Conformità GDPR
Ultimo aggiornamento: 09/07/2026
La conformità come architettura, non come adempimento
PROTUE nasce per gestire dati particolari (art. 9 GDPR) per conto di organizzazioni sanitarie e del terzo settore. La conformità non è un livello aggiunto: è il modo in cui la piattaforma è costruita.
1. Ruoli chiari
Ogni organizzazione cliente è titolare dei dati dei propri assistiti e operatori. Bluix Group LTD è responsabile del trattamento ex art. 28 GDPR e tratta i dati solo su istruzione documentata del titolare. Con ogni organizzazione viene stipulato un DPA che disciplina: oggetto e durata, natura e finalità, categorie di dati e interessati, obblighi di sicurezza, sub-responsabili, assistenza al titolare e restituzione/cancellazione dei dati.
2. Dove risiedono i dati
Tutti i dati di produzione risiedono su server nell'Unione Europea (Hetzner — Germania/Finlandia; Netcup — Germania per gli ambienti di staging). Nessun dato sanitario è trasferito fuori dall'UE per l'erogazione del servizio.
3. Misure tecniche e organizzative (art. 32)
- Cifratura in transito (TLS) e a riposo; documenti del vault cifrati con chiavi per-tenant.
- Isolamento multi-tenant: i dati di ogni organizzazione sono logicamente separati e non raggiungibili da altri tenant.
- Controllo accessi per ruolo e ambito, con autenticazione a più fattori disponibile.
- Audit trail: ogni accesso a documenti e dati sensibili è registrato e consultabile.
- Backup giornalieri cifrati con conservazione su infrastruttura UE separata.
- Cancellazione sicura: il diritto all'oblio è implementato con crypto-shredding (distruzione delle chiavi di cifratura) e tombstone di audit, così la cancellazione è dimostrabile senza conservare il dato.
4. Dati sanitari (art. 9)
Il trattamento di dati relativi alla salute avviene esclusivamente per conto dei titolari, sulla base delle condizioni di liceità che questi individuano (es. art. 9.2.h — finalità di assistenza sanitaria o sociale). La piattaforma fornisce ai titolari gli strumenti per: gestire consensi e informative, limitare gli accessi al personale autorizzato, tracciare ogni operazione e supportare le DPIA.
5. Violazioni di dati (data breach)
In caso di violazione che coinvolga dati trattati per conto di un titolare, Bluix Group LTD informa il titolare senza ingiustificato ritardo dalla scoperta, fornendo le informazioni necessarie alla notifica all'autorità entro le 72 ore previste dall'art. 33 GDPR.
6. Sub-responsabili
L'elenco dei sub-responsabili (hosting UE, pagamenti, SMS) è riportato nella Privacy Policy ed è disponibile in forma aggiornata su richiesta. Le variazioni sono comunicate ai clienti con possibilità di opposizione.
7. Contatti
Per richieste su DPA, sicurezza o esercizio dei diritti: info@protue.com.