalizimi BE: të dhënat shëndetësore qëndrojnë ekskluzivisht në infrastrukturë cloud në Zonën Ekonomike Evropiane; asnjë transferim jashtë BE-së për të dhëna shëndetësore.
  • Standardet e sigurisë së ofruesve: ofruesit e hosting dhe cloud të përdorur operojnë me certifikime ISO 27001 / SOC 2 dhe janë GDPR-compliant.
  • Trajnim dhe procedura: stafi është trajnuar mbi privatësinë + sigurinë; plan për menaxhimin e shkeljeve të të dhënave me njoftim te Garanti brenda 72 orëve (neni 33 GDPR) dhe te subjekti i të dhënave në rast rreziku të lartë (neni 34).

9. Të miturit

Shërbimi nuk është i destinuar për të mitur nën 14 vjeç. Për përdoruesit midis 14 dhe 18 vjeç përpunimi kërkon pëlqimin e mbajtësit të përgjegjësisë prindërore (Dekret Legjislativ italian 101/2018 neni 2-quinquies). Nëse jeni prind dhe dyshoni që një i mitur nën 14 vjeç ka krijuar një llogari, kontaktoni privacy@ri-hub.it për të kërkuar fshirjen e menjëhershme.

Për informacion të hollësishëm mbi përdorimin e cookie-ve (të nevojshme, analytics, etj.) konsultoni Politikën tonë të Cookie-ve. Mund të modifikoni preferencat tuaja në çdo moment nga banner-i i cookie-ve në faqen kryesore.

11. Ndryshimet

Ky informacion mund të përditësohet. Versioni aktual është publikuar në ri-hub.it/sq/privacy dhe pasqyrohet në aplikacionin app.ri-hub.it/privacy për të garantuar aksesin edhe në modalitetin Capacitor offline. Rishikimi i fundit: maj 2026.

Politika e Privatësisë | Ri-Hub