Informativa sul Trattamento dei Dati Personali

EMSy S.r.l. (di seguito "EMSy") gestisce la piattaforma EMSy Events, destinata alla raccolta e gestione dei dati sanitari dei partecipanti a eventi sportivi (ultratrail, corse su strada, manifestazioni ciclistiche e simili).

La presente informativa descrive il trattamento dei dati personali degli operatori sanitari (medici, infermieri, soccorritori, volontari) che si registrano e utilizzano la piattaforma EMSy Events nell'ambito delle loro attività professionali.

Relativamente all'operatore sanitario, EMSy tratta:

a) Dati di registrazione: nome e cognome, indirizzo email, numero di telefono, qualifica professionale dichiarata, organizzazione di appartenenza.

b) Dati di accesso: log di autenticazione, timestamp di login/logout, indirizzo IP, user agent del browser/dispositivo.

c) Dati operativi: record clinici inseriti dall'operatore nell'ambito dell'evento assegnato, accessi ai dati anamnestici dei partecipanti (Break-the-Glass log).

d) Dati di consenso: timestamp, indirizzo IP e user agent relativi all'accettazione della presente informativa e dell'impegno di riservatezza.

e) Dati di geolocalizzazione: coordinate GPS (latitudine, longitudine, elevazione) rilevate esclusivamente al momento della creazione di un record clinico e della timbratura turno (clock-in/clock-out), ai fini della tracciabilità medico-legale dell'intervento sanitario e del coordinamento operativo dell'evento. La posizione non viene tracciata in modo continuativo.

Erogazione del servizio e gestione dell'account: esecuzione di un contratto o misure precontrattuali (art. 6.1.b GDPR).

Dati anamnestici dei partecipanti trattati tramite l'operatore: interesse vitale del soggetto interessato (art. 6.1.d e art. 9.2.c GDPR) e finalità di medicina preventiva o di pronto soccorso (art. 9.2.h GDPR), nel contesto di un'emergenza territoriale durante un evento sportivo.

Dati di geolocalizzazione: legittimo interesse dell'organizzatore a garantire la localizzazione degli interventi sanitari e il coordinamento dei soccorsi (art. 6.1.f GDPR), nonché interesse vitale del partecipante in situazioni di emergenza (art. 6.1.d GDPR). La raccolta è limitata a eventi puntuali (creazione record clinico e timbratura turno) e non costituisce tracciamento continuativo dell'operatore.

Audit trail e log di sicurezza: legittimo interesse di EMSy a garantire l'integrità e la tracciabilità degli accessi ai dati di categoria speciale (art. 6.1.f GDPR).

Obblighi di legge: conservazione dati imposta da normativa applicabile (art. 6.1.c).

Per il trattamento dei dati sanitari dei partecipanti all'evento, EMSy agisce in qualità di Responsabile del trattamento ai sensi dell'art. 28 GDPR, su istruzione dell'organizzatore dell'evento (Titolare). L'operatore sanitario agisce come "incaricato del trattamento" ai sensi dell'art. 29 GDPR, sotto l'autorità e secondo le istruzioni di EMSy e dell'organizzatore.

I dati anamnestici dei partecipanti (condizioni mediche, allergie, farmaci, gruppo sanguigno) sono classificati come dati di categoria speciale ai sensi dell'art. 9 GDPR e sono accessibili solo tramite il meccanismo Break-the-Glass, che richiede una giustificazione clinica documentata e genera un log immutabile di ogni accesso.

I dati degli operatori non vengono venduti né condivisi con terzi a fini commerciali. Possono essere comunicati a:

- Organizzatori dell'evento (Titolari del trattamento), limitatamente ai dati necessari per la gestione operativa dell'evento.

- Fornitori di infrastruttura tecnica (Vercel, Neon Database / AWS), operanti come sub-responsabili con garanzie contrattuali adeguate e, ove applicabile, Standard Contractual Clauses per trasferimenti extra-SEE.

- Autorità competenti, in caso di obbligo legale o richiesta dell'autorità giudiziaria.

I servizi di hosting e database operano in regione EU-Central (Francoforte). Qualora si rendessero necessari trasferimenti verso paesi terzi, EMSy adotta le garanzie previste dagli artt. 46-49 GDPR (SCC, BCR o equivalenti).

Dati di account e log operativi: conservati per tutta la durata dell'account e per 24 mesi successivi alla disattivazione, salvo obblighi legali più lunghi.

Break-the-Glass log: conservati per 10 anni dalla data dell'accesso (finalità medico-legale e di accountability GDPR).

Dati di consenso: conservati per tutta la durata del rapporto e per 10 anni successivi (prova del consenso).

L'operatore sanitario ha diritto di:

- Accedere ai propri dati personali (art. 15 GDPR).

- Rettificare dati inesatti (art. 16 GDPR).

- Ottenere la cancellazione, nei limiti consentiti dagli obblighi di conservazione e dagli interessi legittimi di EMSy (art. 17 GDPR).

- Limitare il trattamento (art. 18 GDPR).

- Ricevere i propri dati in formato strutturato (portabilità, art. 20 GDPR).

- Opporsi al trattamento basato sul legittimo interesse (art. 21 GDPR).

- Revocare il consenso in qualsiasi momento, senza pregiudizio per la liceità del trattamento precedente alla revoca.

- Proporre reclamo all'Autorità Garante per la protezione dei dati personali (www.garanteprivacy.it).

Per esercitare i propri diritti: info@emsy.io

Per richiedere la cancellazione del proprio account e dei dati associati, l'operatore può:

1. Inviare una richiesta via email a info@emsy.io, indicando nome, cognome e indirizzo email dell'account da eliminare.

2. In alternativa, utilizzare il modulo online disponibile all'indirizzo https://events.emsy.io/it/data-rights, selezionando il tipo di richiesta "Cancellazione (diritto all'oblio)".

Le richieste vengono elaborate entro 30 giorni dalla ricezione. EMSy confermerà l'avvenuta cancellazione via email.

Cosa viene eliminato a seguito della richiesta:

- Dati di registrazione: nome, cognome, email, numero di telefono, qualifica professionale, organizzazione.

- Dati di accesso al profilo: preferenze, impostazioni, token di sessione.

- Associazioni a eventi: ruoli e assegnazioni a eventi futuri.

Cosa viene conservato per obbligo legale o interesse legittimo (non eliminabile):

- Log di sicurezza e audit trail (SecurityAuditLog, AuditLog): conservati per 10 anni per obblighi di tracciabilità medico-legale e accountability GDPR.

- Break-the-Glass log: log immutabili degli accessi ai dati anamnestici dei partecipanti, conservati per 10 anni.

- Dati di consenso: conservati per 10 anni come prova dell'accettazione delle condizioni d'uso.

- Record clinici operativi: i record inseriti dall'operatore restano associati all'evento per obblighi di documentazione sanitaria; il riferimento all'operatore viene pseudonimizzato.

EMSy adotta misure tecniche e organizzative adeguate, tra cui:

- Crittografia dei dati in transito (TLS 1.3) e a riposo.

- Autenticazione con JWT a breve scadenza e refresh token differenziati per ruolo.

- Separazione fisica dei dati anamnestici in tabella dedicata.

- Log immutabile di ogni accesso ai dati di categoria speciale.

- Controllo degli accessi basato su ruoli (RBAC).

La piattaforma EMSy Events utilizza esclusivamente cookie tecnici strettamente necessari al funzionamento del servizio. Non vengono utilizzati cookie di profilazione, pubblicitari o di tracciamento.

I cookie tecnici utilizzati sono:

- emsy_token: cookie di autenticazione (JWT), durata 15 minuti, HttpOnly, Secure, SameSite=Strict.

- emsy_refresh_token: cookie di sessione per il rinnovo dell'autenticazione, durata variabile per ruolo (da 24 ore a 7 giorni), HttpOnly, Secure, SameSite=Strict.

- NEXT_LOCALE: cookie di preferenza lingua (it/en/fr), impostato dal framework di internazionalizzazione.

Ai sensi del Provvedimento del Garante Privacy del 10 giugno 2021, i cookie tecnici non richiedono il consenso dell'utente e possono essere utilizzati anche in assenza di banner.

Il servizio di analytics (Vercel Web Analytics) utilizzato dalla piattaforma non impiega cookie e non effettua tracciamento individuale degli utenti.

EMSy si riserva il diritto di aggiornare la presente informativa. Le modifiche sostanziali saranno notificate tramite la piattaforma o via email con preavviso ragionevole. L'uso continuato della piattaforma dopo la notifica costituisce accettazione della nuova versione.