1. Oggetto del servizio

Verbamed (di seguito, il Servizio) è una piattaforma software di supporto alla visita medica. Il Servizio fornisce ascolto e analisi assistita dell'incontro clinico, generazione automatica di bozze di referto e strumenti di modifica testuale. Il Servizio è destinato esclusivamente a professionisti sanitari abilitati operanti nell'ambito dell'organizzazione che ha sottoscritto il contratto di fornitura.

2. Natura del Servizio — assenza di responsabilità clinica

Il Servizio è uno strumento di supporto documentale. Non costituisce in alcun caso un dispositivo medico, un sistema di supporto alle decisioni cliniche, né fornisce diagnosi, prognosi o indicazioni terapeutiche.

Tutte le valutazioni cliniche, le diagnosi, le prescrizioni, le indicazioni terapeutiche e ogni altro atto medico restano di esclusiva responsabilità del professionista sanitario che utilizza il Servizio. Le bozze di referto generate automaticamente devono essere sempre verificate, integrate e validate dal medico prima della finalizzazione e della consegna al paziente.

Il fornitore del Servizio non risponde in alcun modo di:

• errori, omissioni o inesattezze nelle analisi automatiche o nelle bozze generate;
• diagnosi mancate, errate o tardive;
• scelte terapeutiche, prescrizioni o atti medici basati sui contenuti del Servizio;
• danni diretti o indiretti derivanti dall'uso o dal mancato uso del Servizio.

3. Obblighi dell'utente

L'utente si impegna a:

• utilizzare il Servizio nel rispetto della deontologia professionale, della normativa sanitaria vigente e della disciplina sulla protezione dei dati personali;
• verificare integralmente ogni bozza di referto prima della finalizzazione, assumendosene la piena responsabilità clinica;
• non utilizzare il Servizio come unico strumento decisionale in ambito clinico;
• custodire le proprie credenziali di accesso e non condividerle con terzi;
• informare il paziente, ove richiesto dal contesto, dell'uso di strumenti di ascolto e analisi assistita durante la visita.

4. Limitazioni tecniche

L'accuratezza dell'analisi automatica e delle bozze generate dipende da fattori tecnici (qualità audio, rumore ambientale, varietà linguistiche, terminologia specialistica) e può presentare errori. Il Servizio è erogato secondo il principio best effort e non garantisce un'accuratezza pari al 100%.

5. Proprietà intellettuale

Tutti i diritti relativi al software, al codice sorgente, alla documentazione, ai marchi e ai contenuti del Servizio sono di esclusiva proprietà del fornitore o dei rispettivi licenzianti. I contenuti clinici prodotti dall'utente (referti, note, template personalizzati) restano di proprietà dell'organizzazione cliente.

6. Disponibilità del Servizio

Il fornitore si adopera per garantire un'elevata disponibilità del Servizio. Sono fatte salve interruzioni dovute a manutenzione programmata, eventi di forza maggiore, guasti dei provider di rete o di infrastruttura. Nessuna garanzia di disponibilità continua viene fornita salvo quanto eventualmente previsto da specifici SLA contrattuali.

7. Sospensione dell'accesso

Il fornitore può sospendere o revocare l'accesso al Servizio in caso di violazione dei presenti Termini, di utilizzo improprio, di mancato pagamento dei corrispettivi da parte dell'organizzazione cliente o per esigenze di sicurezza.

8. Modifiche ai Termini

I presenti Termini possono essere modificati. Le modifiche entreranno in vigore dalla data di pubblicazione sulla presente pagina. L'utilizzo continuativo del Servizio dopo la pubblicazione costituisce accettazione delle nuove condizioni.

9. Legge applicabile e foro

I presenti Termini sono regolati dalla legge italiana. Per ogni controversia è competente in via esclusiva il foro indicato nel contratto di fornitura sottoscritto dall'organizzazione cliente.

10. Contatti

Per qualsiasi richiesta relativa ai presenti Termini utilizzare il modulo di contatto.

1. Titolare del trattamento

Per i dati personali dei pazienti e dei contenuti clinici trattati tramite il Servizio, il Titolare del trattamento è l'organizzazione sanitaria (struttura, clinica, professionista) che ha sottoscritto il contratto di fornitura del Servizio e per conto della quale i professionisti utilizzano la piattaforma.

Il fornitore della piattaforma Verbamed agisce in qualità di Responsabile del trattamento ai sensi dell'art. 28 GDPR, sulla base di apposito atto di nomina sottoscritto con il Titolare.

Per i dati relativi agli utenti operatori (account, log di accesso, audit), il fornitore è Titolare autonomo limitatamente alle finalità di gestione tecnica del Servizio.

2. Categorie di dati trattati

Il Servizio tratta le seguenti categorie di dati:

• Dati identificativi degli operatori: nome, cognome, e-mail professionale, ruolo, business unit di appartenenza, credenziali di accesso gestite tramite identity provider.
• Dati clinici e particolari (art. 9 GDPR): bozze e referti, concetti clinici strutturati estratti durante la visita, dati anagrafici del paziente inseriti dall'operatore, anamnesi, valutazioni cliniche, piani terapeutici.
• Dati tecnici: log di accesso, indirizzi IP, identificativi di sessione, eventi di audit, metriche di utilizzo della piattaforma.

3. Trattamento dell'audio — privacy by design

Il flusso audio acquisito durante la visita è elaborato esclusivamente in memoria per il tempo strettamente necessario all'analisi. L'audio non viene mai memorizzato in modo persistente: né sul dispositivo di acquisizione, né sul backend, né sul servizio di elaborazione, né in alcun supporto di archiviazione. Al termine della sessione il flusso audio è scartato e non è più recuperabile. Anche l'eventuale trascrizione intermedia è elaborata esclusivamente in memoria volatile e non viene conservata né restituita.

Vengono conservati esclusivamente i referti, le bozze e i concetti clinici strutturati generati, all'interno della base dati del Titolare.

4. Finalità e basi giuridiche

5. Destinatari dei dati

I dati possono essere comunicati a:

• personale autorizzato dal Titolare (medici, amministratori dell'organizzazione);
• il fornitore della piattaforma in qualità di Responsabile del trattamento;
• sub-responsabili tecnici (provider di hosting, modelli linguistici on-premise o in cloud UE) nominati ai sensi dell'art. 28 GDPR;
• autorità competenti su richiesta e nei casi previsti dalla legge.

I dati non sono diffusi e non sono utilizzati per finalità di profilazione né per addestramento di modelli di intelligenza artificiale di terzi.

6. Trasferimenti extra-UE

I dati sono trattati e conservati su infrastrutture situate nell'Unione Europea. Eventuali trasferimenti extra-UE sono effettuati esclusivamente verso paesi con decisione di adeguatezza della Commissione Europea o sulla base di Clausole Contrattuali Standard (SCC) e misure supplementari adeguate.

7. Periodo di conservazione

• Audio della visita: nessuna conservazione (elaborazione in memoria).
• Trascrizioni intermedie: nessuna conservazione (elaborazione in memoria volatile, mai restituite).
• Referti e bozze: secondo i termini di legge applicabili alla documentazione sanitaria e alle policy del Titolare (di norma non inferiore a 10 anni per la documentazione clinica).
• Log tecnici e audit: conservati per il tempo necessario alle finalità di sicurezza, comunque non oltre 24 mesi salvo diverso obbligo di legge.
• Dati account operatori: per la durata del rapporto contrattuale e per i termini di prescrizione successivi.

8. Misure di sicurezza

Il Servizio adotta misure tecniche e organizzative adeguate ai sensi dell'art. 32 GDPR, fra cui:

• cifratura in transito tramite TLS;
• cifratura end-to-end del flusso audio tra dispositivo di acquisizione e applicativo (AES-256-GCM, sequence anti-replay);
• segregazione multi-tenant a livello di database (Row Level Security) e di identity provider (realm dedicato per ciascuna organizzazione);
• autenticazione tramite identity provider con supporto a MFA;
• controllo degli accessi basato su ruoli e business unit;
• audit log completo delle operazioni, con propagazione dell'identità dell'utente reale (nessun service account intermedio);
• backup cifrati e procedure documentate di disaster recovery e rotazione delle chiavi.

9. Diritti dell'interessato

L'interessato può esercitare in qualsiasi momento, nei confronti del Titolare, i seguenti diritti ai sensi degli artt. 15-22 GDPR:

• accesso ai propri dati personali (art. 15);
• rettifica dei dati inesatti (art. 16);
• cancellazione, nei limiti consentiti dalla normativa sanitaria (art. 17);
• limitazione del trattamento (art. 18);
• portabilità dei dati (art. 20);
• opposizione al trattamento fondato su legittimo interesse (art. 21).

Le richieste vanno indirizzate al Titolare del trattamento. È inoltre diritto dell'interessato proporre reclamo all'autorità di controllo competente (in Italia: Garante per la protezione dei dati personali — www.garanteprivacy.it).

10. Processi decisionali automatizzati

Il Servizio non effettua processi decisionali interamente automatizzati che producano effetti giuridici sull'interessato ai sensi dell'art. 22 GDPR. Le bozze di referto generate sono sempre soggette alla revisione e validazione del medico, che mantiene la piena responsabilità clinica del contenuto.

11. Contatti

Per esercitare i diritti previsti dal GDPR contattare il Titolare del trattamento (l'organizzazione sanitaria di riferimento) o il relativo Responsabile della Protezione dei Dati (DPO), se nominato.

Per richieste di carattere tecnico relative al Servizio utilizzare il modulo di contatto.