Informativa privacy

1. Titolare del trattamento

Il Titolare del trattamento è MindStim Società a Responsabilità Limitata Semplificata, con sede in Via Trento 27, 64014 Martinsicuro (TE), C.F./P.IVA 02223570678.

Contatti: PEC mindstim@pec.it, email mindstimsrls@gmail.com.

2. Tipologia di servizio e principio di minimizzazione

MindStim è progettato per non richiedere registrazione ai pazienti, non prevedere anagrafiche cliniche persistenti e non utilizzare cookie di profilazione o strumenti di analytics/marketing. Lo stato operativo di una sessione di lavoro resta in memoria sul server realtime e viene eliminato al termine della connessione.

I terapeuti possono creare volontariamente un account per accedere al piano Pro (funzioni avanzate, link dedicato, preferenze salvate). In tal caso vengono trattati email, dati di autenticazione e, se sottoscritto, dati di fatturazione tramite Stripe — come descritto nelle sezioni dedicate.

Il link di invito contiene un identificativo casuale di sessione, non associato permanentemente a una persona identificata dal Titolare.

3. Dati trattati

In relazione all'utilizzo del sito e del servizio possono essere trattati:

• Dati tecnici di navigazione e connessione (es. indirizzo IP, data e ora, tipo di browser, log di sistema) necessari al funzionamento, alla sicurezza e alla diagnostica del servizio;
• Dati di sessione tecnica (identificativo sessione, impostazioni di stimolazione trasmesse in tempo reale) trattati solo per la sincronizzazione tra terapeuta e paziente;
• Preferenza linguistica, memorizzata tramite cookie tecnico (vedi informativa cookie);
• Dati di contatto eventualmente inviati volontariamente via email o PEC dal professionista o da terzi.
• Dati account terapeuta (solo se registrato): indirizzo email, nome visualizzato, identificativo utente, slug del link dedicato, identificativo sessione attiva corrente, preferenze tecniche non cliniche;
• Dati di abbonamento (solo piano Pro): gestiti da Stripe (stato abbonamento, identificativi cliente/abbonamento, periodo di validità). I dati della carta di pagamento non transitano sui server MindStim.

Il Titolare non richiede al paziente di creare un account e non gestisce, per progetto, cartelle cliniche o dati sanitari strutturati all'interno dell'applicazione.

4. Finalità e base giuridica

• Erogazione del servizio — esecuzione di misure precontrattuali o contrattuali e gestione tecnica delle sessioni (art. 6, par. 1, lett. b GDPR);
• Sicurezza e prevenzione abusi — legittimo interesse del Titolare a proteggere infrastruttura e utenti (art. 6, par. 1, lett. f GDPR);
• Adempimenti legali — obblighi di legge, richieste dell'Autorità (art. 6, par. 1, lett. c GDPR);
• Comunicazioni di servizio — riscontro a richieste inviate ai contatti indicati (art. 6, par. 1, lett. b o f GDPR);
• Account terapeuta e abbonamento Pro — esecuzione del contratto o misure precontrattuali richieste dal professionista (art. 6, par. 1, lett. b GDPR).

5. Modalità del trattamento

I dati sono trattati con strumenti informatici e telematici, con logiche correlate alle finalità indicate e con misure di sicurezza adeguate (controllo accessi, comunicazioni cifrate ove applicabile, minimizzazione dei dati conservati).

6. Conservazione

• Dati di sessione realtime: conservati solo in memoria per la durata della connessione attiva;
• Log tecnici del server/hosting: per il tempo strettamente necessario a sicurezza e manutenzione, nei limiti previsti dal fornitore infrastrutturale;
• Cookie di preferenza linguistica: fino a 12 mesi (vedi informativa cookie);
• Corrispondenza via email/PEC: per il tempo necessario a gestire la richiesta e adempiere agli obblighi di legge;
• Dati account terapeuta e abbonamento: per la durata del rapporto contrattuale e, ove applicabile, per i termini di legge o contabili;
• Log e dati tecnici Supabase/Stripe: secondo le policy dei rispettivi fornitori e nei limiti necessari al servizio.

7. Destinatari e responsabili

I dati possono essere trattati da personale autorizzato del Titolare e da fornitori tecnologici (es. hosting, CDN, infrastruttura di rete) nominati Responsabili del trattamento ai sensi dell'art. 28 GDPR, entro i limiti necessari all'erogazione del servizio.

Per account terapeuta e database profili/abbonamenti il Titolare utilizza Supabase (preferibilmente regione UE). Per pagamenti del piano Pro utilizza Stripe come responsabile del trattamento per le finalità di pagamento e fatturazione.

Non è prevista vendita dei dati personali né cessione a terzi per finalità di marketing.

8. Trasferimenti extra-UE

Qualora componenti dell'infrastruttura si trovino al di fuori dello Spazio Economico Europeo, il Titolare adotta garanzie adeguate (es. decisioni di adeguatezza, Clausole Contrattuali Standard) compatibili con il GDPR.

9. Diritti dell'interessato

L'interessato può esercitare i diritti di accesso, rettifica, cancellazione, limitazione, opposizione, portabilità (ove applicabile) e revoca del consenso (se prestato) scrivendo al Titolare ai recapiti sopra indicati.

Ha inoltre diritto di proporre reclamo all'Autorità Garante per la protezione dei dati personali (www.garanteprivacy.it).

10. Modifiche

Il Titolare può aggiornare la presente informativa per adeguarla a modifiche normative o del servizio. La data di ultimo aggiornamento è indicata in alto.