Informativa sulla privacy

Ultimo aggiornamento: 17 marzo 2026

Introduzione alla nostra Informativa sulla privacy

Benvenuti in BloodSense! Smart Medical Care Ltd BloodSense ("SMC", "noi", "ci", "nostro") si impegna profondamente a proteggere la privacy e la sicurezza dei vostri dati personali. BloodSense è un nome commerciale di SMC, società registrata in Inghilterra e Galles (numero di registrazione: 15309552).

La presente Informativa sulla privacy spiega come raccogliamo, utilizziamo, condividiamo, conserviamo e proteggiamo i tuoi dati personali quando utilizzi il nostro sito web bloodsense.ai (il "Sito") e i nostri servizi di interpretazione dei risultati di laboratorio basati sull'intelligenza artificiale (i "Servizi"). Ti informa inoltre sui tuoi diritti in materia di protezione dei dati e sui rimedi disponibili.

Vi invitiamo a leggere attentamente la presente Informativa sulla privacy. Utilizzando i nostri Servizi, confermate di aver preso visione di questa informativa. Il trattamento dei vostri dati sanitari si basa sul vostro esplicito consenso, ottenuto separatamente.

1. Titolare del trattamento e referente per la privacy

Il nostro ruolo di titolari del trattamento dei dati

Il titolare del trattamento dei vostri dati personali è:

  • Azienda: Smart Medical Care Ltd
  • Tipo di società: "Società a responsabilità limitata" inglese“
  • Sede legale: 167-169 Great Portland Street, 5th Floor, London, W1W 5PF, Regno Unito
  • Numero di registrazione: 15309552
  • Indirizzo email di contatto: contact@bloodsense.ai

Contatti per la privacy

Per qualsiasi domanda relativa alla presente informativa, ai vostri dati personali o per esercitare i vostri diritti, potete contattare il nostro referente per la privacy. Email: contact@bloodsense.ai

Presenza nello Spazio economico europeo

SMC opera in coordinamento con Smart Medical Care SAS Smart Medical Care SAS (société par actions simplifiée ai sensi della legge francese, RCS Nice 932 924 194), con sede legale in Avenue Maréchal Foch 37, 06000 Nizza, Francia. Smart Medical Care SAS supporta le attività all'interno dello Spazio economico europeo (SEE) e può anche fungere da punto di contatto per gli utenti del SEE per domande relative alla protezione dei dati.

Per gli utenti residenti nello Spazio economico europeo (SEE), tutti i dati sanitari elaborati tramite il servizio BloodSense sono ospitati esclusivamente su server Microsoft Azure situati in Francia, beneficiando della certificazione francese per l'hosting di dati sanitari. Ciò garantisce la conformità ai più severi requisiti normativi europei in materia di dati sanitari sensibili.

Nota importante: SMC non ha ancora nominato un Responsabile della protezione dei dati (DPO) ai sensi degli articoli da 37 a 39 del GDPR. Julien P. funge da referente per la privacy e punto di contatto principale per tutte le domande relative alla protezione dei vostri dati personali.

2. Ambito di applicazione della presente politica

La presente Informativa sulla privacy si applica a tutti i dati personali trattati tramite il sito web BloodSense (bloodsense.ai) e i Servizi BloodSense, indipendentemente dal Paese di residenza dell'utente. Si applica agli utenti residenti nello Spazio economico europeo (SEE), nel Regno Unito (UK), negli Stati Uniti (US) e in tutte le altre giurisdizioni da cui è possibile accedere ai Servizi.

Laddove si applichino disposizioni specifiche agli utenti in determinate giurisdizioni (ad esempio, diritti aggiuntivi ai sensi del GDPR per gli utenti SEE/Regno Unito o diritti specifici per stato per gli utenti statunitensi), queste sono chiaramente indicate nelle sezioni pertinenti.

3. Dati personali che raccogliamo

Raccogliamo le seguenti categorie di dati personali per fornire e migliorare i nostri Servizi:

  • Dati identificativi e di contatto: Nome e indirizzo email. Utilizziamo il tuo nome principalmente per facilitare la pseudonimizzazione (rimozione degli identificativi diretti) del tuo report di analisi prima dell'elaborazione tramite IA. Utilizziamo il tuo indirizzo email per inviarti il report generato dall'IA.
  • Dati sanitari e contestuali (categorie speciali di dati): Ciò include il file del referto delle analisi di laboratorio (sangue, urina, feci) che caricate e le informazioni contestuali che fornite tramite il nostro modulo online per aiutarci a generare una spiegazione più pertinente: età, sesso, altezza, peso, anamnesi personale e familiare, allergie, farmaci, sintomi, abitudini di vita e motivo dell'analisi. Queste informazioni costituiscono dati sanitari e sono soggette a maggiori tutele ai sensi delle leggi applicabili in materia di protezione dei dati.
  • Dati della transazione: Le informazioni relative al tuo acquisto del Servizio vengono elaborate direttamente dal nostro fornitore di servizi di pagamento Stripe, Inc. Non memorizziamo i dati completi della tua carta di credito. La cronologia delle tue transazioni viene conservata per finalità contabili e di conformità legale.
  • Dati tecnici sull'utilizzo e sull'interazione: Informazioni su come interagisci con il nostro Sito e i nostri Servizi, raccolte tramite strumenti di analisi come Microsoft Clarity e Google Analytics (previo tuo consenso tramite il nostro banner sui cookie). Queste informazioni possono includere il tuo indirizzo IP (troncato ove possibile), il tipo di browser, le pagine visitate, il tempo trascorso, i clic e il percorso di navigazione.
  • Dati derivanti da cookie e tecnologie simili: Informazioni raccolte tramite cookie durante la navigazione sul nostro Sito, in conformità con le scelte di consenso espresse tramite il nostro banner sui cookie. Queste includono dati per l'analisi del pubblico e, se acconsenti, per l'analisi delle prestazioni delle campagne pubblicitarie (Google Ads). Per informazioni dettagliate sui tipi di cookie utilizzati, le loro finalità e come gestire le tue preferenze, consulta la Sezione 11 della presente Informativa sulla privacy.
  • Dati di comunicazione: Qualsiasi informazione che fornisci quando contatti il nostro supporto clienti o ci dai un feedback.

4. Come utilizziamo i vostri dati personali (finalità e basi giuridiche)

  • Per fornire il servizio BloodSense: Utilizziamo i tuoi dati di identificazione, i dati sanitari e contestuali, nonché le informazioni che carichi, per analizzare il tuo report e generare la spiegazione basata sull'IA richiesta. La principale base giuridica per il trattamento dei dati sanitari è il tuo consenso esplicito (richiesto ai sensi dell'art. 9(2)(a) del GDPR), che raccogliamo tramite una casella di spunta obbligatoria prima dell'inizio dell'elaborazione del tuo report. Per i dati non sanitari coinvolti, la base giuridica è la necessità di eseguire un contratto (art. 6(1)(b) del GDPR).
  • Per agevolare la pseudonimizzazione delle tue informazioni: Utilizziamo il tuo nome per consentire la rimozione degli identificatori diretti dal documento prima dell'analisi tramite intelligenza artificiale. Questo processo costituisce pseudonimizzazione ai sensi dell'articolo 4, paragrafo 5, del GDPR: i tuoi dati sanitari non possono più essere attribuiti a te senza l'utilizzo di informazioni aggiuntive (il tuo indirizzo email), che vengono conservate separatamente. Questo trattamento è necessario per l'esecuzione del contratto (articolo 6, paragrafo 1, lettera b) del GDPR) e rientra nell'ambito del trattamento basato sul tuo consenso esplicito per i dati sanitari (articolo 9, paragrafo 2, lettera a) del GDPR).
  • Per inviare il referto generato dall’IA: Utilizziamo il tuo indirizzo email e il report generato per fornirti il risultato del nostro Servizio. La base giuridica è la necessità di adempiere a un contratto (art. 6(1)(b) del GDPR).
  • Per gestire il tuo account utente (se applicabile) e la relazione con il cliente: Utilizziamo i tuoi Dati Identificativi, di Contatto e di Transazione per gestire il tuo account e la nostra relazione commerciale. La base giuridica è la necessità per l’esecuzione di un contratto (Art. 6(1)(b) del GDPR).
  • Per elaborare i pagamenti: Utilizziamo i tuoi Dati Identificativi, di Contatto e di Transazione per consentire l’elaborazione sicura dei pagamenti tramite il nostro provider Stripe. La base giuridica è la necessità per l’esecuzione di un contratto (Art. 6(1)(b) del GDPR).
  • Per analizzare l’utilizzo del sito e del servizio per miglioramenti e sicurezza: Utilizziamo Dati di Utilizzo e dati dai Cookie (Analytics come Microsoft Clarity, Google Analytics). La base giuridica per l’utilizzo dei cookie non essenziali è il tuo Consenso (Art. 6(1)(a) del GDPR), raccolto tramite il banner dei cookie. Per gli aspetti relativi alla sicurezza del servizio, la base giuridica è il nostro Legittimo Interesse (Art. 6(1)(f) del GDPR).
  • Per migliorare i nostri modelli di intelligenza artificiale: Per aiutarci a migliorare il nostro servizio per tutti, potremmo utilizzare i tuoi dati, previa aggregazione e anonimizzazione irreversibili (che rendono impossibile la tua reidentificazione, anche tramite riferimenti incrociati), per addestrare e migliorare i nostri algoritmi. Come specificato nei nostri Termini di servizio, hai sempre il diritto di opporti a questo processo contattandoci all'indirizzo contact@bloodsense.ai. Questo trattamento si basa sul nostro legittimo interesse (art. 6(1)(f) del GDPR), fatto salvo il tuo diritto di opposizione.
  • Per analizzare l’efficacia delle campagne di marketing: Potremmo utilizzare i dati derivanti dai cookie (a fini pubblicitari/di marketing, come quelli di Google Ads). La base giuridica è il tuo consenso (art. 6(1)(a) del GDPR).
  • Per rispondere alle tue richieste: Utilizziamo i tuoi Dati Identificativi, di Contatto e di Comunicazione quando contatti il supporto clienti o poni domande. La base giuridica è la necessità per l’esecuzione di un contratto (Art. 6(1)(b) del GDPR) o il nostro Legittimo Interesse (Art. 6(1)(f) del GDPR) nel rispondere alle tue richieste.
  • Per adempiere agli obblighi legali e normativi: Possiamo trattare qualsiasi dato personale pertinente se necessario per adempiere a un obbligo legale (Art. 6(1)(c) del GDPR).

Pseudonimizzazione e miglioramento dell'IA

Il nostro strumento interno rimuove i tuoi dati identificativi diretti (nome) dai risultati delle analisi di laboratorio prima di qualsiasi analisi tramite intelligenza artificiale. Questo processo costituisce pseudonimizzazione ai sensi dell'articolo 4, paragrafo 5, del GDPR: i tuoi dati sanitari non sono più direttamente identificativi, ma rimangono dati personali ai sensi delle leggi applicabili in materia di protezione dei dati, fintanto che possono essere ricondotti a te tramite il tuo indirizzo email. Le informazioni aggiuntive necessarie per reidentificare i dati (il tuo indirizzo email) vengono conservate separatamente e sono soggette a misure tecniche e organizzative per garantire la non attribuzione.

Potremmo successivamente utilizzare questi dati pseudonimizzati, dopo un ulteriore processo di aggregazione e anonimizzazione irreversibili (che rendono di fatto impossibile la tua reidentificazione, anche tramite riferimenti incrociati), per addestrare e migliorare i nostri modelli di intelligenza artificiale al fine di rendere le nostre spiegazioni più accurate e utili. Una volta che i dati sono stati anonimizzati in modo irreversibile, non sono più considerati dati personali ai sensi del GDPR e possono essere conservati a tempo indeterminato. Questo trattamento si basa sul nostro legittimo interesse. Hai il diritto di opporti in qualsiasi momento all'utilizzo dei tuoi dati per il miglioramento dei modelli di intelligenza artificiale inviando un'e-mail a contact@bloodsense.ai, come indicato nei nostri Termini di servizio.

5. Condivisione dei dati personali

Non vendiamo i vostri dati personali. Possiamo condividere i vostri dati personali con terze parti solo nei seguenti casi e con adeguate garanzie:

Fornitori di servizi (sub-responsabili del trattamento)

  • Hosting: Microsoft Azure (Microsoft Ireland Operations Limited per gli utenti SEE, con server situati in Francia e in possesso della certificazione Health Data Hosting — HDS —; Microsoft Corporation per gli utenti al di fuori dello Spazio economico europeo, con server situati negli Stati Uniti), per l'hosting sicuro dei nostri sistemi e dei vostri dati.
  • Elaborazione dei pagamenti: Stripe, Inc. (con sede negli Stati Uniti) elabora i tuoi pagamenti in modo sicuro. Stripe potrebbe raccogliere direttamente i tuoi dati di pagamento.
  • Fornitore di infrastrutture per l'intelligenza artificiale: OpenRouter, Inc. (con sede negli Stati Uniti) ci consente di accedere a modelli di intelligenza artificiale di terze parti per la generazione del tuo report. Inviamo a OpenRouter solo dati pseudonimizzati: il tuo nome e i tuoi dati identificativi diretti vengono rimossi dai nostri sistemi interni prima di qualsiasi trasferimento. OpenRouter e i fornitori dei modelli di intelligenza artificiale sottostanti non hanno mai accesso alle tue informazioni di identificazione personale.
  • Invio di email transazionali: Utilizziamo il servizio di posta elettronica SendGrid (Twilio Inc.) per inviare via email il report generato dall'IA. Questo fornitore agisce come sub-responsabile del trattamento e tratta temporaneamente il tuo indirizzo email e il contenuto del report (che costituisce dati sanitari) esclusivamente per finalità di instradamento e consegna.
  • Analisi del pubblico e dell'interazione: Google LLC (Analytics, Ads) e Microsoft Corporation (Clarity), in base alle tue preferenze sui cookie espresse tramite il nostro banner sui cookie.

Altre informazioni divulgate

  • Obblighi legali: Se richiesto dalla legge, potremmo divulgare i tuoi dati alle autorità competenti (tribunali, regolatori, forze dell’ordine).
  • Trasferimenti aziendali: In caso di fusione, acquisizione o vendita, i dati potrebbero essere trasferiti nel rispetto di impegni di riservatezza equivalenti.

Si prega di notare che i dati inviati ai fornitori di infrastrutture di intelligenza artificiale vengono pseudonimizzati dai nostri sistemi (rimozione degli identificativi diretti) prima del trasferimento. Questi fornitori elaborano i dati per nostro conto e sono contrattualmente vincolati a non utilizzarli per scopi propri, incluso l'addestramento di propri modelli di intelligenza artificiale.

6. Trasferimenti internazionali di dati

I tuoi dati potrebbero essere elaborati al di fuori del Regno Unito/SEE, in particolare negli Stati Uniti, dai nostri fornitori di servizi (OpenRouter, Stripe, Google). Tali trasferimenti vengono effettuati utilizzando garanzie adeguate, tra cui:

  • Il quadro normativo UE-USA sulla protezione dei dati (DPF) e la sua estensione per il Regno Unito, per le aziende certificate come Stripe, Google e Microsoft.
  • Clausole contrattuali standard (SCC) approvate dalla Commissione europea e/o dall'Ufficio del Garante per la protezione dei dati del Regno Unito, corredate, ove necessario, da valutazioni d'impatto sul trasferimento dei dati.
  • Misure di pseudonimizzazione per i dati inviati ai fornitori di intelligenza artificiale, che garantiscono la rimozione dei dati personali che consentono l'identificazione diretta prima di qualsiasi trasferimento al di fuori dello Spazio economico europeo (SEE).

7. Sicurezza dei dati

Abbiamo implementato adeguate misure di sicurezza tecniche e organizzative per prevenire la perdita accidentale, l'uso non autorizzato, l'accesso, la modifica o la divulgazione dei vostri dati personali. Queste includono:

  • L'hosting avviene su server sicuri e certificati (Microsoft Azure - certificato HDS in Francia per gli utenti SEE; conforme a ISO 27001 e SOC 2 Type II per tutti gli utenti). La nostra infrastruttura è progettata con pratiche di sicurezza in linea con le garanzie tecniche HIPAA.
  • Pseudonimizzazione dei report (rimozione dei vostri dati identificativi diretti) prima dell'elaborazione da parte dell'IA.
  • Crittografia dei dati in transito (TLS 1.2+) e a riposo (AES-256).
  • Controlli di accesso rigorosi per limitare l'accesso ai dati personali solo alle persone che ne hanno bisogno per svolgere le proprie mansioni.
  • Procedure per la gestione di sospette violazioni dei dati, in conformità agli articoli 33 e 34 del GDPR.

8. Periodo di conservazione dei dati

Conserviamo diversi tipi di dati per periodi specifici, in base ai requisiti legali e alle esigenze operative:

  • Test di laboratorio originale (PDF): Per un massimo di 90 giorni dopo la corretta generazione e consegna del report basato sull'IA, dopodiché viene eliminato in modo sicuro. Ciò è in linea con il principio di minimizzazione dei dati (GDPR art. 5(1)(c)).
  • Dati dell'account e di contatto: Per tutta la durata del rapporto attivo con l'account, più un massimo di 3 anni dopo l'ultima interazione o la disattivazione dell'account, dopodiché viene eliminato definitivamente.
  • Report generato dall'IA e dati sanitari contestuali: Per tutta la durata dell'account attivo, più un massimo di 3 anni dopo la disattivazione dell'account, per consentire la riattivazione dell'account e l'accesso tramite un futuro portale pazienti.
  • Dati della transazione: Per almeno 6 anni, in conformità con le leggi contabili e fiscali del Regno Unito, e fino a 10 anni per fatture e registrazioni contabili, in conformità con il Codice Commerciale francese (Art. L123-22), ove applicabile.
  • Dati dei cookie analitici (Google Analytics): Per un periodo massimo di 14 mesi, in conformità con le raccomandazioni della CNIL e delle autorità equivalenti in materia di protezione dei dati.
  • Dati relativi ai cookie pubblicitari e di consenso (Clarity, Google Ads): Per un periodo massimo di 6 mesi.
  • Registri del server (IP): Per un periodo massimo di 90 giorni, in base al nostro legittimo interesse a garantire la sicurezza del servizio.
  • Dati resi anonimi e aggregati in modo irreversibile per il miglioramento dell'IA: I dati che sono stati resi anonimi in modo irreversibile (rendendo impossibile la tua identificazione, anche tramite riferimenti incrociati) non sono più considerati dati personali ai sensi del GDPR e possono essere conservati a tempo indeterminato per scopi di ricerca e per il miglioramento dei modelli di intelligenza artificiale.

Una richiesta di cancellazione definitiva dell'account comporterà la cancellazione di tutti i dati sopra elencati, ad eccezione dei dati che siamo legalmente obbligati a conservare (ad esempio, i dati delle transazioni per la conformità fiscale) e dei dati che sono già stati anonimizzati in modo irreversibile.

9. I tuoi diritti in materia di protezione dei dati

A seconda della giurisdizione in cui ti trovi, potresti avere i seguenti diritti in relazione ai tuoi dati personali:

Diritti per tutti gli utenti

  • Diritto di accesso: Richiedi una copia dei tuoi dati personali.
  • Diritto di rettifica: Richiedere la correzione di dati inesatti o incompleti.
  • Diritto alla cancellazione (‘diritto all’oblio’): Richiedere la cancellazione dei propri dati ("diritto all'oblio"), fatto salvo l'obbligo di conservazione previsto dalla legge.
  • Diritto di limitazione del trattamento: Limitare il modo in cui trattiamo i vostri dati in determinate circostanze.
  • Diritto di opposizione: Opporsi al trattamento dei dati basato sul nostro legittimo interesse (incluso l'utilizzo dei dati per il miglioramento dei modelli di intelligenza artificiale) o al marketing diretto.
  • Diritto alla portabilità dei dati: Ricevi i tuoi dati in un formato strutturato e leggibile da una macchina.
  • Diritto di revoca del consenso: È possibile revocare il consenso in qualsiasi momento, senza pregiudicare la licealità del trattamento effettuato prima della revoca.

Diritti aggiuntivi per gli utenti dello Spazio economico europeo e del Regno Unito

Ai sensi del GDPR e del GDPR del Regno Unito, l'utente gode di tutti i diritti sopra elencati. Risponderemo alla richiesta entro un mese, prorogabile di due mesi per le richieste complesse. Non verrà addebitato alcun costo per l'elaborazione della richiesta, a meno che non sia manifestamente infondata o eccessiva.

Diritti aggiuntivi per gli utenti statunitensi

A seconda dello stato in cui risiedi, potresti avere ulteriori diritti ai sensi delle leggi statali sulla privacy applicabili (come il California Consumer Privacy Act, modificato dal CPRA, o leggi simili in Virginia, Colorado, Connecticut e altri stati). Questi diritti possono includere il diritto di sapere quali informazioni personali raccogliamo e condividiamo, il diritto alla cancellazione, il diritto di opporsi alla vendita delle informazioni personali (non vendiamo i tuoi dati) e il diritto alla non discriminazione per l'esercizio dei tuoi diritti.

Per esercitare uno qualsiasi di questi diritti, si prega di inviare un'e-mail al nostro referente per la privacy all'indirizzo contact@bloodsense.ai. Siamo qui per aiutarvi.

10. Bambini e minori

I nostri Servizi non sono destinati a persone di età inferiore ai 18 anni. Applichiamo un sistema di verifica dell'età e non raccogliamo consapevolmente dati da minori. Qualora venissimo a conoscenza di aver raccolto dati personali di una persona di età inferiore ai 18 anni, adotteremo tempestivamente le misure necessarie per eliminare tali informazioni.

11. Cookie e tecnologie simili

Sul nostro sito utilizziamo cookie e tecnologie simili. I cookie sono piccoli file di testo memorizzati sul tuo dispositivo quando visiti il sito, in base alle tue scelte di consenso.

Tipologie di cookie che utilizziamo

  • Cookie strettamente necessari: Questi cookie sono essenziali per il funzionamento del nostro sito (ad esempio, gestione della sessione, sicurezza). Non richiedono il tuo consenso.
  • Cookie analitici: Utilizziamo Google Analytics e Microsoft Clarity per capire come i visitatori interagiscono con il nostro sito. Questi cookie vengono installati solo con il tuo consenso, espresso tramite il nostro banner sui cookie.
  • Cookie pubblicitari/di marketing: Potremmo utilizzare i cookie di Google Ads per analizzare l'efficacia delle nostre campagne di marketing. Questi cookie vengono installati solo con il tuo consenso, espresso tramite il nostro banner sui cookie.

Gestione delle preferenze

Al primo accesso al nostro sito, un banner sui cookie consente di accettare o rifiutare i cookie non essenziali. È possibile modificare le proprie preferenze in qualsiasi momento cancellando i cookie del browser e visitando nuovamente il sito, oppure utilizzando le impostazioni dei cookie disponibili sul sito stesso. È inoltre possibile configurare il browser in modo da rifiutare tutti i cookie, sebbene ciò possa influire su alcune funzionalità del sito.

12. Modifiche alla presente Informativa sulla privacy

Potremmo aggiornare la presente informativa di tanto in tanto. La data dell'ultimo aggiornamento è indicata in alto. Qualora apportassimo modifiche sostanziali, provvederemo a comunicarvele prima che entrino in vigore. Vi preghiamo di consultarla regolarmente.

13. Diritto di presentare un reclamo

Se hai dubbi su come trattiamo i tuoi dati, ti preghiamo di contattare innanzitutto il nostro referente per la privacy. Puoi anche presentare un reclamo alle autorità di controllo:

  • REGNO UNITO: Ufficio del Garante per la protezione dei dati personali (ICO) — www.ico.org.uk
  • Francia (per gli utenti SEE): Commission Nationale de l'Informatique et des Libertés (CNIL) — www.cnil.fr
  • Altri paesi dello Spazio economico europeo: Hai il diritto di presentare un reclamo all'autorità di controllo del tuo paese di residenza.
  • NOI: Per questioni generali relative alla privacy, è possibile rivolgersi alla Federal Trade Commission (FTC), al sito www.ftc.gov, oppure al Procuratore Generale del proprio Stato.

BloodSense
Analisi del test del sangue con IA

I tuoi dati restano al sicuro. Siamo pienamente conformi agli standard HIPAA e GDPR.