Noesis
Torna al sito

Documento legale

Privacy Policy

Ultimo aggiornamento: maggio 2026

1. Titolare del trattamento

Il titolare del trattamento dei dati personali raccolti tramite Noesis Clinical Insight (di seguito "Noesis" o "il Servizio") è:

Giacomo Carollo

Email: gcarollo.psi@gmail.com

PEC: giacomo.carollo@pecpsyveneto.it

i

Per i dati clinici dei pazienti inseriti dagli psicologi nell'applicazione, Noesis agisce esclusivamente come Responsabile del Trattamento (Data Processor)ai sensi dell'art. 28 GDPR. Il professionista sanitario che utilizza il servizio è il Titolare autonomo del trattamento dei dati dei propri pazienti.

2. Dati raccolti e finalità del trattamento

Noesis tratta due distinte categorie di interessati, con regimi giuridici differenti:

A. Dati del Professionista (Psicologo/Psicoterapeuta)

Dati trattati:

  • Nome, cognome, indirizzo email professionale
  • Credenziali di autenticazione tramite Google OAuth / Firebase Auth
  • Numero di iscrizione all'albo professionale e regione (per verifica della qualifica)
  • Indirizzo IP di connessione, log di accesso e utilizzo del servizio

Base giuridica:

  • Art. 6.1.b GDPR — Esecuzione del contratto di servizio
  • Art. 6.1.f GDPR — Legittimo interesse a garantire l'uso esclusivamente professionale della piattaforma

Conservazione:

Per tutta la durata dell'account attivo. I dati tecnici di log vengono conservati per un massimo di 12 mesi.

B. Dati del Paziente (Inseriti dal Professionista)

Dati trattati (categoria speciale — Art. 9 GDPR):

  • Registrazioni audio delle sedute terapeutiche
  • Trascrizioni testuali delle sedute
  • Note cliniche narrative, sintomi, anamnesi psicologica
  • Mappe del funzionamento cognitivo, pattern relazionali, obiettivi terapeutici
  • Dati identificativi inseriti dal professionista (nome, età, genere o codici pseudonimi)

Base giuridica per Noesis (Responsabile):

Art. 28 GDPR — Nomina formale a Responsabile del Trattamento da parte del professionista. Noesis non dispone di base giuridica autonoma per trattare dati sanitari dei pazienti.

Base giuridica per il Professionista (Titolare):

  • Art. 9.2.a GDPR — Consenso esplicito del paziente
  • Art. 9.2.h GDPR — Trattamento necessario per finalità di assistenza o terapia sanitaria, effettuato da un professionista soggetto al segreto professionale

Conservazione:

  • File audio: eliminati immediatamente dopo l'elaborazione, salvo diversa scelta del professionista
  • Dati clinici testuali: fino alla chiusura del fascicolo paziente o su richiesta esplicita di cancellazione del professionista

3. Trattamento mediante Intelligenza Artificiale

Noesis utilizza modelli di intelligenza artificiale Gemini (Google) per elaborare i contenuti inseriti dal professionista: trascrizioni audio, note cliniche, domande al supervisore AI. Tale elaborazione avviene tramite le API commerciali di Google Cloud (Vertex AI / Gemini API), coperte dal Google Cloud GDPR Data Processing Addendum.

  • Google si impegna contrattualmente a non utilizzare i dati dei clienti per addestrare o migliorare i propri modelli pubblici (Zero Data Retention per finalità di training)
  • Le chiamate API vengono instradate su endpoint regionali all'interno dello Spazio Economico Europeo (SEE), preferibilmente su data center in Germania o Francia
  • Gli output prodotti dall'AI sono strumenti di supporto al professionista e non costituiscono in alcun caso prescrizioni cliniche, diagnosi o pareri medici
  • Il professionista rimane l'unico responsabile di ogni decisione clinica adottata
!

Noesis non utilizza chiavi API gratuite o di sviluppo prive di garanzie contrattuali GDPR. L'elaborazione AI avviene esclusivamente tramite account Google Cloud con Data Processing Agreement attivo, che vieta l'uso dei dati per finalità di addestramento dei modelli.

4. Ruoli: Responsabile e Titolare del trattamento

La distinzione dei ruoli è fondamentale per comprendere le responsabilità di ciascuna parte:

Noesis — Responsabile (Art. 28 GDPR)

  • Fornisce l'infrastruttura tecnologica sicura
  • Tratta i dati clinici solo su istruzione del professionista
  • Non accede ai dati per scopi propri
  • Non cede dati a terzi salvo sub-responsabili dichiarati

Psicologo — Titolare autonomo

  • Decide finalità e modalità del trattamento dei dati dei pazienti
  • Raccoglie il consenso informato dai propri pazienti
  • Risponde direttamente ai pazienti per l'esercizio dei loro diritti
  • Garantisce la conformità deontologica e legale della propria pratica
i

All'atto dell'iscrizione a Noesis, il professionista sottoscrive un accordo di nomina a Responsabile del Trattamento (DPA — Data Processing Agreement) che regola i reciproci obblighi ai sensi dell'art. 28 GDPR.

5. Consenso informato dei pazienti

Noesis non raccoglie dati direttamente dai pazienti e non ha rapporti contrattuali con loro. L'obbligo di raccogliere il consenso esplicito e informato ricade interamente sullo psicologo, in qualità di Titolare del trattamento.

Prima di inserire dati di un paziente su Noesis — e in particolare prima di effettuare registrazioni audio — il professionista deve integrare nel proprio modulo di consenso informato scritto una clausola specifica che informi il paziente:

Esempio di clausola da includere nel consenso informato del professionista:

"Per finalità di miglioramento dell'efficacia terapeutica, stesura delle note cliniche e organizzazione dei materiali, il terapeuta potrà avvalersi di registrazioni audio e di piattaforme tecnologiche di intelligenza artificiale assistita (Noesis), con le quali è stato stipulato un accordo GDPR-compliant per la protezione dei dati. I dati vocali e i testi elaborati transitano su canali protetti e crittografati, non vengono conservati per scopi commerciali né utilizzati per l'addestramento di intelligenze artificiali pubbliche."

i

Noesis mette a disposizione dei professionisti registrati un kit privacy scaricabile contenente un modello di clausola da integrare nel proprio consenso informato.

6. Sub-responsabili del trattamento (Sub-processors)

Per erogare il servizio, Noesis si avvale dei seguenti fornitori terzi, tutti operanti nell'Unione Europea o in paesi con adeguate garanzie GDPR:

Google Cloud Platform / Firebase

Google Ireland Limited — Dublin, Irlanda

  • Hosting dei server applicativi (Google Cloud Run)
  • Database NoSQL (Cloud Firestore — regione Europa)
  • Archiviazione file audio e documenti (Firebase Storage — regione Europa)
  • Autenticazione utenti (Firebase Auth / Google Sign-In)

Accordo applicato: Google Cloud GDPR Data Processing Addendum

Google AI / Gemini API

Google Ireland Limited — Dublin, Irlanda

  • Trascrizione audio delle sedute terapeutiche
  • Analisi e strutturazione delle note cliniche
  • Generazione di insight, mappe cognitive e risposte del supervisore AI

Accordo applicato: Google Cloud GDPR Data Processing Addendum — Zero Data Retention per training

I dati non vengono venduti né ceduti a terzi per finalità di marketing o profilazione.

7. Misure di sicurezza

Noesis adotta misure tecniche e organizzative adeguate al rischio, in conformità all'art. 32 GDPR:

Cifratura in transito

Tutte le comunicazioni avvengono esclusivamente su canale HTTPS con protocollo TLS 1.2/1.3

Cifratura a riposo

File audio e database Firestore cifrati con AES-256 gestito da Google Cloud Key Management

Isolamento logico

Le regole Firebase (firestore.rules) garantiscono che ogni professionista acceda esclusivamente ai propri dati

Autenticazione forte

Accesso tramite Google OAuth con supporto nativo all'autenticazione a due fattori (2FA)

Audit log

Ogni accesso ai dati clinici è registrato in log di sistema non modificabili con data, ora e identificativo utente

Accesso controllato

La piattaforma è accessibile solo ai professionisti verificati tramite codice di accesso nominativo

8. Obblighi specifici per il settore sanitario italiano

In aggiunta alle disposizioni GDPR, Noesis tiene conto delle normative specifiche applicabili alla pratica psicologica in Italia:

  • Codice Deontologico degli Psicologi Italiani (artt. 11, 12, 17): il segreto professionale e la conservazione sicura della documentazione clinica per almeno 5 anni sono obblighi che ricadono sul professionista. Noesis consente l'esportazione integrale della cartella clinica in qualsiasi momento.
  • Linee Guida del Garante Privacy sul Dossier Sanitario (Delibera n. 191/2015): ogni accesso ai dati clinici è tracciato in audit log non modificabili, come richiesto per i sistemi che gestiscono fascicoli sanitari elettronici.
  • Pseudonimizzazione consigliata: si raccomanda ai professionisti di inserire i pazienti con iniziali o codici (es. PAZ-01A) anziché nome e cognome completi, riducendo il rischio in caso di accesso non autorizzato.

9. Riepilogo dei trattamenti

FinalitàDati trattatiBase giuridicaConservazione
Registrazione e accesso alla piattaformaEmail, nome, n° albo del professionistaArt. 6.1.b (contratto)Durata account + 12 mesi log
Verifica qualifica professionaleN° iscrizione albo, regioneArt. 6.1.f (legittimo interesse)24 mesi
Trascrizione audio seduteFile audio, testo trascrizioneArt. 28 GDPR (DPA con psicologo)Eliminazione post-elaborazione o su scelta psicologo
Analisi clinica AITesti clinici, note di sedutaArt. 28 GDPR (DPA con psicologo)Fino a cancellazione fascicolo
Autenticazione utentiEmail, token Google OAuthArt. 6.1.b (contratto)Durata sessione + log 12 mesi
Adempimenti fiscali/contabiliDati di fatturazione (ove applicabile)Art. 6.1.c (obbligo legale)10 anni

10. Diritti degli interessati

In conformità agli artt. 15–22 GDPR, gli utenti (professionisti) hanno il diritto di:

Accesso (art. 15)

Ottenere conferma e copia dei propri dati trattati

Rettifica (art. 16)

Correggere dati inesatti o incompleti

Cancellazione (art. 17)

Richiedere la cancellazione dei propri dati

Limitazione (art. 18)

Limitare il trattamento in determinati casi

Portabilità (art. 20)

Ricevere i propri dati in formato strutturato e leggibile; esportare l'intero archivio clinico

Opposizione (art. 21)

Opporsi al trattamento basato su legittimo interesse

Per esercitare i propri diritti contattare il Titolare a gcarollo.psi@gmail.com oppure via PEC a giacomo.carollo@pecpsyveneto.it. Il Titolare risponderà entro 30 giorni.

Gli interessati hanno il diritto di proporre reclamo al Garante per la Protezione dei Dati Personali: garanteprivacy.it.

11. Cookie e tracciamento

Noesis non utilizza cookie di profilazione, pixel pubblicitari (es. Meta Pixel) né strumenti di tracciamento comportamentale all'interno dell'area clinica riservata.

  • Cookie tecnici di sessione: necessari per il funzionamento dell'autenticazione (Firebase Auth). Non richiedono consenso.
  • Nessun cookie di terze parti a scopo pubblicitario o analitico invasivo nell'area clinica
  • Il sito pubblico (landing page) potrebbe utilizzare cookie analitici anonimi per misurare il traffico, senza raccogliere dati personali identificativi

12. Trasferimenti internazionali

Tutti i dati sono archiviati e processati primariamente all'interno dello Spazio Economico Europeo (SEE) su infrastruttura Google Cloud in Europa (regioni europe-west). Eventuali trasferimenti residuali verso paesi terzi (es. USA) avvengono nel rispetto delle garanzie previste dal GDPR tramite le Clausole Contrattuali Standard della Commissione Europea e il Data Privacy Framework UE-USA.

13. Modifiche alla presente informativa

Il Titolare si riserva il diritto di modificare la presente informativa. Le modifiche sostanziali saranno comunicate agli utenti registrati via email con un preavviso di almeno 15 giorni. L'utilizzo continuato del servizio dopo tale comunicazione costituisce accettazione delle modifiche.