v. 2.0 - Ultimo Aggiornamento: 15/05/2025

Attraverso la presente informativa privacy redatta ai sensi degli artt. 13-14 Reg. (UE) n. 679/2016 (“Regolamento” o “GDPR”) e in osservanza dei princìpi ivi contenuti, Flexi S.r.l. desidera informarti circa le modalità di trattamento dei dati personali dell’utente (“Interessato”), che vengono raccolti e trattati tramite il sito https://salupay.it/ (“Sito”) e la web-app https://app.salupay.it/ (l“App”), una piattaforma SaaS che offre a professionisti e strutture in ambito sanitario (congiuntamente “Cliente”) soluzioni per ottimizzare la gestione degli incassi (“Salupay Incassi”) e la gestione delle pratiche assicurative (“Salupay Claim”).

Eventuali siti internet di terzi consultabili tramite link restano soggetti all’informativa privacy fornita dal gestore del relativo sito terzo. Ti invitiamo a prendere visione di tali documenti prima di navigare sui siti terzi.

INDICE

Chi determina le finalità e le modalità del trattamento dei dati personali?
Quali categorie di dati personali sono oggetto di trattamento?
Per quali finalità vengono trattati i dati personali, su quale base giuridica e per quanto tempo vengono conservati?
A quali soggetti possono essere comunicati i dati personali?
I dati personali possono essere trasferiti verso Paesi terzi? In tal caso, con quali garanzie?
Quali diritti possono essere esercitati in relazione al trattamento dei dati personali e con quali modalità?

1. CHI DETERMINA LE FINALITÁ E LE MODALITÁ DEI DATI PERSONALI?

Titolare del trattamento dei dati è Flexi S.r.l., P.IVA 13235870964, con sede legale in Via Emilio Morosini 40 - 20135, Milano, e-mail: [email protected] (di seguito “Titolare” o “Società”).

Con riferimento ai trattamenti di dati personali effettuati nell’ambito dei servizi Salupay Incassi e Claim, a seconda delle circostanze, la Società può operare sia in qualità di titolare del trattamento, sia in qualità di responsabile del trattamento.

La Società agisce come:

(i) Titolare del trattamento ai sensi dell’art. 4, par. 1, n. 7 del GDPR in relazione alle finalità del trattamento meglio descritte al successivo par. 3.

(ii) Responsabile del trattamento ai sensi dell’art. 4, par. 1, n. 8 GDPR, quando tratta dati personali per conto del Cliente che usufruisce dei predetti servizi tramite l’App per raccogliere e trattare dati personali dei propri utenti determinando autonomamente le finalità e i mezzi essenziali del trattamento. In questo caso, il Cliente designa formalmente la Società quale responsabile del trattamento ai sensi dell'accordo per il trattamento dati ex art. 28 GDPR messo a disposizione dalla Società.

2. QUALI CATEGORIE DI DATI PERSONALI SONO OGGETTO DI TRATTAMENTO?

Nel corso dell’utilizzo del Sito e dell’App nonché nell’ambito dell’instaurazione e della gestione dei rapporti precontrattuali o contrattuali, la Società tratta diverse categorie di dati personali, a seconda delle specifiche modalità di interazione con i servizi offerti.

2.1 Dati forniti volontariamente

i) Interazione tramite moduli o contatti diretti

dati anagrafici: nome, cognome, codice fiscale, data e luogo di nascita;
dati di contatto: indirizzo e-mail, numero di telefono, domicilio;
dati legati alla richiesta: oggetto della richiesta, messaggio, eventuali allegati e contenuti forniti liberamente dall’Interessato.

ii) Registrazione all’App o accesso ad aree riservate

dati di accesso: username e password crittografata;
dati identificativi: copia o riferimenti del documento d'identità (tipo, numero, autorità di rilascio, data di rilascio e scadenza);
preferenze di configurazione dell’ account (es. lingua, notifiche, moduli attivati);
dati professionali: denominazione della struttura o dello studio, ruolo ricoperto, specializzazione medica o ambito di attività;
dati identificativi fiscali: partita IVA e/o codice SDI.

iii) Richieste di supporto o assistenza

contenuti delle comunicazioni inviate tramite moduli di ticketing, email o PEC;
eventuali documenti allegati o dettagli sulle problematiche segnalate;
riferimenti alla struttura richiedente o al servizio in uso.

iv) Utilizzo dei servizi

dati contabili e fiscali: intestazione della fattura, partita IVA, codice SDI, importi, scadenze e altre informazioni necessarie alla registrazione contabile e alla gestione amministrativa;

dati di pagamento: IBAN, intestazione bancaria, dettagli parziali della carta di credito o debito, causale dell’operazione, storico dei pagamenti;
dati del referente amministrativo: nome, cognome e contatti del soggetto incaricato di ricevere comunicazioni di natura fiscale o contabile.

v) Partecipazione a survey, sondaggi o invio di feedback

risposte a survey: valutazioni numeriche, selezioni multiple, suggerimenti o commenti;
feedback testuali: opinioni spontanee sul servizio, problematiche riscontrate, proposte di miglioramento.

2.2 Dati raccolti automaticamente

I sistemi informatici e le procedure software preposte al funzionamento del Sito e dell’App acquisiscono, nel corso del loro normale esercizio, alcuni dati personali la cui trasmissione è implicita nell’uso dei protocolli di comunicazione di Internet.

Si tratta di informazioni che non sono raccolte per essere associate a interessati identificati, ma che per loro stessa natura potrebbero, attraverso elaborazioni ed associazioni con dati detenuti da terzi, permettere di identificare gli interessati.

i) Navigazione e utilizzo del Sito e dell’App

dati di navigazione: indirizzo IP, tipo e versione del browser, sistema operativo, lingua del dispositivo, risoluzione dello schermo, data e ora di accesso, URL di provenienza, tempo di permanenza sulle pagine e percorsi di navigazione all’interno del sito o dell’App;
dati di utilizzo: log di accesso, azioni effettuate (es. login, invio di richieste, aggiornamento di impostazioni), frequenza e modalità di utilizzo delle funzionalità, preferenze salvate.

ii) Cookies

Il Sito e l’App utilizzano solo cookie tecnici, rispetto ai quali, ai sensi dell’art. 122 D. Lgs. 196/2003 e s.m.i. (“Codice Privacy”) e delle “Linee Guida cookie e altri strumenti di tracciamento” del Garante per la Protezione dei Dati Personali di data 10 giugno 2021, non è richiesto alcun consenso da parte dell’interessato. Più precisamente utilizziamo cookie tecnici necessari alla navigazione da parte dell’utente, in assenza dei quali il Sito/App o alcune porzioni di essi potrebbero non funzionare correttamente. Pertanto, vengono sempre utilizzati, indipendentemente dalle preferenze dell’utente.

3. PER QUALI FINALITÀ VENGONO TRATTATI I DATI PERSONALI, SU QUALE BASE GIURIDICA E PER QUANTO TEMPO VENGONO CONSERVATI?

Il Titolare acquisisce e tratta dati personali dell’Interessato per le finalità di seguito specificate. Il trattamento è legittimato dalla base giuridica evidenziata per ciascuna finalità ai sensi dell’art. 6 del Regolamento.

I dati saranno conservati in una forma che consenta l’identificazione dell’Interessato per un arco di tempo non superiore al conseguimento delle finalità indicate, nel rispetto del principio di minimizzazione di cui all’art. 5.1 c) GDPR.

Finalità

Base giuridica

Periodo di conservazione

Fruizione e controllo funzionamento di Sito/App e sicurezza informatica

I dati verranno trattati per permettere all’Interessato di accedere e navigare correttamente sul Sito e sull’App, oltre che per garantire la sicurezza dei sistemi, prevenire accessi non autorizzati e monitorare eventuali anomalie.

Interesse legittimo del Titolare [art. 6.1 f) GDPR]

I dati saranno trattati per il tempo necessario a risolvere eventuali bug e malfunzionamenti di Sito/App, nonché per tutto il tempo previsto dalle normative di legge a cui la Società deve attenersi.

Registrazione e accesso all’App

I dati verranno trattati per consentire all’Interessato di registrarsi, configurare il profilo, gestire le impostazioni personali e accedere alle funzionalità attivate.

Esecuzione di misure precontrattuali e di contratto

[art. 6.1 b) GDPR].

I dati saranno conservati per l’intera durata del rapporto contrattuale, salvo obblighi legali o richieste dell’autorità giudiziaria che giustifichino un’ulteriore conservazione.

Gestione di richieste e assistenza clienti

I dati forniti verranno trattati per gestire e rispondere a richieste di informazioni e di supporto, nonché allo scopo di assistere l’Interessato prima, durante e dopo la fornitura dei servizi.

Esecuzione di misure precontrattuali e di contratto

[art. 6.1 b) GDPR].

I dati saranno conservati per il tempo necessario a gestire la richiesta e successivamente conservati per ulteriori 2 anni.

Verifica e gestione dei pagamenti

I dati verranno trattati per verificare lo stato dei pagamenti ricevuti, gestire eventuali solleciti e comunicazioni contabili, anche tramite provider esterni.

Esecuzione di misure precontrattuali e di contratto

[art. 6.1 b) GDPR].

I Dati saranno conservati per l’intera durata del rapporto contrattuale e, successivamente, per un periodo massimo di 10 anni dalla cessazione.

Adempimento di obblighi di legge

I dati saranno trattati al fine di adempiere a obblighi derivanti dalla legge vigente, regolamenti o normativa comunitaria (es. obblighi fiscali e contabili) ovvero gestione e risposta a richieste provenienti dalle competenti autorità amministrative e fiscali oltre che dall'autorità giudiziaria.

Obbligo di legge

[art. 6.1 c) GDPR].

In base alla normativa applicabile.

Customer Satisfaction e miglioramento dei prodotti/servizi del Titolare

La Società potrebbe trattare i dati dell’Interessato per svolgere survey e/o sondaggi al fine di valutare il rendimento e il livello di gradimento dei servizi offerti.

Interesse legittimo

[art. 6.1 f) GDPR]

ascrivibile alla necessità di migliorare i servizi offerti agli Interessati.

I dati personali saranno conservati per non più di 6 mesi dalla partecipazione al sondaggio.

Marketing diretto

I dati personali saranno trattati per attività di marketing diretto, vale a dire per l’invio (tramite sms, e-mail, posta cartacea, social media, chiamata con operatore, push notification etc.) di comunicazioni aventi contenuto promozionale e/o pubblicitario dei prodotti o servizi offerti dal Titolare.

Consenso

[art. 6.1 a) GDPR].

I dati personali saranno conservati fino alla revoca del consenso o all’opposizione al trattamento e comunque non oltre 2 anni dalla data di ultimo contatto.

Gestione reclami, tutela degli interessi ed esercizio dei diritti

Il Titolare potrà trattare i dati degli interessati per esercitare e tutelare i propri diritti in sede stragiudiziale e giudiziale.

Interesse legittimo

[Art. 6.1 f) GDPR] ascrivibile alla necessità di accertare, esercitare o difendere un diritto e/o un interesse.

I dati personali saranno conservati per il periodo necessario a difendere o esercitare il diritto.

Attività connesse al perfezionamento di operazioni societarie.

I dati saranno trattati al fine di consentirne la comunicazione nelle ipotesi di operazioni societarie.

Interesse legittimo

[art. 6.1 f) GDPR] ascrivibile alla necessità di finalizzare le operazioni societarie.

I dati personali saranno conservati per il tempo necessario a tale finalità.

Con riferimento alle finalità sub b), c) e d) il conferimento dei dati è necessario per dare esecuzione al contratto o a misure precontrattuali adottate su tua richiesta. Il mancato conferimento comporterà l’impossibilità per la Società di instaurare o proseguire il rapporto contrattuale e, di conseguenza, di fornire i relativi servizi.

Le attività di trattamento sub a), f), h) e i) non necessitano del tuo specifico consenso essendo basate sul legittimo interesse del Titolare previsto dall'art. 6, c. 1, lett. f) del GDPR. Tali interessi legittimi sono stati oggetto di un bilanciamento accurato rispetto ai diritti e alle libertà fondamentali degli interessati, nel rispetto dei principi di proporzionalità, minimizzazione e trasparenza.

La finalità sub e) comporta un conferimento obbligatorio dei dati, in quanto necessario per adempiere agli obblighi previsti dalla normativa vigente, ivi inclusi quelli di natura fiscale, contabile o connessi a richieste delle autorità competenti. L’assenza dei dati richiesti impedirebbe al Titolare di adempiere correttamente a tali obblighi di legge.

La finalità sub g) si basa sull’acquisizione di un consenso libero, specifico, informato e inequivocabile da parte dell’Interessato. Il conferimento dei dati per tali finalità è facoltativo e l’eventuale rifiuto non pregiudica in alcun modo l’accesso ai servizi offerti. Il consenso eventualmente prestato potrà essere revocato in qualsiasi momento, senza pregiudicare la liceità del trattamento basata sul consenso prima della revoca.

4. A QUALI SOGGETTI POSSONO ESSERE COMUNICATI I DATI PERSONALI?

I dati potranno essere comunicati, nei limiti delle finalità indicate nella presente informativa e nel rispetto del principio di minimizzazione (art. 5 GDPR), alle seguenti categorie di destinatari:

Fornitori di servizi IT: i dati potranno essere comunicati a soggetti terzi che forniscono al Titolare servizi funzionali all’erogazione del Sito, dell’App e dei servizi connessi (es. provider cloud, gestori di servizi IT, hosting, manutenzione, assistenza tecnica, ecc.).
Fornitori di servizi di pagamento, istituti di credito e compagnie assicurative: con riferimento a Salupay Incassi e Salupay Claim, alcuni dati potranno essere comunicati a fornitori di servizi di pagamento, banche e compagnie assicurative.
Studi professionali, professionisti e consulenti: i dati potranno essere comunicati a soggetti esterni che assistono la Società sotto il profilo legale, fiscale, contabile, assicurativo o di compliance normativa, nella misura in cui tale comunicazione sia necessaria per l’adempimento degli obblighi legali o per la tutela dei diritti del Titolare.
Enti pubblici e Autorità competenti: i dati potranno essere comunicati ad autorità amministrative, fiscali, giudiziarie o di pubblica sicurezza, su richiesta motivata o per adempiere a un obbligo di legge, in conformità all’art. 6, par. 1, lett. c) GDPR.
Soggetti terzi coinvolti in operazioni societarie: i dati potranno essere comunicati a soggetti terzi coinvolti in eventuali operazioni straordinarie (ad es. fusioni, acquisizioni, cessioni d’azienda o di ramo d’azienda, joint venture e altre operazioni), nei limiti strettamente necessari alla valutazione e realizzazione dell’operazione.

I soggetti sopra elencati tratteranno i dati in qualità di autonomi Titolari del trattamento oppure di Responsabili del trattamento.
L’elenco aggiornato dei Responsabili del trattamento è disponibile su richiesta, contattando il Titolare del trattamento ai recapiti indicati nella presente informativa.

I tuoi dati saranno altresì trattati dal personale interno del Titolare specificamente autorizzato ai sensi dell’art. 29 del GDPR.

5. I DATI PERSONALI POSSONO ESSERE TRASFERITI VERSO PAESI TERZI? IN TAL CASO, CON QUALI GARANZIE?

Di regola non trasferiamo i dati verso Paesi al di fuori dell’Unione Europea. Tuttavia, poiché alcuni importanti fornitori di servizi IT hanno sede al di fuori dell’Unione Europea (es. fornitori servizi cloud), utilizzando i nostri servizi i tuoi dati potrebbero essere conservati su server ubicati al di fuori del territorio europeo.

In tali ipotesi, garantiamo che il trattamento dei dati personali viene effettuato in conformità alla legge applicabile, adottando garanzie adeguate (quali ad es. decisioni di adeguatezza, clausole contrattuali standard approvate dalla Commissione europea o altre garanzie previste dal GDPR) nonché misure di sicurezza adatte e appropriate per tutelare la riservatezza dei tuoi dati.

Maggiori informazioni sui trasferimenti e sulle garanzie adottate possono essere richieste scrivendo ai recapiti indicati al precedente paragrafo 1.

6. QUALI DIRITTI POSSONO ESSERE ESERCITATI IN RELAZIONE AL TRATTAMENTO DEI DATI PERSONALI E CON QUALI MODALITÀ?

L’ Interessato ha il diritto di:

ricevere conferma del trattamento dei dati, richiedere accesso e copia degli stessi;
chiedere la rettifica o l’aggiornamento dei dati, ove inesatti o incompleti;
domandare, al ricorrere di talune circostanze, la cancellazione dei dati ad esso riferibili ovvero la limitazione del trattamento avente come oggetto tali dati;
opporsi al trattamento, fatta salva l'esistenza di un prevalente motivo legittimo della Società alla prosecuzione del trattamento;
revocare il consenso, ove prestato, alle attività di marketing;
richiedere la portabilità del dato, ove applicabile;
proporre reclamo al Garante per la Protezione dei Dati Personali (www.garanteprivacy.it) o di adire le opportune sedi giudiziarie.

Ai sensi dell'articolo 2-terdecies del Codice Privacy, in caso di decesso i diritti anzidetti riferiti ai dati personali dell’Interessato possono essere esercitati da chi ha un interesse proprio, o agisce a sua tutela in qualità di mandatario, o per ragioni familiari meritevoli di protezione. Resta ferma la possibilità per l’Interessato di vietare espressamente l'esercizio di alcuni dei diritti sopraelencati inviando una dichiarazione scritta alla Società all'indirizzo di posta elettronica indicato sotto. La dichiarazione potrà essere revocata o modificata in seguito nelle medesime modalità.

I diritti di cui sopra potranno essere esercitati nei confronti del Titolare scrivendo all’indirizzo e-mail [email protected]