Fibonacci
Home/Documentazione legale

Documentazione legale

Privacy, cookie, accordo art. 28 GDPR e termini di servizio del software Fibonacci. Tutti i documenti sono redatti secondo il diritto italiano e il GDPR.

Informativa sulla Privacy

La presente informativa descrive le modalità di trattamento dei dati personali raccolti, conservati ed elaborati nell'ambito del sito istituzionale https://fibonacci.it, dell'applicazione SaaS Fibonacci accessibile dal dominio https://app.fibonacci.it e dei servizi correlati. Il documento è reso ai sensi degli articoli 13 e 14 del Regolamento (UE) 2016/679 (di seguito "GDPR") e del D.Lgs. 30 giugno 2003 n. 196, come modificato dal D.Lgs. 10 agosto 2018 n. 101 (di seguito "Codice Privacy").

Fibonacci è una cartella clinica digitale multi-specialità rivolta a medici e professionisti sanitari italiani, distribuita in modalità Software as a Service. Le specialità coperte includono medicina estetica, dermatologia, ortopedia, psicologia, nutrizione e oculistica, con estensione progressiva. Tra le funzionalità rientrano la gestione dell'anagrafica del paziente, l'anamnesi strutturata, le foto cliniche cifrate, la body-map 2D, la dettatura assistita da intelligenza artificiale per anamnesi e referti, la generazione e l'archiviazione dei consensi informati in formato PDF, il catalogo farmaci AIFA, il log di audit immutabile in formato FHIR AuditEvent, l'agenda appuntamenti, l'autenticazione a due fattori TOTP e l'interscambio nativo in formato FHIR R4.

Avvertenza preliminare: tre ruoli distinti coesistono nel perimetro del servizio. Per i dati di navigazione del sito fibonacci.it e per i dati dei medici clienti che sottoscrivono l'abbonamento al software, Fibonacci agisce in qualità di Titolare del trattamento. Per i dati dei pazienti inseriti dai medici clienti nel software, Fibonacci agisce in qualità di Responsabile del trattamento ex art. 28 GDPR, mentre il Titolare è il medico cliente che ha la relazione professionale con il paziente. La regolamentazione del trattamento dei dati dei pazienti è disciplinata dall'Accordo sul trattamento dei dati (di seguito "DPA"), sottoscritto contestualmente al contratto di servizio dal medico cliente, ed è descritta sinteticamente nella sezione 3 e nella sezione 8 della presente informativa.

1. Titolare del trattamento

Titolare del trattamento dei dati personali è:

Fibonacci Sede legale: Genova, Italia Codice Fiscale / Partita IVA: IT____________ Email di contatto per le questioni privacy: privacy@fibonacci.it

In considerazione della natura del trattamento, che riguarda categorie particolari di dati ex art. 9 GDPR (dati relativi alla salute) su larga scala, è in corso di nomina il Responsabile della protezione dei dati (Data Protection Officer) ai sensi dell'art. 37 GDPR. Il DPO può essere contattato all'indirizzo:

Email DPO: dpo@fibonacci.it

2. Definizioni essenziali

Ai fini della presente informativa si intendono per:

  • "Titolare del trattamento": la persona fisica o giuridica che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali (art. 4, n. 7 GDPR).
  • "Responsabile del trattamento": la persona fisica o giuridica che tratta dati personali per conto del Titolare (art. 4, n. 8 GDPR).
  • "Interessato": la persona fisica identificata o identificabile cui si riferiscono i dati personali (art. 4, n. 1 GDPR).
  • "Dati personali": qualsiasi informazione riguardante una persona fisica identificata o identificabile (art. 4, n. 1 GDPR).
  • "Categorie particolari di dati personali": i dati di cui all'art. 9 GDPR, tra cui i dati relativi alla salute, alla vita sessuale, all'origine razziale o etnica, alle convinzioni religiose o filosofiche.
  • "Trattamento": qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati, applicate a dati personali (art. 4, n. 2 GDPR).
  • "Sub-responsabile": il soggetto terzo nominato dal Responsabile per svolgere specifiche attività di trattamento per conto del Titolare, ai sensi dell'art. 28, par. 2 e 4 GDPR.

3. Categorie di dati trattate

Il Titolare tratta dati personali differenti in funzione del segmento di interessato. Di seguito la distinzione.

3.1 Visitatori del sito fibonacci.it

In relazione ai visitatori del sito istituzionale e ai potenziali clienti che compilano i form di contatto o di richiesta demo, sono trattati i seguenti dati:

  • dati anagrafici e di contatto: nome, cognome, indirizzo email, numero di telefono, ragione sociale dello studio o della clinica, qualifica professionale, specialità medica;
  • dati di navigazione: indirizzo IP, identificativi del dispositivo, tipo di browser e sistema operativo, pagine visitate, data e ora della visita, sito di provenienza, dati raccolti tramite cookie tecnici e, previo consenso, cookie analitici;
  • contenuto libero dei messaggi inviati tramite i form di contatto.

3.2 Medici clienti utenti del software

In relazione ai medici e agli operatori sanitari che sottoscrivono un abbonamento al software Fibonacci, sono trattati i seguenti dati:

  • dati anagrafici e professionali: nome, cognome, codice fiscale, data e luogo di nascita, indirizzo, numero di iscrizione all'Ordine professionale, specializzazione, partita IVA, dati di fatturazione;
  • credenziali di accesso: indirizzo email, hash della password, secret TOTP per l'autenticazione a due fattori, log degli accessi;
  • dati relativi all'utilizzo del servizio: configurazione dell'account, preferenze, log di attività, audit trail delle operazioni svolte sull'applicazione;
  • dati di pagamento: i dati strumentali alla gestione dell'abbonamento (nome titolare, riferimento al metodo di pagamento) sono trattati dal sub-responsabile Stripe Payments Europe Ltd, che opera in qualità di autonomo responsabile del trattamento dei dati delle carte. Fibonacci non conserva i numeri completi delle carte di pagamento.

3.3 Pazienti dei medici clienti

I dati dei pazienti delle strutture sanitarie clienti, inseriti nel software dal medico cliente o dai suoi collaboratori autorizzati, comprendono dati anagrafici, dati di contatto, dati clinici e anamnestici, fotografie cliniche, referti, prescrizioni, consensi informati e ogni altro dato funzionale all'erogazione della prestazione sanitaria, ivi inclusi dati appartenenti alle categorie particolari di cui all'art. 9 GDPR (in particolare dati relativi alla salute).

Per tali dati Fibonacci agisce in qualità di Responsabile del trattamento ai sensi dell'art. 28 GDPR. Il Titolare è il medico cliente o la struttura sanitaria che utilizza il software. I dettagli sulle categorie di dati trattati, sulle istruzioni documentate, sui sub-responsabili autorizzati e sulle misure di sicurezza adottate sono disciplinati dall'Accordo sul trattamento dei dati (DPA) sottoscritto contestualmente al contratto di servizio. Il DPA è disponibile su richiesta all'indirizzo privacy@fibonacci.it e nella sezione documentale dell'area riservata del medico cliente.

I pazienti che intendano esercitare i propri diritti sono invitati a rivolgersi al proprio medico curante in qualità di Titolare del trattamento. Fibonacci, in qualità di Responsabile, fornisce al medico Titolare l'assistenza tecnica necessaria a dare riscontro alle richieste degli interessati.

4. Finalità e base giuridica del trattamento

I trattamenti svolti dal Titolare perseguono le finalità di seguito indicate, ciascuna fondata su una specifica base giuridica.

FinalitàCategoria di datiBase giuridica
Fornitura del servizio Fibonacci ai medici clienti, gestione dell'account, erogazione delle funzionalità contrattuali (cartella clinica, agenda, archiviazione documentale, dettatura AI, audit log)Dati anagrafici e professionali del medico cliente, credenziali di accesso, log di utilizzoArt. 6, par. 1, lett. b GDPR (esecuzione di un contratto di cui l'interessato è parte)
Gestione amministrativa, contabile e fiscale dei rapporti con i medici clienti (fatturazione, recupero crediti, adempimenti tributari)Dati anagrafici, dati fiscali, dati di pagamentoArt. 6, par. 1, lett. c GDPR (adempimento di un obbligo legale)
Sicurezza informatica, prevenzione di frodi, abusi e accessi non autorizzati, mantenimento dell'integrità del servizio, audit di sicurezzaLog di accesso, indirizzi IP, identificativi dei dispositivi, dati tecnici di navigazioneArt. 6, par. 1, lett. f GDPR (legittimo interesse del Titolare alla protezione del servizio e degli utenti)
Riscontro alle richieste inviate tramite i form di contatto e gestione delle richieste demo da parte di potenziali clientiDati di contatto, contenuto del messaggioArt. 6, par. 1, lett. b GDPR (esecuzione di misure precontrattuali su richiesta dell'interessato)
Invio di comunicazioni promozionali, newsletter e materiali informativi sui prodotti FibonacciIndirizzo email, nome, cognome, preferenzeArt. 6, par. 1, lett. a GDPR (consenso specifico, separato e revocabile)
Esercizio o difesa di un diritto in sede giudiziariaTutte le categorie pertinenti al singolo contenziosoArt. 6, par. 1, lett. f GDPR (legittimo interesse del Titolare) e, ove applicabile, art. 9, par. 2, lett. f GDPR
Trattamento dei dati dei pazienti per conto del medico cliente Titolare (gestione della cartella clinica, archiviazione delle prestazioni, dettatura referti)Dati anagrafici dei pazienti, dati relativi alla salute, fotografie cliniche, consensi informatiPer il Titolare medico: art. 6, par. 1, lett. b GDPR e art. 9, par. 2, lett. h GDPR (finalità di medicina preventiva, diagnosi, assistenza o terapia sanitaria). Per Fibonacci: art. 28 GDPR in qualità di Responsabile, secondo le istruzioni documentate nel DPA

Il conferimento dei dati per le finalità contrattuali, amministrative e di sicurezza è necessario alla fornitura del servizio. Il rifiuto comporta l'impossibilità di erogare il servizio. Il consenso alle comunicazioni promozionali è invece facoltativo e revocabile in qualsiasi momento, senza pregiudizio per il rapporto contrattuale e per il trattamento già svolto sulla base del consenso precedentemente prestato.

5. Modalità del trattamento e misure di sicurezza

Il trattamento è effettuato con strumenti elettronici, in conformità al principio di integrità e riservatezza di cui all'art. 5, par. 1, lett. f GDPR e adottando le misure tecniche e organizzative adeguate ai sensi degli artt. 24, 25 e 32 GDPR. In particolare:

  • cifratura dei dati clinici e delle fotografie cliniche a riposo con algoritmo AES-256;
  • protezione del traffico in transito tramite TLS 1.3 con cipher suite moderne;
  • autenticazione a due fattori obbligatoria via TOTP per l'accesso dei medici utenti al software;
  • registro di audit immutabile in formato FHIR AuditEvent con catena di hash crittografici per garantire l'integrità e la non ripudiabilità delle operazioni;
  • compartimentazione logica e crittografica dei dati per ciascuno studio o struttura sanitaria cliente, in modo che ogni Titolare medico abbia accesso esclusivamente ai dati del proprio perimetro;
  • politica di password robuste e blocco progressivo dell'account in caso di tentativi ripetuti di accesso non autorizzato;
  • backup giornaliero cifrato dei dati con retention di 30 giorni e procedure di disaster recovery;
  • localizzazione dell'infrastruttura primaria in territorio dell'Unione Europea, presso data center in Germania;
  • esecuzione periodica di test di sicurezza, analisi delle vulnerabilità e revisioni di codice da parte di personale qualificato;
  • formazione del personale autorizzato al trattamento e adozione di accordi di riservatezza;
  • registri delle attività di trattamento ex art. 30 GDPR.

I dati sono accessibili esclusivamente al personale di Fibonacci autorizzato e istruito in qualità di soggetto designato al trattamento ex art. 29 GDPR e art. 2-quaterdecies Codice Privacy.

6. Sub-responsabili e destinatari dei dati

Per l'esecuzione di specifiche attività tecniche, il Titolare si avvale dei seguenti sub-responsabili del trattamento, nominati ai sensi dell'art. 28, par. 4 GDPR con accordi scritti contenenti garanzie sufficienti sotto il profilo della protezione dei dati personali:

Sub-responsabileSedeAttività affidata
Hetzner Online GmbHGermaniaHosting dell'infrastruttura applicativa e di base dati, conservazione dei backup cifrati
Brevo SASFranciaInvio di email transazionali (notifiche di servizio, recupero password, conferme di pagamento) e, ove autorizzato, comunicazioni promozionali
Mistral AI SASFranciaServizio di trascrizione audio Voxtral utilizzato per la dettatura assistita. L'audio è trasmesso in modalità transitoria, non viene persistito né utilizzato per addestrare modelli, secondo gli accordi contrattuali specifici
Stripe Payments Europe LtdIrlandaGestione tecnica degli abbonamenti, dei pagamenti ricorrenti e dei dati di fatturazione. Stripe non riceve dati sanitari né dati dei pazienti
Cloudflare Inc.Stati Uniti d'AmericaServizi DNS, proxy CDN e protezione anti-DDoS sul dominio fibonacci.it e sui sottodomini applicativi

L'elenco aggiornato dei sub-responsabili è pubblicato e mantenuto nell'area documentale riservata ai medici clienti. Eventuali modifiche o aggiunte sono notificate con congruo preavviso ai sensi del DPA.

I dati potranno inoltre essere comunicati a:

  • consulenti professionali (commercialisti, avvocati, revisori) nominati Responsabili del trattamento o autonomi Titolari, nei limiti delle prestazioni rese;
  • autorità giudiziarie, di pubblica sicurezza, di vigilanza o amministrazioni pubbliche, su richiesta legittima e nei casi previsti dalla legge;
  • soggetti terzi nell'ambito di operazioni straordinarie (fusioni, acquisizioni, cessioni di ramo d'azienda), previa informativa agli interessati.

I dati non sono in alcun caso oggetto di diffusione.

7. Trasferimenti di dati al di fuori dell'Unione Europea

L'infrastruttura applicativa e i database sono ospitati interamente all'interno dell'Unione Europea, presso i data center di Hetzner Online GmbH in Germania. I dati sanitari dei pazienti non sono trasferiti al di fuori dello Spazio Economico Europeo.

L'unico flusso che comporta un trasferimento extra-UE riguarda il servizio fornito da Cloudflare Inc. (Stati Uniti) per la gestione DNS, il proxy CDN e la protezione perimetrale. Tale trasferimento è regolato dalle Clausole Contrattuali Standard adottate dalla Commissione Europea con Decisione di esecuzione (UE) 2021/914 del 4 giugno 2021, integrate da misure supplementari conformi alle raccomandazioni dell'EDPB:

  • cifratura del traffico in transito tramite TLS 1.3 end-to-end fino al backend in Germania, con configurazione che impedisce a Cloudflare di accedere in chiaro al contenuto applicativo;
  • limitazione del trattamento ai soli metadati di rete necessari al routing e alla protezione anti-DDoS;
  • esclusione dei dati sanitari dal perimetro tecnico accessibile a Cloudflare.

Copia delle Clausole Contrattuali Standard e della relativa valutazione di impatto sui trasferimenti (Transfer Impact Assessment) è disponibile su richiesta scrivendo a privacy@fibonacci.it.

8. Periodo di conservazione

I dati personali sono conservati per il tempo strettamente necessario alle finalità per cui sono stati raccolti, nel rispetto del principio di limitazione della conservazione di cui all'art. 5, par. 1, lett. e GDPR. I termini specifici sono indicati nella seguente tabella.

Categoria di datiPeriodo di conservazione
Dati anagrafici e professionali del medico clienteDurata del contratto e successivi 10 anni dalla cessazione, per finalità di adempimento degli obblighi civilistici, fiscali e tributari (art. 2220 c.c. e DPR 600/1973)
Dati di fatturazione e pagamento10 anni dall'emissione del documento contabile, ai sensi della normativa fiscale
Log di accesso e log di audit di sicurezza10 anni, in linea con i provvedimenti del Garante in materia di amministratori di sistema e con le esigenze di prova in sede contenziosa
Dati di navigazione e log applicativi non legati alla sicurezza12 mesi, salvo necessità di conservazione per accertamento di abusi o per esigenze difensive
Cookie tecnici di sessioneDurata della sessione di navigazione
Cookie analitici (in presenza di consenso)Periodo indicato nella Cookie Policy, comunque non superiore a 12 mesi
Dati raccolti tramite form demo da potenziali clienti24 mesi dall'ultimo contatto; se nel periodo non si concretizza un contratto, i dati sono cancellati. Cancellazione anticipata su richiesta dell'interessato
Dati relativi all'iscrizione alla newsletterFino a revoca del consenso, comunque non oltre 24 mesi dall'ultima interazione
Comunicazioni con il servizio clienti24 mesi dalla chiusura della richiesta, salvo necessità difensive
Dati dei pazienti trattati per conto del medico cliente TitolareConservati secondo le istruzioni del Titolare medico documentate nel DPA. Il termine generale di riferimento per le cartelle cliniche ambulatoriali è di 20 anni, salvo diverse disposizioni del Titolare e fatti salvi obblighi normativi specifici (ad esempio termini più lunghi per radiologia o per cartelle ospedaliere). Alla cessazione del contratto i dati sono restituiti al Titolare medico o cancellati secondo quanto previsto dal DPA

Decorsi i termini indicati, i dati sono cancellati o resi anonimi in modo irreversibile, salvo l'obbligo di conservazione per ragioni di legge o per esigenze di tutela giurisdizionale.

9. Diritti dell'interessato

L'interessato può esercitare in qualsiasi momento i diritti riconosciuti dagli artt. 15-22 GDPR, e in particolare:

  • diritto di accesso (art. 15 GDPR): ottenere conferma dell'esistenza di un trattamento e ricevere copia dei dati personali;
  • diritto di rettifica (art. 16 GDPR): ottenere la correzione dei dati inesatti o l'integrazione dei dati incompleti;
  • diritto alla cancellazione (art. 17 GDPR): ottenere la cancellazione dei dati che non sono più necessari, salvi i limiti previsti dalla legge, ivi inclusi gli obblighi di conservazione documentale sanitaria e fiscale;
  • diritto di limitazione del trattamento (art. 18 GDPR): nei casi previsti dalla normativa;
  • diritto alla portabilità (art. 20 GDPR): ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali forniti, e ottenerne la trasmissione diretta ad altro titolare ove tecnicamente fattibile. Per i medici clienti è disponibile una funzione di esportazione in formato ZIP con dati FHIR R4;
  • diritto di opposizione (art. 21 GDPR): opporsi in qualsiasi momento al trattamento fondato sul legittimo interesse o sul marketing diretto;
  • diritto di revoca del consenso (art. 7, par. 3 GDPR): revocare in qualsiasi momento i consensi prestati, senza pregiudizio per la liceità del trattamento svolto prima della revoca;
  • diritto di non essere sottoposto a decisioni automatizzate (art. 22 GDPR): nessuna decisione che produca effetti giuridici o significativi è assunta esclusivamente su base automatizzata. Le funzioni di dettatura e assistenza AI svolgono un ruolo di supporto al professionista sanitario, che mantiene piena autonomia decisionale.

Le richieste possono essere indirizzate, anche disgiuntamente, al Titolare e al DPO ai seguenti recapiti:

Il Titolare fornisce riscontro entro 30 giorni dal ricevimento della richiesta. Il termine può essere prorogato di ulteriori 60 giorni in caso di particolare complessità della richiesta o di numero elevato di richieste, con motivazione comunicata all'interessato. Il riscontro è gratuito; il Titolare si riserva di richiedere un contributo spese o di rifiutare la richiesta in caso di istanze manifestamente infondate o eccessive, ai sensi dell'art. 12, par. 5 GDPR.

I pazienti dei medici clienti devono rivolgere le proprie richieste al medico Titolare del trattamento, che resta il loro punto di contatto primario. Il Titolare Fibonacci, in qualità di Responsabile, presta tempestiva assistenza al medico nel dare seguito a tali richieste, conformemente all'art. 28, par. 3, lett. e GDPR.

10. Data breach

In caso di violazione dei dati personali, il Titolare effettua una valutazione del rischio per i diritti e le libertà degli interessati e adotta le misure necessarie a contenere e rimediare alla violazione. Ai sensi dell'art. 33 GDPR, la violazione è notificata all'Autorità Garante per la protezione dei dati personali entro 72 ore dalla conoscenza, salvo che sia improbabile che la violazione presenti un rischio per i diritti e le libertà delle persone fisiche.

Ai sensi dell'art. 34 GDPR, quando la violazione è suscettibile di presentare un rischio elevato per i diritti e le libertà degli interessati, il Titolare provvede a comunicare la violazione direttamente agli interessati senza ingiustificato ritardo, con linguaggio chiaro e fornendo le indicazioni utili a proteggersi dalle possibili conseguenze.

Nel caso in cui la violazione interessi dati di pazienti trattati per conto del medico cliente Titolare, Fibonacci, in qualità di Responsabile, notifica senza ingiustificato ritardo la violazione al medico Titolare, fornendo le informazioni necessarie per consentirgli di adempiere ai propri obblighi di notifica ex artt. 33 e 34 GDPR, secondo quanto disciplinato dal DPA.

11. Reclamo all'Autorità di controllo

L'interessato che ritenga che il trattamento dei propri dati personali avvenga in violazione del GDPR ha diritto di proporre reclamo all'Autorità di controllo competente, ai sensi dell'art. 77 GDPR. In Italia l'Autorità di controllo è il Garante per la protezione dei dati personali, con i seguenti recapiti:

Garante per la protezione dei dati personali Piazza Venezia 11, 00187 Roma Sito web: www.garanteprivacy.it Email: protocollo@gpdp.it PEC: protocollo@pec.gpdp.it

Resta impregiudicato il diritto di proporre ricorso in sede giurisdizionale ai sensi dell'art. 79 GDPR e degli artt. 140-bis e seguenti del Codice Privacy.

12. Cookie

Il sito fibonacci.it utilizza cookie tecnici necessari al corretto funzionamento del sito e, previo consenso espresso dell'utente, cookie analitici e di terze parti. Per il dettaglio delle tipologie di cookie utilizzati, delle finalità e delle modalità di gestione delle preferenze, si rinvia alla Cookie Policy disponibile alla pagina /cookie.

13. Minori

Il servizio Fibonacci è destinato a professionisti sanitari maggiorenni, in possesso dei requisiti di abilitazione professionale richiesti dalla normativa italiana. Il sito istituzionale e l'area di sottoscrizione del software non sono indirizzati a minori di 18 anni. Il Titolare non raccoglie consapevolmente dati di minori in relazione ai propri rapporti con i medici clienti.

Qualora un paziente del medico cliente sia un minore, la raccolta e il trattamento dei dati avvengono sotto la responsabilità del medico Titolare, che provvede ad acquisire il consenso del genitore o del tutore legale secondo le modalità previste dalla normativa sanitaria e dal D.Lgs. 101/2018. Fibonacci mette a disposizione del medico Titolare gli strumenti tecnici per la gestione del consenso parentale.

14. Modifiche all'informativa

La presente informativa può essere aggiornata in qualsiasi momento per riflettere modifiche normative, evoluzioni del servizio o variazioni dell'organizzazione del Titolare. La versione vigente è sempre pubblicata su https://fibonacci.it/privacy con indicazione della data di ultima revisione.

Le modifiche sostanziali, intese come modifiche che incidono in modo significativo sulle finalità del trattamento, sulle basi giuridiche, sui sub-responsabili o sui diritti degli interessati, sono notificate via email agli utenti registrati e segnalate in evidenza nell'area riservata, con congruo preavviso rispetto all'efficacia delle modifiche stesse.

L'utilizzo del servizio successivo alla pubblicazione delle modifiche costituisce presa visione delle stesse, fermo restando il diritto di recesso e i diritti dell'interessato.

15. Ultima revisione

Data di ultima revisione: 24 maggio 2026 Versione del documento: 0.1 (bozza interna)

Avvertenza finale: il presente documento costituisce un template adattato al contesto del servizio Fibonacci e sarà sottoposto a revisione legale prima dell'avvio delle attività commerciali. La versione qui pubblicata è una bozza interna numerata 0.1 e non sostituisce il parere di un consulente legale qualificato. Eventuali rilievi, correzioni o integrazioni potranno essere indirizzati a privacy@fibonacci.it.