← Torna alla home

Informativa sulla Privacy

Ultimo aggiornamento: 8 maggio 2026

1. Premessa e ruoli

La presente informativa descrive il trattamento dei dati personali nell'ambito del servizio DentaLog (di seguito anche "il Servizio"), software SaaS di tracciabilità della sterilizzazione per studi odontoiatrici, distribuito da Simulation Project s.r.l. (di seguito anche "Simulation Project").

Il trattamento dei dati personali nell'ambito di DentaLog coinvolge due distinte categorie di interessati e, conseguentemente, due distinti regimi:

  • Dati dello studio cliente e dei suoi operatori (titolare del contratto di servizio, utenti del software): per questi dati Simulation Project s.r.l. è Titolare del trattamento ai sensi dell'Art. 4(7) GDPR.
  • Dati dei pazienti (caricati nel Servizio dallo studio cliente per finalità di tracciabilità sanitaria): per questi dati il Titolare del trattamento è lo studio odontoiatrico cliente; Simulation Project s.r.l. agisce come Responsabile del trattamento ai sensi dell'Art. 28 GDPR, sulla base del DPA (Data Processing Agreement) sottoscritto al momento dell'attivazione del Servizio.

I pazienti che desiderino esercitare i propri diritti sui dati sanitari trattati nell'ambito di DentaLog devono rivolgersi al proprio studio odontoiatrico, che è il Titolare di tali dati.

2. Titolare e contatti

Titolare del trattamento (per dati di account, operatori e pagamento):

  • Simulation Project s.r.l., con sede legale in Italia
  • Email: privacy@simulationproject.it

Responsabile della Protezione dei Dati (DPO): per la fase iniziale Simulation Project non ha designato un DPO formale ai sensi dell'Art. 37 GDPR (non si rientra in alcuna delle ipotesi obbligatorie). I quesiti privacy sono gestiti dal referente privacy raggiungibile all'indirizzo sopra indicato. Una nomina formale è prevista in seguito alla crescita del bacino utenti e/o al raggiungimento di una soglia di trattamento sistematico su larga scala.

3. Tipologie di dati trattati

3.1 — Dati dello studio cliente e operatori (Simulation Project = Titolare):

  • Dati identificativi dello studio: ragione sociale, indirizzo, partita IVA / codice fiscale, recapiti
  • Dati degli utenti che accedono al Servizio: nome, cognome, email, password (hash bcrypt 12 round, mai in chiaro)
  • Dati di accesso e sicurezza: indirizzo IP, timestamp accessi, user-agent, log eventi (audit log immutabile)
  • Dati di pagamento e fatturazione (gestiti tramite il provider di pagamento, soggetto a propria informativa)

3.2 — Dati dei pazienti (Studio cliente = Titolare; Simulation Project = Responsabile su istruzioni):

  • Dati identificativi: nome, cognome, codice fiscale (cifrato AES-256-GCM at-rest), data di nascita, recapiti
  • Dati relativi alla salute (Categoria speciale Art. 9 GDPR): associazione paziente↔ciclo di sterilizzazione↔dispositivi medici riutilizzabili usati, eventuali note cliniche libere inserite dallo studio
  • Tracciabilità inversa per finalità medico-legali e di tutela del paziente (richiamo dispositivi, indagini su contagio crociato)

3.3 — Dati tecnici di prodotto (Simulation Project = Titolare per finalità di sicurezza/funzionamento Servizio):

  • Cicli di sterilizzazione, parametri delle autoclavi, indicatori chimici/biologici (ISO 17665 + ISO 11140-1)
  • Log di sistema per troubleshooting

3.4 — Funzione opzionale di scansione documenti di identità (Studio cliente = Titolare; Simulation Project = Responsabile):

  • Lo studio può scansionare Tessera Sanitaria, Carta d'Identità Elettronica o passaporto del paziente tramite fotocamera, webcam o lettore USB
  • L'immagine del documento è elaborata localmente nel browser (client-side): non viene mai trasmessa né salvata sui server di Simulation Project
  • Vengono estratti e salvati esclusivamente i dati necessari alla tracciabilità del paziente: cognome, nome, codice fiscale, data di nascita (principio di minimizzazione Art. 5(1)(c) GDPR)
  • Non vengono estratti né conservati: indirizzo di residenza, fotografia, dati biometrici, numero documento, ente emittente
  • L'uso della fotocamera richiede consenso esplicito del browser (autorizzazione standard `getUserMedia`)

4. Finalità e basi giuridiche

4.1 — Per i dati dello studio e operatori (Titolare: Simulation Project):

  • Esecuzione del contratto (Art. 6(1)(b) GDPR): erogazione del Servizio, gestione account, fatturazione, supporto
  • Obbligo legale (Art. 6(1)(c) GDPR): adempimenti fiscali e contabili
  • Interesse legittimo (Art. 6(1)(f) GDPR): sicurezza informatica, prevenzione frodi, tutela del Servizio

4.2 — Per i dati dei pazienti (Titolare: studio cliente):

  • Lo studio cliente determina le proprie basi giuridiche, ordinariamente: Art. 6(1)(c) GDPR (obbligo legale di tracciabilità ai sensi del D.Lgs. 81/2008 e delle linee guida ATS) per la base giuridica generale, e Art. 9(2)(h) GDPR (finalità di medicina preventiva, diagnosi, assistenza sanitaria) per il trattamento di categorie speciali (dati sanitari)
  • Simulation Project agisce esclusivamente sulla base delle istruzioni documentate del Titolare (DPA Art. 28 GDPR) e non determina autonomamente alcuna finalità su tali dati

5. Tempi di conservazione

  • Dati account / operatori: per la durata del contratto e fino a 12 mesi successivi alla cessazione
  • Dati di sterilizzazione e tracciabilità ciclo↔paziente↔dispositivo: 10 anni ai sensi delle linee guida ATS regionali e del D.Lgs. 81/2008. Tale obbligo legale di conservazione sopravvive alla cessazione del contratto: i dati sono mantenuti per la durata residua dell'obbligo, in modalità di sola lettura ed esportabili dallo studio cliente in ogni momento
  • Dati di contatto da form pubblico: 90 giorni dalla richiesta
  • Log di sicurezza e audit log: 12 mesi (24 mesi per eventi critici)
  • Backup automatici: rolling 30 giorni

6. Diritti degli interessati

Ai sensi degli Artt. 15-22 GDPR:

  • Accesso (Art. 15)
  • Rettifica (Art. 16)
  • Cancellazione / oblio (Art. 17), nei limiti degli obblighi legali di conservazione
  • Limitazione (Art. 18)
  • Portabilità (Art. 20): export CSV/PDF/JSON disponibile dall'area utente in ogni momento
  • Opposizione (Art. 21)
  • Reclamo al Garante per la Protezione dei Dati Personali (www.garanteprivacy.it) ai sensi dell'Art. 77 GDPR

Per i propri dati di account (utenti dello studio): scrivere a privacy@simulationproject.it. Risposta entro 30 giorni (estendibili di 60 in casi complessi, con notifica).

Per i dati dei pazienti: i pazienti devono rivolgersi al proprio studio odontoiatrico, che è Titolare del trattamento. Simulation Project, in qualità di Responsabile, supporta lo studio nell'evasione delle richieste degli interessati ai sensi dell'Art. 28(3)(e) GDPR.

7. Misure di sicurezza (Art. 32 GDPR)

  • Crittografia in transito: TLS 1.3 obbligatorio (HSTS preload, redirect HTTPS forzato)
  • Crittografia at-rest: AES-256-GCM per dati sensibili (codice fiscale, secret 2FA)
  • Hash password con bcrypt 12 round, mai in chiaro, refresh token rotation
  • Autenticazione a due fattori (2FA TOTP) per gli account privilegiati
  • Isolamento multi-tenant a livello di database (filtro tenantId su ogni query)
  • Audit log immutabile con timestamp, IP, utente, azione
  • Rate limiting e protezione anti brute-force / account lockout escalante
  • Backup automatici giornalieri crittografati, retention 30 giorni
  • Headers di sicurezza: HSTS, CSP, X-Frame-Options DENY, Permissions-Policy restrittiva
  • Hash SHA-256 di integrità su report ATS mensili (valore probatorio rinforzato)

8. Sub-fornitori (sub-processors)

Per l'erogazione del Servizio, Simulation Project si avvale dei seguenti sub-fornitori, ciascuno vincolato da apposito accordo ai sensi dell'Art. 28(2) e (4) GDPR:

FornitoreFinalitàSede dati
IONOS SEHosting Cloud Compute (server applicazione + database)Germania (UE)
Provider di pagamento (futuro, all'attivazione abbonamenti a pagamento)Gestione abbonamentiUE / Adeguatezza

Eventuali nuovi sub-fornitori o modifiche saranno comunicati ai clienti con preavviso di 30 giorni e diritto di opposizione motivata, come previsto dal DPA.

9. Trasferimenti extra-UE

Tutti i dati personali sono trattati e conservati nel territorio dell'Unione Europea / Spazio Economico Europeo. Non sono attualmente previsti trasferimenti verso paesi terzi. Qualora in futuro si rendessero necessari, saranno adottati meccanismi di garanzia adeguati (Standard Contractual Clauses 2021, decisioni di adeguatezza) e ne sarà data informativa preventiva.

10. Notifica violazioni di dati personali (Art. 33-34 GDPR)

In caso di violazione che comporti un rischio per i diritti e le libertà degli interessati, Simulation Project:

  • Notifica al Garante entro 72 ore dalla conoscenza dell'evento (per i dati di cui è Titolare)
  • Notifica al Titolare cliente senza ingiustificato ritardo e comunque entro 24 ore lavorative dall'accertamento (per i dati di cui è Responsabile, come previsto dal DPA)
  • Comunica agli interessati senza ingiustificato ritardo qualora il rischio sia elevato

11. Valutazione d'impatto (DPIA)

Trattando dati relativi alla salute su larga scala (Art. 35(3)(b) GDPR), Simulation Project effettua e mantiene aggiornata una Valutazione d'Impatto sulla Protezione dei Dati. Il documento è disponibile su richiesta motivata da parte di clienti, sub-fornitori o autorità di controllo.

12. Cookie

DentaLog utilizza esclusivamente cookie tecnici strettamente necessari per autenticazione, sessione e sicurezza (anti-CSRF). Non vengono utilizzati cookie di profilazione, analytics o di terze parti. Per i cookie tecnici non è richiesto il consenso ai sensi del Provvedimento del Garante 10/06/2021.

13. Modifiche all'informativa

La presente informativa può essere aggiornata per adeguamenti normativi o evoluzione del Servizio. Le modifiche sostanziali saranno comunicate via email all'utente registrato con preavviso di almeno 30 giorni. La versione aggiornata indicherà la data dell'ultimo aggiornamento.

14. Reclami

Qualora l'interessato ritenga che il trattamento violi il GDPR, ha diritto di proporre reclamo al Garante per la Protezione dei Dati Personali (Piazza Venezia 11, 00187 Roma — www.garanteprivacy.it) ai sensi dell'Art. 77 GDPR, ferma restando ogni altra tutela amministrativa o giurisdizionale.