Informativa sul trattamento dei dati personali
Ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 (GDPR) e del D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018.
1. Titolare del trattamento
Il titolare del trattamento dei dati personali è PharmaNew S.r.l. (di seguito anche “Società” o “Titolare”), raggiungibile all'indirizzo:
PharmaNew S.r.l.
Sede legale: [indirizzo completo]
P.IVA: [numero P.IVA]
PEC: [pec@pharmanew.it]
E-mail: privacy@pharmanew.it
Per qualsiasi comunicazione relativa al trattamento dei dati personali, è possibile contattare il Titolare ai recapiti indicati sopra.
2. Ambito di applicazione
La presente informativa si applica alla piattaforma Pharmanow, un sistema B2B per la gestione degli ordini farmaceutici riservato a ospedali, cliniche e strutture sanitarie accreditate (di seguito “Piattaforma”).
Dato importante: La Piattaforma non tratta dati relativi ai pazienti né dati sanitari in senso stretto. I dati gestiti sono esclusivamente di natura commerciale/amministrativa: codici prodotto (Minsan), quantità ordinate, prezzi applicati, dati di contatto degli operatori autorizzati.
3. Dati trattati e finalità
La Piattaforma tratta le seguenti categorie di dati personali:
| Categoria | Dati | Finalità | Base giuridica |
|---|---|---|---|
| Dati di autenticazione | Nome, e-mail, hash della password, credenziali FIDO2 (Passkey) | Accesso sicuro alla Piattaforma | Esecuzione del contratto (art. 6.1.b) |
| Dati di contatto | Numero di telefono, opt-in WhatsApp | Notifiche sullo stato degli ordini | Esecuzione del contratto (art. 6.1.b) |
| Dati aziendali | Partita IVA, ragione sociale, struttura di appartenenza | Verifica identità professionale, fatturazione | Esecuzione del contratto / obbligo legale (art. 6.1.b/c) |
| Dati operativi | Ordini effettuati, preventivi (RFQ), prezzi applicati | Gestione del servizio di approvvigionamento farmaceutico | Esecuzione del contratto (art. 6.1.b) |
| Dati di sicurezza | Log di accesso, indirizzo IP, user agent, eventi di sicurezza | Sicurezza della Piattaforma, prevenzione frodi, conformità NIS2 | Legittimo interesse (art. 6.1.f) |
| Dati di audit | Registro azioni degli operatori in modalità alias/assistenza | Tracciabilità delle operazioni, conformità normativa | Legittimo interesse / obbligo legale (art. 6.1.c/f) |
| Cookie funzionali | Dati di sessione live chat (Tawk.to, terza parte) | Assistenza clienti in tempo reale | Consenso (art. 6.1.a) |
4. Periodi di conservazione (retention)
I dati personali sono conservati per il tempo strettamente necessario alle finalità per cui sono stati raccolti, nel rispetto del principio di limitazione della conservazione (art. 5.1.e GDPR):
| Tipologia dati | Periodo | Note |
|---|---|---|
| Dati di autenticazione e account | Fino alla cancellazione dell'account + 30 giorni | Cancellazione a cascata di tutti i dati associati |
| Ordini e preventivi (RFQ) | Illimitato (record commerciale) | Dati non personali oltre il nome utente |
| Audit log operativi | 5 anni | Obbligo di tracciabilità degli appalti |
| Security events e log di accesso | 5 anni | Conformità NIS2 / D.Lgs. 138/2024 |
| Log notifiche (WhatsApp/SMS) | 2 anni | Storico messaggi operativi |
| Log tecnici di sincronizzazione | 90 giorni | Telemetria tecnica senza valore legale |
| Cookie di sessione (NextAuth) | Durata della sessione | Cancellati al logout |
| Cookie funzionali (Tawk.to) | Secondo la policy Tawk.to | Solo se consenso prestato |
La pulizia automatica dei log avviene tramite un processo schedulato (prima domenica del mese). Alla scadenza del periodo di conservazione i dati vengono cancellati in modo definitivo e irreversibile.
5. Trasferimento dei dati
I dati personali sono conservati su server situati nell'Unione Europea (Hetzner Online GmbH, data center di Francoforte, Germania). Non avviene alcun trasferimento di dati verso Paesi terzi al di fuori dello Spazio Economico Europeo.
I dati possono essere comunicati a terzi solo nei casi previsti dalla legge o per l'esecuzione del contratto di servizio (es. Twilio Inc. per le notifiche WhatsApp — con adeguate garanzie contrattuali ai sensi dell'art. 46 GDPR).
6. Misure di sicurezza
Il Titolare adotta misure tecniche e organizzative adeguate, tra cui:
- Comunicazioni crittografate HTTPS/TLS
- Autenticazione FIDO2 (Passkey) senza password
- Autenticazione multi-fattore adattiva (MFA)
- Hashing delle password con algoritmo sicuro (bcrypt)
- API key derivate con SHA-256 (non conservate in chiaro)
- Audit log completo di tutte le azioni privilegiate
- Accesso ai dati limitato al personale autorizzato (RBAC)
7. Cookie e tecnologie di tracciamento
La Piattaforma utilizza cookie tecnici (necessari al funzionamento) e, previo consenso, cookie funzionali di terze parti. Per informazioni dettagliate, consultare il banner cookie presente nella parte inferiore dello schermo.
| Cookie | Tipo | Finalità |
|---|---|---|
| next-auth.session-token | Tecnico | Sessione autenticata |
| next-auth.csrf-token | Tecnico | Protezione CSRF |
| hospital-pharma-locale | Tecnico | Preferenza lingua |
| hp-cookie-consent | Tecnico | Memorizza preferenze cookie (localStorage) |
| Tawk.to (vari) | Funzionale | Live chat — richiede consenso |
8. Diritti degli interessati
Ai sensi degli artt. 15–22 GDPR, gli utenti della Piattaforma hanno il diritto di:
- Accesso — ottenere conferma del trattamento e copia dei propri dati
- Rettifica — correggere dati inesatti o incompleti
- Cancellazione (“diritto all'oblio”) — ottenere la cancellazione dei dati nei casi previsti
- Limitazione — richiedere la limitazione del trattamento
- Portabilità — ricevere i propri dati in formato strutturato e leggibile da macchina
- Opposizione — opporsi al trattamento basato sul legittimo interesse
- Revoca del consenso — revocare in qualsiasi momento il consenso prestato (es. cookie funzionali), senza pregiudizio per la liceità del trattamento precedente
Per esercitare i propri diritti, scrivere a: privacy@pharmanew.it. Il Titolare risponderà entro 30 giorni dalla ricezione della richiesta.
Gli interessati hanno altresì il diritto di proporre reclamo all'Autorità Garante per la protezione dei dati personali (www.garanteprivacy.it).
9. Contatti
PharmaNew S.r.l.
Sede legale: [indirizzo completo]
P.IVA: [numero P.IVA]
PEC: [pec@pharmanew.it]
E-mail: privacy@pharmanew.it
Per domande relative alla privacy: privacy@pharmanew.it
10. Modifiche alla presente informativa
Il Titolare si riserva di aggiornare la presente informativa per recepire modifiche normative o di prodotto. In caso di modifiche sostanziali, gli utenti saranno informati tramite notifica in-app o e-mail prima dell'entrata in vigore. La versione aggiornata sarà sempre disponibile su questa pagina con indicazione della data di ultima modifica.