Informativa sulla Privacy

MindSpectrum è profondamente impegnata a proteggere la tua privacy e a salvaguardare i tuoi dati sensibili di valutazione psicologica. Questa completa informativa sulla privacy spiega come raccogliamo, utilizziamo, proteggiamo e gestiamo le tue informazioni personali e sanitarie in stretta conformità con HIPAA (Health Insurance Portability and Accountability Act), GDPR (Regolamento Generale sulla Protezione dei Dati), CCPA (California Consumer Privacy Act) e altre normative internazionali sulla privacy applicabili. Data la natura sensibile delle informazioni sulla salute mentale, adottiamo i più alti standard di protezione dei dati per garantire che i risultati delle tue valutazioni psicologiche e le informazioni personali rimangano riservati e sicuri.

Raccogliamo solo le informazioni essenziali necessarie per fornire servizi di valutazione psicologica: dettagli di registrazione dell’account (nome, email, data di nascita per la verifica dell’età), risposte e risultati delle valutazioni, analisi sull’uso per migliorare la funzionalità della piattaforma, log tecnici per il monitoraggio della sicurezza e informazioni di pagamento opzionali elaborate tramite fornitori terzi conformi a PCI-DSS. Rispettiamo rigorosamente i principi di minimizzazione dei dati previsti da HIPAA e GDPR, raccogliendo solo quanto necessario per fornire i servizi di valutazione. I tuoi dati di valutazione sono classificati come Informazioni Sanitarie Protette (PHI) e ricevono protezioni di sicurezza avanzate. Non raccogliamo mai informazioni sulla tua posizione fisica, gli identificatori dei dispositivi sono anonimizzati e tutta la raccolta di dati sanitari richiede un consenso informato esplicito.

I tuoi dati di valutazione psicologica vengono utilizzati esclusivamente per: fornire report e approfondimenti sulle valutazioni, monitorare le tue tendenze personali di salute mentale nel tempo (se attivi questa funzione), migliorare algoritmi di valutazione e funzionalità della piattaforma tramite analisi aggregate anonimizzate, e fornire supporto tecnico su richiesta. NON vendiamo, affittiamo o condividiamo le tue informazioni sanitarie identificabili con terze parti per scopi di marketing o commerciali. Non condividiamo i risultati delle tue valutazioni con compagnie assicurative, datori di lavoro, istituzioni educative o enti governativi senza il tuo esplicito consenso scritto o obbligo legale. Tutte le attività di elaborazione dati seguono il principio del minimo necessario previsto da HIPAA e sono condotte con una base legale documentata sotto GDPR.

Implementiamo misure di sicurezza di livello sanitario che superano i requisiti dei Safeguard Tecnici HIPAA: crittografia AES-256 per i dati a riposo e TLS 1.3 per i dati in transito, autenticazione multi-fattore (MFA) per tutti gli account, test di penetrazione regolari eseguiti da aziende di sicurezza indipendenti, infrastruttura cloud conforme a HIPAA con configurazioni healthcare AWS/GCP, monitoraggio automatico della sicurezza e sistemi di rilevamento intrusioni, audit annuali di conformità HIPAA da parte di terzi, protocolli di disaster recovery e continuità operativa, e rigorosi controlli di accesso che limitano l’accesso del personale alle PHI solo su base necessaria. Tutti i dipendenti seguono formazione annuale sulla privacy e sicurezza HIPAA. Manteniamo log completi di ogni accesso ai tuoi dati di valutazione.

Ai sensi della Regola sulla Privacy HIPAA e del GDPR, hai diritti completi: Diritto di Accesso (scaricare copia completa della tua PHI entro 30 giorni), Diritto di Correzione (richiedere modifiche ai dati di valutazione inaccurati), Diritto alla Cancellazione (richiedere la cancellazione completa dei tuoi dati, con alcune eccezioni), Diritto alla Portabilità dei Dati (esportare i risultati delle valutazioni in formato leggibile da macchina), Diritto di Limitare il Trattamento (limitare l’uso dei tuoi dati), Diritto di Opposizione (rinunciare a usi opzionali dei dati), Diritto di Revocare il Consenso (ritirare il consenso al trattamento), e Diritto di Accesso alle Comunicazioni (ricevere registro di chi ha avuto accesso alla tua PHI). Esercita questi diritti tramite le impostazioni privacy del tuo account o contattando il nostro Responsabile della Privacy.

Hai completo controllo sulla conservazione dei tuoi dati. Account attivi: dati di valutazione conservati a tempo indeterminato fino a richiesta di cancellazione. Account inattivi (nessun accesso per oltre 24 mesi): ti invieremo una email prima di archiviare i dati. Account cancellati: tutti i dati di valutazione vengono cancellati definitivamente entro 30 giorni, con metodi di distruzione sicura conformi agli standard NIST 800-88. Dati aggregati anonimizzati usati per ricerca possono essere conservati, ma non contengono informazioni identificabili. Puoi scaricare la tua cronologia completa di valutazioni in qualsiasi momento prima della cancellazione.

Se accedi a MindSpectrum da fuori dagli Stati Uniti, i tuoi dati potrebbero essere trasferiti e trattati negli USA. Implementiamo Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea per la conformità GDPR e manteniamo protezioni equivalenti per i trasferimenti internazionali di dati. I dati degli utenti UE sono trattati in conformità alle deroghe dell’Articolo 49 GDPR per consenso esplicito e fornitura necessaria del servizio.

Per domande sulla privacy, per esercitare i tuoi diritti o per segnalare preoccupazioni: invia una email al nostro Data Protection Officer all’indirizzo [email protected], scrivi al Responsabile della Privacy MindSpectrum [Indirizzo Azienda], oppure utilizza il nostro modulo di contatto sicuro conforme a HIPAA. Rispondiamo alle richieste di privacy entro 30 giorni come previsto da HIPAA e GDPR. Per notifiche di violazioni dei dati o problemi di sicurezza, contatta immediatamente [email protected].