HT InformaticaInformation Technology per la sanità
Applicazione

Agenda HT - gestione prenotazioni sanitarie

Versione 1.0 | Aggiornata al 27/04/2026

App: Agenda HT (HTSANg) - gestione agende e prenotazioni sanitarie
Publisher store: HTSANg
Piattaforme: Android e iOS
Categoria store: Medical
Ultimo aggiornamento: 27 aprile 2026
Versione documento: 1.5

La presente Privacy Policy descrive il trattamento dei dati personali effettuato tramite l'app Agenda HT ("HTSANg"), applicazione mobile destinata alla gestione di agende, disponibilità e prenotazioni in ambito sanitario. L'app è pensata per il personale autorizzato di cliniche, poliambulatori e altre strutture sanitarie clienti; non è progettata come app consumer per il pubblico generico.

Agenda HT ha una funzione organizzativa e amministrativa di supporto ai processi di prenotazione. Non effettua diagnosi, triage, decisioni cliniche automatizzate o profilazione sanitaria automatizzata e non sostituisce il giudizio del professionista sanitario. Salvo diversa qualificazione regolatoria formalmente dichiarata dal produttore o dalla struttura sanitaria, l'app non deve essere intesa come dispositivo medico.

L'informativa è redatta ai sensi del Regolamento (UE) 2016/679 ("GDPR") e tiene conto, per quanto rilevante, dei requisiti informativi richiesti per la pubblicazione delle app su Google Play e Apple App Store. Le dichiarazioni rese negli store devono comunque essere compilate in modo coerente con i flussi dati effettivamente presenti nell'app e nelle relative componenti server.

1. Ruoli privacy e contatti

Il trattamento dei dati effettuato tramite Agenda HT coinvolge ruoli privacy distinti, individuati sulla base dei contratti, delle istruzioni operative e dell'assetto del servizio attivato dalla singola struttura sanitaria.

  • Struttura sanitaria cliente come Titolare del trattamento: per i dati dei pazienti, delle prenotazioni, delle prestazioni e delle note clinico-organizzative inserite o consultate tramite l'app, la struttura sanitaria che decide finalità e mezzi del trattamento opera come Titolare del trattamento.
  • HT Informatica come Responsabile del trattamento: HT Informatica è formalmente nominata Responsabile del trattamento ai sensi dell'art. 28 GDPR dalle strutture clienti per i dati dei pazienti e delle prenotazioni trattati tramite Agenda HT, e li tratta esclusivamente per finalità strettamente connesse alla fornitura, manutenzione, hosting, sicurezza e assistenza della piattaforma, sulla base di istruzioni documentate del Titolare.
  • HT Informatica come Titolare autonomo: HT Informatica può operare come Titolare autonomo per i trattamenti relativi alla sicurezza dell'applicazione, alla gestione dei log tecnici, alla prevenzione di abusi, alla gestione del rapporto contrattuale con il cliente, all'assistenza tecnica, alla difesa di diritti in sede giudiziale o stragiudiziale e agli adempimenti normativi che richiedano una determinazione autonoma di finalità e mezzi.

La ripartizione dei ruoli resta disciplinata dal contratto di fornitura, dalla nomina a Responsabile del trattamento, dagli atti organizzativi della struttura sanitaria e dalla documentazione tecnica del servizio.

2. Categorie di dati trattati

CategoriaEsempiNote
Dati di prenotazione e dati del pazienteNome e cognome, numero di telefono, note di prenotazione, agenda, slot, codice esame/prestazione, riferimenti organizzativi e dati necessari alla gestione dell'appuntamentoIn base al contenuto e al contesto, tali dati possono rivelare o rendere ragionevolmente desumibile lo stato di salute dell'interessato
Dati di accesso e configurazioneIdentificativo utente o email operatore, codice operatore, credenziali tecniche di servizio, token di sessione, parametri di configurazione del serverUtilizzati per autenticazione, autorizzazione, instradamento delle richieste e continuità operativa
Dati tecnici, diagnostici e di sicurezzaInformazioni sul dispositivo, sistema operativo, versione app, indirizzo IP, eventi di accesso, log di errore, dati diagnostici e di performance, eventi tecnici di sessioneTrattati nei limiti necessari per sicurezza, troubleshooting, audit tecnico e supporto
Dati relativi alle richieste di supportoDati e contenuti comunicati dall'utente autorizzato o dalla struttura sanitaria in occasione di ticket, email o richieste di assistenzaTrattati solo per fornire supporto, manutenzione e gestione degli incidenti

2.1 Dati che possono rientrare nelle categorie particolari di dati

I dati trattati tramite Agenda HT possono includere dati relativi alla salute o dati che, anche indirettamente, consentono di desumere informazioni sullo stato di salute dell'interessato, ad esempio in relazione alla tipologia di esame prenotato, alla branca sanitaria, alle note operative o al contesto clinico-organizzativo della prenotazione. Tali informazioni rientrano, ove applicabile, nelle categorie particolari di dati di cui all'art. 9 GDPR.

2.2 Dati non utilizzati dall'app

  • L'app non utilizza identificatori pubblicitari.
  • L'app non integra SDK pubblicitari o di tracciamento comportamentale.
  • L'app non effettua attività di tracking cross-app o cross-site.
  • L'app non usa servizi di analytics di terze parti per finalità pubblicitarie.
  • L'app non richiede geolocalizzazione per la propria funzionalità ordinaria.

3. Finalità del trattamento

I dati personali sono trattati per le seguenti finalità:

  1. abilitare l'accesso all'app e gestire l'autenticazione degli operatori autorizzati;
  2. consultare, creare, modificare e gestire agende, disponibilità, prenotazioni e dati connessi alle prestazioni sanitarie;
  3. consentire la comunicazione tra app e backend, la configurazione tecnica del servizio e la continuità operativa;
  4. garantire sicurezza, controllo accessi, logging tecnico, prevenzione degli abusi, gestione degli incidenti e difesa dei diritti del fornitore e/o della struttura sanitaria;
  5. fornire manutenzione correttiva, assistenza tecnica, supporto applicativo e gestione dei ticket;
  6. adempiere a obblighi di legge, richieste dell'autorità competente, obblighi regolatori, fiscali, civilistici o di conservazione documentale applicabili;
  7. svolgere, se del caso, audit tecnici, verifiche di sicurezza e controlli di conformità strettamente connessi alla fornitura del servizio.

I dati non sono trattati per finalità di marketing, profilazione commerciale, pubblicità comportamentale o vendita dei dati a terzi.

4. Base giuridica del trattamento e dati sanitari

4.1 Basi giuridiche ai sensi dell'art. 6 GDPR

  • Esecuzione del contratto o di misure precontrattuali (art. 6, par. 1, lett. b GDPR): per la fornitura del servizio applicativo alla struttura cliente, l'autenticazione degli utenti autorizzati e l'erogazione delle funzionalità essenziali dell'app.
  • Obbligo legale (art. 6, par. 1, lett. c GDPR): per gli adempimenti cui il Titolare o il Responsabile siano soggetti in base alla normativa applicabile.
  • Legittimo interesse (art. 6, par. 1, lett. f GDPR): per la sicurezza dei sistemi, la protezione dell'infrastruttura, il contrasto agli accessi abusivi, la gestione degli incidenti, il supporto tecnico e la tutela dei diritti del fornitore e dei clienti, purché tale interesse non prevalga sui diritti e le libertà degli interessati.
  • Consenso: il consenso non costituisce la base giuridica ordinaria per l'erogazione del servizio e per i trattamenti sanitari necessari alla gestione delle prenotazioni. Potrà essere utilizzato solo ove realmente richiesto dalla normativa applicabile o per trattamenti opzionali non necessari al funzionamento dell'app.

4.2 Dati relativi alla salute e art. 9 GDPR

Quando Agenda HT tratta dati che rientrano nelle categorie particolari di cui all'art. 9, par. 1 GDPR, il trattamento può essere lecito solo se ricorre anche una delle eccezioni previste dall'art. 9, par. 2 GDPR.

  • Se la struttura sanitaria cliente opera come Titolare del trattamento per i dati dei pazienti, la base di liceità ex art. 9 deve essere individuata da tale struttura in funzione del contesto normativo e organizzativo applicabile.
  • In ambito sanitario, la base più tipica è l'art. 9, par. 2, lett. h GDPR, relativo alla medicina preventiva, alla diagnosi, all'assistenza o terapia sanitaria oppure alla gestione dei sistemi e servizi sanitari, sulla base del diritto dell'Unione o degli Stati membri.
  • Ove applicabile, può rilevare anche l'art. 9, par. 2, lett. i GDPR, relativo a motivi di interesse pubblico nel settore della sanità pubblica, nei limiti previsti dal diritto applicabile.
  • HT Informatica, ove operi quale Responsabile del trattamento, non determina autonomamente la base giuridica sanitaria del cliente e tratta tali dati esclusivamente su istruzione documentata del Titolare, nel rispetto dell'art. 28 GDPR e delle misure di sicurezza applicabili.

Quando il trattamento si fonda sull'art. 9, par. 2, lett. h GDPR, esso deve avvenire da parte o sotto la responsabilità di soggetti tenuti al segreto professionale o a un equivalente obbligo di riservatezza previsto dal diritto applicabile, dalle regole organizzative della struttura sanitaria e/o dai contratti in essere.

5. Natura del conferimento dei dati

Il conferimento dei dati necessari all'autenticazione, alla configurazione del servizio e alla gestione delle prenotazioni è necessario per utilizzare Agenda HT. Il mancato conferimento di tali dati può impedire l'accesso all'app o l'erogazione delle relative funzionalità.

Eventuali dati ulteriori o facoltativi sono trattati solo se pertinenti rispetto alla finalità perseguita e, se necessario, previa individuazione di una specifica base giuridica.

6. Modalità del trattamento e funzionamento dell'app

  • L'app consente agli operatori autorizzati di visualizzare e gestire dati già presenti nel backend della struttura sanitaria o di inserirne di nuovi nell'ambito delle funzionalità consentite.
  • I dati di prenotazione e i dati dei pazienti sono normalmente trattati nel backend del servizio; l'app non è progettata per una conservazione locale massiva e permanente di tali dati sul dispositivo.
  • In locale possono essere memorizzati, nei limiti del necessario, configurazioni tecniche, identificativi operatore e credenziali tecniche di servizio, secondo le capacità di sicurezza offerte dalla piattaforma.
  • I token di sessione sono gestiti per consentire l'autenticazione applicativa e vengono invalidati secondo le regole di sicurezza del servizio, ad esempio a logout o alla scadenza della sessione.
  • L'app non prevede, nella configurazione ordinaria descritta da questa informativa, la registrazione self-service del paziente finale.
  • Agenda HT non adotta decisioni basate unicamente su trattamenti automatizzati che producano effetti giuridici o analogamente significativi sugli interessati.

7. Destinatari dei dati, fornitori e art. 28 GDPR

I dati possono essere trattati, nei limiti strettamente necessari, da:

  • personale autorizzato della struttura sanitaria cliente;
  • personale autorizzato di HT Informatica, su base need-to-know;
  • fornitori di hosting, infrastruttura, assistenza sistemistica, manutenzione applicativa e altri servizi tecnici strumentali alla fornitura della piattaforma;
  • autorità, enti pubblici o soggetti cui la comunicazione sia dovuta per legge;
  • consulenti o professionisti coinvolti nella gestione di contenziosi, audit o adempimenti normativi, nei limiti consentiti dalla legge.

Quando tali soggetti trattano dati per conto del Titolare o di HT Informatica, sono designati, ove necessario, quali Responsabili del trattamento o sub-responsabili, mediante accordi conformi all'art. 28 GDPR che disciplinano almeno: finalità, durata, natura del trattamento, categorie di dati, obblighi di riservatezza, misure di sicurezza, assistenza al Titolare, cancellazione o restituzione dei dati a fine rapporto e controlli sul rispetto delle istruzioni ricevute.

I dati non sono venduti, affittati o ceduti a terzi per finalità pubblicitarie. Non sono condivisi con data broker o con terze parti per tracking cross-context behavioral advertising.

8. Trasferimenti internazionali

In base all'assetto attualmente dichiarato, i dati trattati tramite Agenda HT sono destinati a essere ospitati e trattati in Italia o, comunque, all'interno dello Spazio Economico Europeo.

Qualora, in futuro, si rendesse necessario un trasferimento verso Paesi terzi o organizzazioni internazionali, tale trasferimento avverrà solo in presenza di una base giuridica adeguata e di idonee garanzie ai sensi del Capo V GDPR, ad esempio:

  • decisione di adeguatezza della Commissione Europea;
  • Clausole Contrattuali Standard integrate, ove necessario, da misure supplementari;
  • altri strumenti di trasferimento ammessi dalla normativa applicabile.

In tali casi, l'informativa e la documentazione contrattuale saranno aggiornate in modo da indicare il trasferimento, le categorie di destinatari coinvolte e le garanzie effettivamente adottate.

9. Conservazione dei dati

CategoriaDoveCriterio di conservazione
Dati di prenotazione e dati sanitari del backendBackend della struttura sanitaria o infrastruttura gestita per suo contoDa 6 a 12 mesi, secondo le istruzioni del Titolare sanitario, la tipologia del dato e le finalità del servizio, salvo periodi di conservazione più lunghi imposti dalla legge o da esigenze documentate di tutela dei diritti
Token di sessioneMemoria applicativaPer la durata della sessione o fino a logout, timeout o invalidazione
Configurazioni locali e credenziali tecnicheDispositivo dell'utente autorizzatoFino alla modifica, rimozione, disinstallazione o cessazione dell'abilitazione, salvo diverse regole tecniche della piattaforma
Log tecnici e di sicurezzaBackend e sistemi di monitoraggioDa 6 a 12 mesi, in funzione della tipologia di log, delle esigenze di sicurezza, audit, troubleshooting, continuità del servizio e difesa dei diritti, salvo ulteriori obblighi di legge
Dati di supporto e ticketSistemi di assistenza e corrispondenzaPer il tempo necessario a gestire la richiesta e, successivamente, per i tempi imposti da esigenze di tracciabilità, contestazione o obblighi di legge

Quando HT Informatica opera quale Responsabile del trattamento, non determina autonomamente le finalità del trattamento dei dati sanitari del cliente; i tempi di conservazione dei dati backend ospitati o gestiti per conto della struttura sono applicati secondo le istruzioni del Titolare, entro l'intervallo sopra indicato, salvo quanto strettamente necessario per backup tecnici, sicurezza, disaster recovery, gestione di incidenti o adempimenti di legge. Alla cessazione del rapporto, i dati sono restituiti, cancellati o anonimizzati secondo le istruzioni documentate del Titolare e le esigenze di conservazione residuale previste dalla legge.

10. Sicurezza del trattamento

Sono adottate misure tecniche e organizzative adeguate al rischio, tenendo conto della natura dei dati trattati e del contesto sanitario di utilizzo. Tali misure possono includere:

  • Ove tecnicamente possibile e configurato dalla struttura sanitaria, i dati in transito sono protetti mediante protocolli sicuri (es. HTTPS). In alcuni contesti operativi, la sicurezza della trasmissione può essere garantita tramite infrastrutture di rete protette (es. VPN, reti interne);
  • protezione dei dati a riposo, ove applicabile, in funzione dell'infrastruttura, del ruolo dei soggetti coinvolti e delle capacità tecniche della piattaforma;
  • gestione degli accessi secondo il principio del minimo privilegio, autenticazione, autorizzazioni profilate e tracciamento degli accessi rilevanti;
  • protezione delle credenziali tecniche persistenti mediante storage protetto del dispositivo, ove tecnicamente disponibile;
  • logging tecnico, monitoraggio, backup, continuità operativa e incident response;
  • misure di hardening, aggiornamento, manutenzione correttiva e verifiche di sicurezza proporzionate al servizio;
  • obblighi di riservatezza e autorizzazione formale per il personale che accede ai dati.

Allo stato attuale, l'app non dichiara funzionalità specifiche quali certificate pinning o autenticazione biometrica applicativa. L'adozione di ulteriori misure potrà essere valutata in base all'evoluzione dell'analisi dei rischi, delle piattaforme e dei requisiti di sicurezza del servizio.

11. Diritti degli interessati

Gli interessati possono esercitare i diritti previsti dagli artt. 15-22 GDPR, nei limiti e alle condizioni di legge, inclusi:

  • diritto di accesso ai dati personali;
  • diritto di rettifica dei dati inesatti o incompleti;
  • diritto alla cancellazione, ove applicabile;
  • diritto alla limitazione del trattamento;
  • diritto alla portabilità dei dati, ove applicabile;
  • diritto di opposizione nei casi previsti dalla legge;
  • diritto di revocare il consenso, nei soli casi in cui il trattamento si fondi sul consenso, senza pregiudicare la liceità del trattamento precedente;
  • diritto di proporre reclamo all'Autorità Garante per la protezione dei dati personali o all'autorità di controllo competente.

Quando HT Informatica tratta dati quale Responsabile del trattamento per conto della struttura sanitaria, le richieste relative ai dati dei pazienti devono essere indirizzate in primo luogo alla struttura sanitaria Titolare del trattamento. HT Informatica, nei limiti del proprio ruolo, collaborerà con il Titolare per fornire il supporto necessario.

12. Modalità di esercizio dei diritti

Le richieste privacy possono essere inviate a info@htinformatica.it oppure, se riferite ai dati trattati dalla struttura sanitaria cliente quale Titolare, direttamente alla struttura stessa secondo i canali da essa indicati.

Il riscontro è fornito, di norma, entro un mese dal ricevimento della richiesta, salvo proroga nei casi consentiti dal GDPR. Potrà essere richiesta documentazione aggiuntiva per verificare l'identità del richiedente e proteggere i dati da accessi non autorizzati.

13. Minori

Agenda HT non è destinata a minori di 16 anni. L'app è uno strumento professionale per operatori autorizzati. Se dovessero emergere dati riferiti a minori trattati al di fuori dei presupposti di legge o delle istruzioni del Titolare competente, dovranno essere adottate le misure correttive necessarie, inclusa la cancellazione ove dovuta.

14. Servizi di terze parti e collegamenti esterni

L'app non integra, per quanto dichiarato in questa versione, SDK di advertising, strumenti di tracking o analytics di terze parti destinati a profilazione o monetizzazione. Eventuali siti web o servizi esterni raggiungibili tramite link sono soggetti alle rispettive informative privacy, che devono essere consultate separatamente.

15. DPO e governance privacy

La necessità di nominare un Responsabile della protezione dei dati (DPO) deve essere valutata in concreto ai sensi dell'art. 37 GDPR, in particolare se le attività principali del Titolare o del Responsabile consistono nel trattamento su larga scala di categorie particolari di dati o in un monitoraggio regolare e sistematico su larga scala.

Alla data di aggiornamento di questa informativa, HT Informatica non ha nominato un DPO per questo trattamento. Il punto di contatto privacy di HT Informatica è info@htinformatica.it. Qualora in futuro venga nominato un DPO, i relativi recapiti saranno resi disponibili nella documentazione contrattuale, nell'informativa del Titolare competente o in un successivo aggiornamento della presente Privacy Policy.

16. Modifiche alla presente informativa

La presente Privacy Policy può essere aggiornata per riflettere modifiche normative, organizzative, contrattuali o tecniche. La versione pubblicata su questa pagina è quella attualmente vigente.

In caso di modifiche sostanziali che incidano in modo significativo sul trattamento dei dati, saranno adottate modalità di informazione adeguate al contesto, anche tramite la struttura sanitaria cliente o i canali di supporto disponibili.

17. Contatti

Tutte le informative