Informativa sulla Privacy per Pazienti che utilizzanola Piattaforma di Monitoraggio della Salute Empatica (EHMP)
Ultimo aggiornamento: v1.0 gen 2026
Questa Informativa sulla Privacy ("Informativa") spiega come Empatica S.r.l., con sede legale in Via Stendhal 36, 20144 Milano, Italia ("Empatica", "noi", "nostro", o "nostra"), elabora i dati personali dei pazienti degli ospedali o dei centri clinici che sono clienti di Empatica ("Clienti") ubicati nell'Unione Europea (UE), nello Spazio Economico Europeo (SEE) e nel Regno Unito che utilizzano la Piattaforma di Monitoraggio della Salute Empatica ("EHMP") e i relativi componenti e servizi (insieme, i "Servizi").
Empatica fornisce tecnologie di sanità digitale e dispositivi medici che consentono la raccolta remota, la trasmissione e l'analisi dei dati fisiologici dei pazienti affetti da malattia di Parkinson ("Interessati", "tu" o "tuoi") sotto il controllo dei Clienti.
I Clienti agiscono come responsabili del trattamento per quanto riguarda l'elaborazione dei dati personali degli Interessati necessari per la diagnosi, la cura e il trattamento. In questo contesto, tutte le attività di trattamento svolte da Empatica a sostegno di questi scopi sono eseguite da Empatica nella sua capacità di incaricato del trattamento, per conto dei Clienti. Di conseguenza, le attività di trattamento svolte per scopi di diagnosi, cura e trattamento non sono coperte da questa Informativa.
Tuttavia, Empatica agisce anche come responsabile del trattamento indipendente per determinati scopi relativi ai Servizi per i quali Empatica determina gli scopi e i mezzi del trattamento, come descritto in questa Informativa. Di conseguenza, attraverso questa Informativa, Empatica fornisce agli Interessati le informazioni relative al trattamento dei loro dati personali, come richiesto dalle leggi applicabili sulla protezione dei dati.
1. Chi è destinatario di questa Informativa?
Questa Informativa descrive come Empatica elabora i dati personali dei pazienti dei Clienti che utilizzano i Servizi.
Se il paziente è un bambino, Empatica può elaborare dati non appartenenti a categorie speciali limitati relativi al genitore, al tutore o al professionista sanitario autorizzato del paziente. Di conseguenza, in tali casi, il termine "Interessati" dovrebbe essere interpretato come inclusivo di questi individui.
Gruppi di età
Bambini di età superiore a 6 anni ma inferiore a 18 anni: possono utilizzare i Servizi solo sotto la supervisione di un genitore, di un tutore o di un professionista sanitario autorizzato. Non possono registrarsi come utenti dei Servizi direttamente; la registrazione e il consenso devono essere completati dal loro genitore, dal loro tutore o dal ricercatore o clinico responsabile.
Bambini di età inferiore a 6 anni: i Servizi non sono destinati ai bambini di età inferiore a 6 anni. Pertanto, Empatica non elaborerà alcun dato relativo a bambini di età inferiore a 6 anni.
2. Fonti dati e categorie
Empatica raccoglie principalmente dati personali dagli Interessati attraverso il loro utilizzo dei Servizi. Tuttavia, Empatica può raccogliere i dati degli Interessati dal Cliente nel corso della sorveglianza post-mercato o del supporto tecnico.
Empatica può elaborare:
Dati di contatto identificabili come nome, cognome, data di nascita, età, genere, indirizzo e-mail;
Informazioni su dispositivi e informazioni tecniche, identificatori online e dati di utilizzo dei dispositivi, come indirizzo IP, identificatori dei dispositivi, metriche operative dei dispositivi, rapporti di calibrazione e convalida dei dispositivi, versione del firmware e dell'app, timestamp, sistema operativo, registri di connettività, registri tecnici, identificatori dei dispositivi mobili (ad esempio IMEI/ID del dispositivo);
Dati relativi alla salute come segnali fisiologici, tempo di utilizzo, movimenti, sonno, punteggi correlati al Parkinson (ad esempio tremore, bradicinesia, discinesie), registri dei farmaci e altri dati di prestazione del dispositivo.
Tuttavia, i dati specifici elaborati possono variare, a seconda della configurazione EHMP scelta dal Cliente e del dispositivo utilizzato dagli Interessati.
3. Scopi e basi legali per il trattamento dei dati personali
La tabella seguente illustra gli scopi delle attività di trattamento svolte da Empatica quando agisce come responsabile del trattamento indipendente in relazione ai dati personali degli Interessati, insieme alle corrispondenti basi legali e ad altri dettagli rilevanti.
Scopo del Trattamento
Categorie di Dati Personali
Esempi
Come Raccolti
Base Legale e potenziali conseguenze della mancata elaborazione dei dati
Salvaguardia – monitoraggio e valutazione delle prestazioni e della sicurezza dell'EHMP, inclusa diagnostica, rimedio e risposta ai rapporti di eventi avversi.
Informazioni relative alla salute, identificatori dei dispositivi e metriche operative.
Dati di prestazione del dispositivo, rapporti di eventi avversi, metriche di utilizzo, informazioni diagnostiche.
Generati automaticamente dal dispositivo o forniti dal Cliente nel corso della sorveglianza post-mercato o del supporto tecnico.
Conformità agli obblighi legali in materia di sicurezza e vigilanza, sulla base dell'art. 6(1)(c) del GDPR per i dati non appartenenti a categorie speciali e dell'art. 9(2)(i) del GDPR per i dati relativi alla salute.
Conformità normativa e gestione della qualità.
Informazioni relative alla salute e informazioni sui dispositivi come richiesto dalle leggi applicabili e dall'assicurazione della qualità.
Dati di utilizzo dei dispositivi, calibrazione e rapporti di convalida.
Generati automaticamente o forniti dal Cliente per soddisfare gli obblighi normativi.
Conformità a un obbligo legale a cui Empatica è soggetta secondo le leggi applicabili, sulla base dell'art. 6(1)(c) del GDPR per i dati non appartenenti a categorie speciali e dell'art. 9(2)(i) del GDPR per i dati relativi alla salute.
Analitiche e ricerca (se autorizzate dall'Interessato) – Conduzione di analitiche e ricerca su dati pseudonimizzati o aggregati per migliorare gli algoritmi e supportare i futuri depositi normativi e clinici.
Dati derivati da dati personali, dispositivi e attività, incluse informazioni relative alla salute, elaborate in forma pseudonimizzata o aggregata.
Set di dati aggregati o deidentificati utilizzati per convalidare algoritmi o migliorare le prestazioni dei dispositivi.
Derivati dall'ambiente sicuro di Empatica utilizzando procedure di pseudonimizzazione.
Consenso dell'Interessato, sulla base dell'art. 6(1)(a) del GDPR per i dati non appartenenti a categorie speciali e dell'art. 9(2)(a) del GDPR per i dati relativi alla salute.
Marketing e pubblicità – Promozione dei prodotti e dei servizi di Empatica attraverso comunicazioni di marketing via comunicazioni elettroniche. Distribuzione di contenuti educativi attraverso canali gestiti da Empatica; ricerche di mercato e analisi; misurazione e analitiche.
Dati di identificazione e dettagli di contatto, dati geografici, dati demografici, dati di preferenza di marketing, dati di interazione di comunicazione.
Nome e cognome, indirizzi e-mail, data di nascita, età, genere, stato di iscrizione/esclusione, paese/regione di residenza, lingua.
Raccolti direttamente dall'Interessato attraverso i canali Empatica (modulo web / in-app).
Consenso dell'Interessato, sulla base dell'art. 6(1)(a) del GDPR.
Stabilimento, esercizio o difesa di reclami legali
I dati personali elaborati possono variare caso per caso, a seconda dell'oggetto della controversia legale.
Nome e cognome, indirizzi e-mail, dati dei dispositivi
I dati personali vengono raccolti in conformità ai metodi di raccolta dati descritti nelle righe rilevanti di questa tabella.
L'elaborazione è necessaria per il perseguimento dell'interesse legittimo di Empatica di stabilire, esercitare o difendere reclami legali, sulla base dell'art. 6(1)(f) del GDPR per i dati non appartenenti a categorie speciali e dell'art. 9(2)(f) laddove sono coinvolti dati relativi alla salute.
Transazioni aziendali – Valutare la fattibilità e eseguire transazioni aziendali, come fusioni, ristrutturazioni, acquisizioni di società o vendita di beni che coinvolgono Empatica e altre operazioni correlate.
I dati personali elaborati possono variare a seconda della transazione specifica.
I dati personali possono essere trasferiti all'entità acquirente o successore come parte di tale transazione.
I dati personali vengono raccolti in conformità ai metodi di raccolta dati descritti nelle righe rilevanti di questa tabella.
L'elaborazione è necessaria per il perseguimento dell'interesse legittimo di Empatica di condurre possibili transazioni aziendali, sulla base dell'art. 6(1)(f) del GDPR per i dati non appartenenti a categorie speciali e dell'art. 9(2)(i) laddove sono coinvolti dati relativi alla salute.
4. Condivisione dei dati personali con altri
Empatica può condividere o divulgare dati personali con i seguenti destinatari di dati nella misura necessaria per adempiere agli scopi suddetti del trattamento per i quali sono destinati i dati personali.
a) Affiliate
Empatica può condividere dati personali con le sue affiliate:
Empatica Inc., ubicata negli Stati Uniti; e
Global Kinetics UK Corporation Limited, ubicata nel Regno Unito.
b) Fornitori di servizi
Empatica si avvale di fornitori di servizi di terze parti accuratamente selezionati che svolgono funzioni specifiche per conto di Empatica ed elaborano dati personali solo in conformità alle istruzioni documentate di Empatica.
Questi includono provider di:
infrastruttura sicura di cloud hosting e archiviazione dati;
servizi di connettività e comunicazione dei dispositivi;
supporto per manutenzione, calibrazione e assicurazione della qualità;
servizi di audit e certificazione; e
sistemi di supporto clienti e gestione degli incidenti.
monitoraggio della sicurezza, logging/osservabilità e servizio di gestione delle vulnerabilità
servizi di gestione delle identità e degli accessi / autenticazione (per gestire account utente, controlli di accesso e sicurezza di accesso).
Empatica assicura che tutti i fornitori di servizi siano vincolati da accordi scritti che impongono appropriate obbligazioni di riservatezza, protezione dei dati e sicurezza.
c) Divulgazioni legali, normative e di sicurezza
Empatica può divulgare dati personali alle autorità competenti, alle autorità di regolamentazione o ad altri organismi pubblici quando richiesto:
conformarsi agli obblighi secondo il Regolamento dei Dispositivi Medici dell'UE (UE) 2017/745 (MDR) o altre leggi applicabili;
segnalare o indagare su incidenti di sicurezza dei dispositivi o eventi avversi;
dimostrare la conformità durante audit o ispezioni normative;
rispondere a richieste legittime da parte delle forze dell'ordine o delle autorità di regolamentazione; o
difendere o esercitare reclami legali.
Tali divulgazioni sono limitate a quanto strettamente necessario per adempiere agli obblighi legali di Empatica.
d) Transazioni aziendali
In caso di fusione, acquisizione, ristrutturazione o vendita di beni che coinvolgono Empatica, i dati personali possono essere trasferiti all'entità acquirente o successore come parte di tale transazione.
Qualsiasi trasferimento avverrà solo in condizioni che assicurino la continuità di salvaguardie equivalenti per la protezione dei dati.
5. I tuoi diritti come interessato e responsabile della protezione dei dati
In qualsiasi momento, puoi esercitare i diritti concessi da Leggi sulla Protezione dei Dati riguardanti i tuoi dati personali scrivendo a privacy@empatica.com o utilizzando i dettagli di contatto indicati nella Sezione 11 di seguito.
In conformità con le Leggi sulla Protezione dei Dati, hai il diritto di:
Accesso ai tuoi dati personali - Hai il diritto di ottenere la conferma del fatto che i tuoi dati personali siano o meno in fase di trattamento, e, ove sia così, accesso ai tuoi dati personali e le informazioni sul relativo trattamento da parte di Empatica;
Rettifica o cancellazione dei tuoi dati personali - Hai il diritto di ottenere la rettifica di dati personali imprecisi riguardanti te, o la cancellazione dei tuoi dati personali. Tuttavia, Empatica non è obbligata a cancellare dati personali necessari per conformarsi alle leggi applicabili;
Limitazione del trattamento dei tuoi dati personali - Hai il diritto di ottenere la limitazione del trattamento quando si applica uno dei seguenti: (i) contesti l'accuratezza dei dati personali, per un periodo che consenta a Empatica di verificare l'accuratezza dei dati personali; (ii) il trattamento è illegittimo e ti opponi alla cancellazione dei dati personali e richiedi la limitazione del suo uso; (iii) Empatica non ha più bisogno dei dati personali per gli scopi del trattamento, ma ti servono per l'instaurazione, l'esercizio o la difesa di reclami legali; o (iv) hai presentato opposizione al trattamento in sospeso della verifica se i motivi legittimi di Empatica prevalgono sui tuoi;
Ritirare il tuo consenso, ove precedentemente concesso. Tuttavia, la legittimità di qualsiasi trattamento effettuato prima del ritiro rimane inalterata;
Trasferire i tuoi dati personali a un altro responsabile del trattamento ("portabilità dei dati") - Hai il diritto di ricevere i tuoi dati personali, che hai fornito a Empatica, in un formato strutturato, di uso comune e leggibile da una macchina e trasmettere questi dati a un altro responsabile del trattamento, dove il trattamento: (i) si basa sul tuo consenso; e (ii) è effettuato con mezzi automatizzati;
Opporsi al trattamento dei tuoi dati personali motivato da motivi di interesse legittimo - Hai il diritto di opporti, su motivi relativi alla tua particolare situazione, in qualsiasi momento al trattamento dei tuoi dati personali basato sull'articolo 6(1)(f) del GDPR. Empatica non elaborerà più i tuoi dati personali a meno che Empatica non dimostri motivi legittimi convincenti per il trattamento che prevalgano sui tuoi interessi, diritti e libertà o per l'instaurazione, l'esercizio o la difesa di reclami legali;
Decisioni automatizzate - Hai il diritto di non essere soggetto a una decisione basata unicamente sull'elaborazione automatizzata, inclusa la profilazione, che produce effetti legali riguardanti te o che allo stesso modo ti influisce significativamente. Ciò non si applica se la decisione è: (i) autorizzata dalla legge applicabile a cui Empatica è soggetta e che inoltre stabilisce misure appropriate per salvaguardare i tuoi diritti e libertà e interessi legittimi; o (ii) basata sul tuo consenso esplicito;
Ottenere informazioni e/o una copia delle salvaguardie utilizzate per i trasferimenti internazionali di dati al di fuori dell'UE/SEE.
Potremmo chiederti informazioni aggiuntive per confermare la tua identità e per scopi di sicurezza prima di divulgare dati personali. Ci riserviamo il diritto di addebitare una tariffa ragionevole se una richiesta è manifestamente infondata o eccessiva.
Puoi esercitare i tuoi diritti utilizzando i dettagli di contatto indicati nella Sezione 11 di seguito. Salvo considerazioni legali e altre permissibili, faremo ogni ragionevole sforzo per onorare la tua richiesta tempestivamente e, in ogni caso, entro i tempi stabiliti dalle Leggi sulla Protezione dei Dati. Se sono necessarie ulteriori informazioni per soddisfare la tua richiesta, ti informeremo di conseguenza.
Ti preghiamo di notare che potremmo non essere sempre in grado di rispondere completamente alla tua richiesta, ad esempio, se siamo legalmente obbligati a gestire la richiesta diversamente.
Empatica ha nominato un Responsabile della Protezione dei Dati (DPO) che è responsabile del monitoraggio della conformità alle normative sulla protezione dei dati e agisce come punto di contatto per le richieste degli interessati e per le autorità di controllo. Il Responsabile della Protezione dei Dati, nominato da Empatica ai sensi dell'Articolo 37 del GDPR, può essere contattato presso: [privacy@empatica.com](mailto:privacy@empatica.com)
Hai inoltre il diritto di presentare un reclamo presso la tua autorità di controllo locale (*ossia*, l'Autorità per la Protezione dei Dati del paese della tua residenza abituale, luogo di lavoro o luogo dell'infrazione presunta) se ritieni che i tuoi diritti siano stati violati.
6. Conservazione dei dati
Conserviamo i tuoi dati personali per il tempo necessario al raggiungimento degli scopi per cui sono stati raccolti. In particolare, si applicano i seguenti periodi di conservazione:
Salvaguardia, conformità normativa e gestione della qualità – Per il periodo prescritto dalla legge applicabile, incluso per la sorveglianza post-mercato, la diagnostica e il rimedio, la segnalazione della vigilanza e altre attività di conformità normativa, che possono richiedere a Empatica di conservare determinati dati pseudonimizzati fino a venticinque (25) anni.
Ricerca e analitiche – I dati personali elaborati per scopi di ricerca o analitiche vengono conservati fino a venticinque (25) anni, ove necessario per supportare i futuri depositi normativi e clinici, in conformità agli obblighi applicabili di mantenimento dei record dei dispositivi medici e della ricerca.
Marketing e pubblicità – Fino a quando non ritiri il tuo consenso a tale trattamento o, in ogni caso, non più di ventiquattro (24) mesi dall'ultima interazione correlata alle comunicazioni di marketing (ad es. evento di iscrizione)
Stabilimento, esercizio o difesa di reclami legali – I dati personali elaborati per questo scopo possono essere conservati fino alla scadenza del periodo di prescrizione legale applicabile.
Transazioni aziendali – I dati personali elaborati per questo scopo vengono conservati per il periodo applicabile alle specifiche attività di trattamento descritte sopra.
Dopo la scadenza del periodo di conservazione applicabile, Empatica cancella o rende irreversibilmente anonimo i dati in conformità alle sue Procedure di Sicurezza delle Informazioni e Conservazione dei Dati. Nessun limite specifico di conservazione si applica ai dati che sono stati resi permanentemente anonimi.
7. Trattamento dei dati personali dei bambini
Siamo impegnati a proteggere la privacy dei bambini che utilizzano i nostri Servizi. Questa sezione fornisce informazioni supplementari riguardanti il nostro trattamento dei dati personali relativi ai bambini in conformità alle leggi applicabili.
Empatica non utilizza i dati dei bambini per alcuno scopo indipendente, marketing o attività di profilazione, e applica le stesse o più forti misure di sicurezza tecniche e organizzative ai dati dei bambini rispetto a tutti gli altri dati personali.
8. Trasferimenti internazionali di dati personali
Empatica ha sede negli Stati Uniti e ha operazioni, affiliate e fornitori di servizi negli Stati Uniti, nell'Unione Europea, nel Regno Unito e in altre giurisdizioni di tutto il mondo.
Di conseguenza, i dati personali elaborati attraverso i Servizi possono essere trasferiti a o accessibili da ubicazioni al di fuori dello Spazio Economico Europeo (SEE).
Tali trasferimenti sono effettuati in piena conformità con le Leggi applicabili sulla Protezione dei Dati, e sono applicate salvaguardie appropriate per assicurare che i dati personali rimangano protetti in ogni momento. In particolare:
I dati personali possono essere trasferiti solo dopo l'esecuzione delle Clausole Contrattuali Standard approvate dalla Commissione Europea (Decisione n. 2021/914/UE) – insieme all'Allegato di Trasferimento Dati Internazionali del Regno Unito o all'Accordo di Trasferimento Dati Internazionale (IDTA) approvato dall'Ufficio del Commissario per l'Informazione (ICO) del Regno Unito, ove applicabile – o ai paesi che sono stati riconosciuti dalla Commissione come fornitori di un livello adeguato di protezione dei dati ("Decisioni di Adeguatezza").
I trasferimenti negli Stati Uniti possono fare affidamento sul Quadro sulla Privacy dei Dati tra UE e USA, ove applicabile.
Empatica implementa inoltre salvaguardie tecniche e organizzative, come la crittografia e i controlli di accesso, per proteggere i dati personali durante il trasferimento.
Per ulteriori informazioni sui trasferimenti internazionali di dati o per ottenere una copia delle salvaguardie pertinenti, contattaci utilizzando i dettagli forniti nella Sezione 11 di seguito.
9. Link a terze parti
I Servizi possono contenere link a siti Web o applicazioni di terze parti. Qualsiasi accesso e utilizzo di tali risorse collegate non è disciplinato da questa Informativa, ma piuttosto dagli avvisi sulla privacy di tali terze parti. Empatica non è responsabile per le pratiche informative o il contenuto di siti Web o servizi di terze parti.
10. Modifiche a questa Informativa sulla Privacy
Possiamo aggiornare questa Informativa di tanto in tanto per riflettere i cambiamenti nei requisiti legali o nel modo in cui forniamo i nostri Servizi. Tutti gli aggiornamenti verranno pubblicati sul nostro sito Web e nell'app Mobile, e la data "Ultimo aggiornamento" nella parte superiore di questa Informativa indicherà quando sono state apportate le revisioni più recenti.
Se apportiamo modifiche sostanziali, ci sforzeremo di fornire preavviso, ad esempio, tramite e-mail ai Clienti o pubblicando un avviso evidente sul nostro sito Web.
11. Contattaci
Empatica accoglie le tue domande, commenti o preoccupazioni riguardanti questa Informativa o le nostre pratiche di privacy.
Puoi contattarci presso:
📧 privacy@empatica.com
📍 Empatica S.r.l.
Via Stendhal 36, 20144 Milano, Italia
Il Responsabile della Protezione dei Dati (DPO) di Empatica può essere raggiunto anche al medesimo indirizzo e-mail.
