nutribot

Informativa sulla Privacy

ai sensi e per gli effetti di cui agli artt. 13 e 14 del Regolamento UE n. 2016/679 (GDPR)

Ultimo aggiornamento: marzo 2026

Privacy

HYPAZ SRL (di seguito "Nutribot") desidera informarLa che il Regolamento Europeo n. 679 del 27 aprile 2016 (GDPR), e le sue successive modifiche o integrazioni, prevedono la tutela delle persone fisiche con riguardo al trattamento dei loro dati personali e che pertanto, i Suoi dati verranno trattati in modo conforme alle norme e nel rispetto delle normali prerogative, opportunità ed obblighi di riservatezza che presidiano le nostre attività.

La presente informativa riguarda il trattamento dei dati personali appartenenti agli utenti professionisti (nutrizionisti, dietisti e professionisti sanitari) registrati sulla piattaforma accessibile tramite il sito www.nutribot.it (di seguito "Piattaforma") e si estende a tutte le persone fisiche operanti nelle relative organizzazioni. Per il trattamento dei dati personali dei pazienti degli Utenti, si rimanda alla sezione 8 della presente informativa.

Ai sensi degli articoli 13 e 14 del Regolamento UE 2016/679, Le forniamo pertanto le seguenti informazioni.

1. Estremi identificativi del Titolare (e di eventuali altri soggetti)

Il Titolare del trattamento è HYPAZ SRL,

con sede legale in Val della Torre (TO), via Castello, 10040,

P.IVA 13414550015

privacy.section1.pec

Email (per finalità privacy): support@nutribot.it – PEC: hypaz@pec.it

Sito web: www.nutribot.it

2. Finalità e basi giuridiche del trattamento

Lo scopo di questa informativa è di informare tutti gli utenti registrati della Piattaforma (professionisti, tecnici, lavoratori autonomi) che i dati personali forniti sono necessari per le seguenti finalità:

  • Erogazione dei Servizi della Piattaforma in favore dell'Utente, inclusi: gestione profilo e account, gestione dei dati dei pazienti dell'Utente, generazione di piani alimentari tramite intelligenza artificiale, elaborazione di misurazioni antropometriche da remoto, gestione esami del sangue, gestione calendario ed appuntamenti, assistente AI conversazionale, invio notifiche e comunicazioni email transazionali, dashboard e analytics (base giuridica: esecuzione del contratto – art. 6.1.b GDPR)
  • Esecuzione delle prestazioni e delle obbligazioni accessorie inerenti il contratto, incluse quelle di carattere legale, amministrativo e fiscale, gestione dei pagamenti tramite il processore di pagamento Stripe, emissione e archiviazione fatture (base giuridica: obbligo di legge – art. 6.1.c GDPR)
  • Gestione di eventuali controversie insorte nell'ambito dell'esecuzione del contratto (base giuridica: obbligo di legge e interesse legittimo del Titolare – artt. 6.1.c e 6.1.f GDPR)
  • Miglioramento e addestramento dei Servizi della Piattaforma, inclusi i modelli di intelligenza artificiale, mediante l'utilizzo di Input e Contenuti Generati in forma anonimizzata e/o pseudonimizzata, come previsto dall'art. 7.4 delle Condizioni Generali (base giuridica: interesse legittimo del Titolare – art. 6.1.f GDPR)
  • Elaborazione automatizzata dei dati, inclusa la generazione di piani alimentari personalizzati, il calcolo di indicatori nutrizionali (BMI, WHtR, rischio cardiometabolico, proiezioni di variazione peso) e le risposte dell'Assistente AI. Tali elaborazioni non producono effetti giuridici né decisioni vincolanti e devono essere soggette alla verifica e alla supervisione dell'Utente professionista prima del loro utilizzo. La responsabilità dell'utilizzo degli output generati è esclusivamente dell'Utente (base giuridica: esecuzione del contratto – art. 6.1.b GDPR)

3. Modalità del trattamento

In relazione alle finalità sovraesposte (punto 2) i dati sono oggetto di trattamento informatico secondo modalità supportate dalla predisposizione di misure di sicurezza che NUTRIBOT ritiene adeguate allo stato dell'arte e alla natura del trattamento, tra cui: crittografia dei dati in transito (TLS/SSL), crittografia dei token di autenticazione a servizi terzi (crittografia simmetrica Fernet), controllo degli accessi basato su ruoli, infrastruttura cloud con certificazione ISO 27001. NUTRIBOT non garantisce l'assoluta inviolabilità di tali misure. Il trattamento è svolto in forma automatizzata ad opera del Titolare e degli eventuali incaricati appositamente formati, istruiti ed obbligati alla più totale riservatezza.

Il Titolare si ispira al principio di minimizzazione dei dati, raccogliendo i dati adeguati e pertinenti all'attività richiesta o alla fase dell'attività in corso di svolgimento.

Le attività di trattamento possono riguardare, a titolo esemplificativo e non esaustivo, le fasi di: raccolta, conservazione, archiviazione, consultazione, trasmissione a fornitori di servizi AI e di misurazione, comunicazione, elaborazione automatizzata tramite intelligenza artificiale, cancellazione, ecc.

I dati personali vengono raccolti sia al momento della registrazione e della conclusione del rapporto contrattuale sia durante l'utilizzo della Piattaforma e dei relativi Servizi.

4. Tipologia dei dati trattati

I dati trattati relativi all'Utente comprendono, a titolo esemplificativo e non esaustivo: dati anagrafici (nome, cognome, data di nascita), dati di contatto (email, telefono, indirizzo), dati fiscali (Partita IVA), dati di pagamento (elaborati tramite il processore Stripe — NUTRIBOT non memorizza dati di carte di credito), dati di autenticazione (gestiti tramite Firebase Authentication di Google), nonché ogni altro dato che l'Utente conferisca nell'ambito dell'utilizzo della Piattaforma.

Con riferimento ai pazienti dell'Utente, la Piattaforma tratta dati relativi alla salute ai sensi dell'art. 9 del GDPR ("categorie particolari di dati personali"), tra cui: anamnesi patologica e familiare, diagnosi attuali e passate, farmaci e integratori in uso, storia chirurgica, valori di esami del sangue (50+ parametri ematici), misurazioni antropometriche (28+ parametri corporei), salute gastrointestinale, salute ginecologica, disturbi alimentari, abitudini di vita (fumo, sonno, stress), e fotografie corporee per la misurazione da remoto. Per il trattamento di tali dati si rimanda alla sezione 8 della presente informativa.

La Piattaforma tratta inoltre: cronologia delle conversazioni con l'Assistente AI, dati di utilizzo dei Servizi (token consumati, operazioni effettuate), eventi del calendario (che possono contenere nominativi di pazienti).

La mancata comunicazione e/o il diniego al trattamento dei dati personali dell'Utente rende impossibile la costituzione e il prosieguo del rapporto contrattuale e l'erogazione dei Servizi.

5. Periodo di conservazione

Nel rispetto dei principi di liceità, limitazione delle finalità e minimizzazione dei dati, i dati personali sono conservati secondo le seguenti tempistiche:

  • Dati dell'account Utente: per tutta la durata del rapporto contrattuale. In caso di richiesta di cancellazione dell'account, è previsto un periodo di grazia di 30 giorni (soft-delete) durante il quale l'Utente può revocare la richiesta, al termine del quale tutti i dati vengono cancellati definitivamente, inclusi: conversazioni AI, diete, pazienti, misurazioni, esami del sangue, storico pagamenti, utilizzo token, eventi calendario.
  • Log di sistema: conservati di norma per un periodo non superiore a 90 giorni.
  • Job di elaborazione completati: conservati di norma per un periodo non superiore a 120 giorni.
  • Codici OTP scaduti: conservati di norma per un periodo non superiore a 120 giorni.

6. Ambito di comunicazione, diffusione dei dati e trasferimenti extra-UE

Per l'erogazione dei Servizi, i dati possono essere comunicati a soggetti terzi, tra cui, a titolo esemplificativo e non esaustivo, i seguenti fornitori. L'elenco aggiornato dei fornitori è mantenuto da NUTRIBOT e disponibile su richiesta:

  • Fornitori di servizi di intelligenza artificiale (alla data della presente informativa: Anthropic, PBC e OpenAI, Inc., con sede negli USA) — per la generazione di contenuti tramite AI, l'elaborazione di piani alimentari, l'assistenza conversazionale e la trascrizione audio. A tali fornitori vengono di norma trasmessi riepiloghi dei dati dei pazienti in forma pseudonimizzata, per quanto tecnicamente possibile in relazione alla specifica funzionalità utilizzata, per l'elaborazione dei Contenuti Generati. Si precisa che alcune funzionalità (quali l'Assistente AI conversazionale) possono richiedere la trasmissione di dati identificativi del paziente (nome e altri dati anagrafici presenti nella scheda paziente) ai fornitori AI in forma non pseudonimizzata, al fine di consentire l'elaborazione dei Contenuti Generati destinati esclusivamente all'Utente. I fornitori di servizi AI possono essere modificati, sostituiti o integrati da NUTRIBOT con preavviso di almeno 30 giorni tramite comunicazione all'Utente o aggiornamento dell'elenco dei fornitori sulla Piattaforma.
  • Fornitore terzo di servizi di computer vision per misurazioni corporee (con sede negli USA) — per l'elaborazione delle misurazioni antropometriche da remoto. A tale fornitore vengono trasmessi: email, nome, genere, altezza e peso del paziente. Le fotografie corporee sono elaborate dal fornitore e non sono memorizzate dalla Piattaforma.
  • Processore di pagamento: Stripe, Inc. (USA) — per la gestione di pagamenti, abbonamenti e fatturazione. A tale fornitore vengono trasmessi: email, nome, indirizzo e Partita IVA dell'Utente.
  • Servizi Google: Google LLC (USA) — Firebase Authentication per l'autenticazione degli Utenti; Google Calendar API per la sincronizzazione bidirezionale del calendario (opzionale, su attivazione dell'Utente); Google Translate per la traduzione dei contenuti della Piattaforma. I token OAuth2 per Google Calendar sono conservati in forma crittografata (crittografia simmetrica Fernet).
  • Infrastruttura cloud: Google Cloud Platform (regione europe-west1, Belgio) per l'hosting della Piattaforma e del database; piattaforma di automazione n8n per la gestione dei flussi di notifica e dell'Assistente AI.
  • Per quanto a conoscenza di NUTRIBOT alla data della presente informativa, i trasferimenti verso Paesi terzi (USA) avvengono sulla base di: (a) decisioni di adeguatezza della Commissione Europea; (b) Clausole Contrattuali Standard (SCC); (c) certificazioni nell'ambito del EU-U.S. Data Privacy Framework. NUTRIBOT non è responsabile per eventuali modifiche alle garanzie adottate dai fornitori terzi. L'elenco aggiornato dei sub-responsabili del trattamento è disponibile su richiesta contattando support@nutribot.it.
  • I dati raccolti non saranno mai diffusi e non saranno oggetto di comunicazione al di fuori delle finalità di cui sopra, salvo comunicazioni ad enti pubblici in ottemperanza di obblighi di legge, Pubblica Autorità e Autorità Giudiziaria.

Per quanto a conoscenza di NUTRIBOT alla data della presente informativa, alcuni dei fornitori sopra indicati hanno sede negli Stati Uniti d'America. Il trasferimento dei dati personali verso tali soggetti avviene sulla base di garanzie adeguate ai sensi dell'art. 46 GDPR, tra cui Clausole Contrattuali Standard (SCC) adottate dalla Commissione Europea e, ove applicabile, ai sensi del EU-U.S. Data Privacy Framework (DPF). NUTRIBOT non è responsabile per eventuali modifiche alle garanzie adottate dai fornitori terzi. L'Utente può richiedere copia delle garanzie adottate contattando support@nutribot.it.

I soggetti terzi ai quali i dati vengono comunicati, ove svolgano attività di trattamento, sono designati dal Titolare quali responsabili esterni del trattamento ai sensi dell'art. 28 GDPR, con specifiche istruzioni. Il Titolare può fornire l'elenco completo e aggiornato dei sub-responsabili su richiesta.

I dati potranno inoltre essere comunicati a consulenti (commercialisti, avvocati, consulenti fiscali) per l'adempimento degli obblighi di legge, amministrativi e fiscali, nonché ad enti pubblici in ottemperanza di obblighi di legge o della Pubblica Autorità e dell'Autorità Giudiziaria.

7. Diritti di cui agli artt. 15, 16, 17, 18, 20, 21 e 22 del Regolamento UE 2016/679

Nutribot desidera informarLa che, in qualità di interessato, ha diritto di proporre reclamo all'Autorità Garante per la Protezione dei Dati Personali (www.garanteprivacy.it), nonché di esercitare i diritti di seguito elencati, che potrà far valere rivolgendo apposita richiesta scritta al Titolare del trattamento, indicato al punto 1.

Art. 15 - Diritto di accesso

L'interessato ha il diritto di ottenere conferma dal Titolare del trattamento che sia o meno in corso un trattamento di dati personali che lo riguarda e, in tal caso, ottenere l'accesso ai dati personali e alle informazioni riguardanti il trattamento.

Art. 16 - Diritto di rettifica

L'interessato ha il diritto di ottenere dal Titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo. Tenuto conto delle finalità del trattamento, l'interessato ha anche il diritto di ottenere l'integrazione dei dati personali incompleti, fornendo una dichiarazione integrativa.

Art. 17 - Diritto alla cancellazione (diritto all'oblio)

L'interessato ha il diritto di ottenere dal Titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo. La cancellazione dell'account è disponibile tramite l'apposita funzione sulla Piattaforma e prevede un periodo di grazia di 30 giorni, al termine del quale tutti i dati vengono definitivamente eliminati.

Art. 18 - Diritto di limitazione del trattamento

L'interessato ha il diritto di ottenere dal Titolare del trattamento la limitazione del trattamento quando ricorre una delle seguenti ipotesi:

  • l'interessato contesta l'esattezza dei dati personali, per il periodo necessario al Titolare del trattamento per verificare l'esattezza di tali dati personali;
  • il trattamento è illecito e l'interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l'utilizzo;
  • benché il Titolare del trattamento non necessiti più dei dati personali ai fini del trattamento, questi sono necessari all'interessato per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria;
  • qualora l'interessato si sia opposto al trattamento ai sensi dell'articolo 21, paragrafo 1, in attesa della verifica in ordine all'eventuale prevalenza delle ragioni del trattamento da parte del Titolare rispetto alle ragioni dell'interessato.

Art. 20 - Diritto alla portabilità dei dati

L'interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti al Titolare, e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti.

Nell'esercitare i propri diritti relativamente alla portabilità dei dati, l'interessato ha il diritto di ottenere la trasmissione diretta dei dati personali da un titolare del trattamento all'altro, se tecnicamente fattibile.

Art. 21 - Diritto di opposizione

L'interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardino, anche in termini di profilazione, ai sensi dell'articolo 6, paragrafo 1, lettere e) o f).

Art. 22 - Processo decisionale automatizzato e profilazione

L'interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida significativamente sulla sua persona. La Piattaforma utilizza sistemi di intelligenza artificiale per elaborare piani alimentari, calcolare indicatori nutrizionali (BMI, WHtR, rischio cardiometabolico, proiezioni peso) e fornire risposte tramite l'Assistente AI. Tali elaborazioni sono strumenti di supporto che non producono decisioni automatizzate con effetti giuridici e devono essere soggette alla revisione e approvazione dell'Utente professionista prima di qualsiasi utilizzo. L'Utente è l'unico responsabile dell'uso di tali elaborazioni.

Può esercitare i Suoi diritti con richiesta scritta inviata a support@nutribot.it o tramite PEC all'indirizzo hypaz@pec.it.

8. Trattamento dei dati dei pazienti dell'Utente

La presente sezione disciplina il trattamento dei dati personali, inclusi i dati relativi alla salute (art. 9 GDPR), dei pazienti dell'Utente inseriti nella Piattaforma.

Ruoli e responsabilità

L'Utente, in qualità di professionista sanitario (nutrizionista, dietista o altro professionista del settore), è l'unico Titolare autonomo del trattamento dei dati personali dei propri pazienti ai sensi dell'art. 4.7 GDPR e l'unico responsabile della liceità del loro inserimento nella Piattaforma. NUTRIBOT mette a disposizione dell'Utente un'infrastruttura tecnologica per il trattamento dei dati e non assume alcuna responsabilità in merito alla liceità, correttezza o completezza dei dati inseriti dall'Utente. L'Utente manleva integralmente NUTRIBOT da ogni responsabilità, sanzione, richiesta risarcitoria o contestazione derivante dal trattamento dei dati dei propri pazienti. L'Utente è responsabile di: informare adeguatamente i propri pazienti circa il trattamento dei loro dati attraverso la Piattaforma, inclusi i trasferimenti a servizi terzi; acquisire il consenso esplicito dei pazienti per il trattamento dei dati relativi alla salute ai sensi dell'art. 9.2.a del GDPR; verificare la liceità del trasferimento dei dati verso i fornitori indicati nella sezione 6.

Misure di sicurezza

NUTRIBOT adotta misure tecniche e organizzative che ritiene adeguate alla protezione dei dati dei pazienti, in conformità allo stato dell'arte e alla natura del trattamento. NUTRIBOT non garantisce l'assoluta inviolabilità di tali misure. In caso di violazione dei dati personali (data breach), si applica la disciplina di cui agli artt. 33, 34 e 82 del GDPR.

Sub-responsabili del trattamento

Per l'erogazione dei Servizi, i dati dei pazienti possono essere trasmessi ai sub-responsabili indicati nella sezione 6, nei limiti strettamente necessari per l'erogazione di ciascun specifico servizio. In particolare: Anthropic riceve riepiloghi dei dati dei pazienti, di norma in forma pseudonimizzata, per la generazione dei piani alimentari; OpenAI riceve il contenuto delle conversazioni con l'Assistente AI, che possono includere dati identificativi del paziente qualora l'Utente faccia riferimento ai pazienti per nome; il fornitore terzo di computer vision riceve email, nome, genere, altezza e peso del paziente per le misurazioni da remoto.

Data Processing Agreement

L'Utente può, se lo ritiene opportuno, richiedere la stipulazione di un formale Data Processing Agreement (DPA) ai sensi dell'art. 28 GDPR contattando support@nutribot.it. La stipulazione di un DPA non implica l'assunzione da parte di NUTRIBOT di alcuna responsabilità ulteriore rispetto a quella espressamente prevista dal DPA stesso. Ogni eventuale responsabilità di NUTRIBOT ai sensi del DPA sarà in ogni caso limitata all'importo del canone annuale di Abbonamento corrisposto dall'Utente.

PRESA VISIONE E CONSENSO AL TRATTAMENTO DEI DATI PERSONALI REGOLAMENTO (UE) 2016/679

Il sottoscritto dichiara di avere ricevuto le informazioni di cui agli artt. 13 e 14 del Regolamento UE 2016/679, in particolare riguardo ai diritti riconosciuti dal Regolamento UE 2016/679 e s.m.i., di aver preso visione dei relativi documenti e di acconsentire, ai sensi e per gli effetti dell'art. 7 e ss. del Regolamento, al trattamento dei dati personali, anche di categorie particolari ai sensi dell'art. 9, con le modalità e per le finalità indicate nella informativa stessa, comunque strettamente connesse e strumentali alla gestione del rapporto contrattuale e all'erogazione dei Servizi della Piattaforma.