Come tratta i dati SeedNote
SeedNote è progettato perché il dato più sensibile — la voce della seduta — non esista più dopo pochi minuti dal momento in cui viene registrata. Il resto del sistema è costruito intorno a questa scelta.
Una seduta attraversa il sistema in otto passaggi. Ogni passaggio è documentato qui sotto con: dove avviene, quali dati transitano, e cosa succede al dato di origine.
eu-central-1 (Francoforte, Germania). Cifratura in transito via TLS, a riposo via SSE-S3.noreply@seednote.it. Layout curato, conforme al brand.Il sistema è disegnato perché il dato più ricco — la voce — abbia la vita più breve. Tutto ciò che viene conservato è materiale già distillato, filtrato dal terapeuta e ridotto a testo.
Tutta l'infrastruttura che tocca dati clinici risiede nell'Unione Europea. Il riferimento è la regione AWS eu-central-1, Francoforte (Germania).
Data residency · eu-central-1
Lo storage audio, la trascrizione, la generazione AI e l'invio email avvengono interamente all'interno dell'Unione Europea. Nessun dato clinico esce dall'EEA.
L'unica eccezione è il trasferimento di dati pseudonimizzati verso gli Stati Uniti generato dall'uso opzionale di Google Analytics e Meta Pixel sul sito di marketing (seednote.it). Tale trasferimento avviene esclusivamente sulla base del consenso ai cookie e nel quadro dell'EU-US Data Privacy Framework. Nessun dato clinico è mai coinvolto.
Tutti i fornitori che processano dati personali per conto del Titolare sono nominati responsabili del trattamento ai sensi dell'art. 28 GDPR ove applicabile.
| Fornitore | Ruolo nel sistema | Dati trattati | Regione |
|---|---|---|---|
| AWS · S3 | Storage temporaneo dell'audio prima della trascrizione | Audio (temporaneo) | Francoforte · eu-central-1 |
| AWS · Bedrock | Esecuzione del modello Claude (generazione bozza) | Trascrizione, prompt del terapeuta, bozza generata | Francoforte · eu-central-1 |
| Modal Labs | Esecuzione di Whisper large-v3 su GPU dedicata | Audio (in elaborazione), trascrizione | Regione EU |
| Anthropic | Modello linguistico Claude (eseguito da Bedrock, no training su dati clienti) | Trascrizione, prompt, bozza | eseguito in UE |
| Base44 | Piattaforma applicativa: database, sessioni, recap salvati | Anagrafiche, sessioni, trascrizioni, recap | UE |
| Brevo | Invio email delle restituzioni e comunicazioni di servizio | Nome paziente, email, contenuto restituzione | UE |
| Besked · WA Business | Notifica WhatsApp (solo avviso, nessun contenuto clinico) | Nome, numero di telefono | UE |
| Google · Identity | Autenticazione del terapeuta (OAuth + 2FA gestita da Google) | Email, nome | UE / EEA |
| Stripe | Elaborazione pagamenti dei pacchetti | Dati di fatturazione del terapeuta | UE / EEA |
| Cookiebot | Gestione del consenso ai cookie sul sito di marketing | Stato del consenso | UE |
| Google Analytics | Analisi del traffico sul sito (sito marketing, non app) | Dati di navigazione anonimizzati | UE · data residency |
| Meta Platforms · Pixel | Misurazione conversioni pubblicitarie (sito marketing) | Dati di navigazione pseudonimizzati | USA · DPF |
I dati sono cifrati sia mentre si muovono attraverso la rete, sia mentre vengono conservati. La cifratura non è un'opzione: è il default del sistema.
Ogni connessione fra browser, app, e fornitori terzi viaggia su HTTPS con TLS. Anche le chiamate interne fra servizi (S3 → Modal Labs, Modal Labs → Bedrock, Bedrock → Base44) sono cifrate end-to-end.
TLS 1.3
HTTPS only
HSTS
Il bucket S3 che ospita temporaneamente l'audio è cifrato a riposo tramite SSE-S3 (Server-Side Encryption gestita da AWS con chiavi AES-256). Il database applicativo cifra a riposo tutti i dati persistenti.
SSE-S3
AES-256
DB encryption
Il punto è semplice: SeedNote non conserva audio. Subito dopo la trascrizione, l'oggetto S3 che contiene la registrazione viene eliminato in modo programmatico e irreversibile. Non esiste un archivio audio, non esiste un backup audio, non c'è modo di ripristinare un audio.
- Trigger
- Termine della trascrizione (success o failure)
- Latenza
- Pochi minuti dal termine della seduta
- Operazione
DELETEdell'oggetto S3- Reversibile
- No · nessun versioning, nessun backup
- Trascrizione
- Testo · conservato finché il terapeuta lo mantiene
- Bozza AI
- Testo · conservato finché il terapeuta lo mantiene
- Recap finale
- Testo · conservato finché il terapeuta lo mantiene
- Audio
- Nulla. Mai.
SeedNote non gestisce password. L'autenticazione passa esclusivamente da Google Identity Services, il che significa che il terapeuta beneficia automaticamente delle politiche di sicurezza di Google — inclusa l'autenticazione a due fattori se attivata sul suo account.
- Sign-in unico — Login solo via Google. Nessuna password gestita da noi, nessun database di password.
- 2FA gestita da Google — Se attiva sull'account Google del terapeuta, si applica automaticamente all'accesso a SeedNote.
- Sessioni revocabili — Il terapeuta può revocare l'accesso dal proprio account Google in qualsiasi momento, interrompendo immediatamente la sessione SeedNote.
- Nessun login per il paziente — Il paziente non ha credenziali, non ha un'area riservata, non viene mai loggato. Riceve solo le email approvate dal suo terapeuta.
Ogni terapeuta vede esclusivamente i propri pazienti, le proprie sedute, le proprie restituzioni. L'isolamento è garantito a livello di database, non solo a livello di interfaccia.
- Livello
- Policy applicate dal motore del database, non dall'app
- Effetto
- Una query che chiedesse dati di un altro terapeuta non ne riceverebbe nessuno
- Bypass
- Impossibile dal codice client. Le policy sono lato server.
- Identità
- Ogni record è legato all'identità del terapeuta
- Audit
- Le query sui dati clinici passano attraverso il filtro RLS
- Backup
- Backup cifrati e segregati per ambiente
SeedNote usa due modelli, ciascuno con un ruolo limitato e specifico. Nessuno dei due fa diagnosi, nessuno dei due interpreta, nessuno dei due decide qualcosa al posto del terapeuta.
- Compito
- Trascrivere automaticamente l'audio in testo italiano
- Esecuzione
- Modal Labs, GPU dedicata, regione EU
- Training
- I dati di SeedNote non vengono usati per addestrare il modello
- Output
- Trascrizione testuale
- Compito
- Generare una bozza testuale di restituzione
- Esecuzione
- AWS Bedrock, regione UE (Francoforte)
- Training
- Bedrock non usa i prompt o gli output per il training di Anthropic
- Output
- Bozza in linguaggio naturale, mai inviata direttamente
L'AI non effettua diagnosi, non interpreta il contenuto clinico, non fornisce consigli terapeutici. Il suo ruolo si esaurisce nella trascrizione e nella generazione di un testo che il terapeuta dovrà comunque rivedere e approvare.
Il consenso informato del paziente non è un campo facoltativo: è un vincolo tecnico. La piattaforma impedisce la registrazione di sedute per un paziente di cui non sia stato caricato il consenso firmato.
- Generazione automatica del PDF — Il consenso viene generato dalla piattaforma con i dati corretti del terapeuta e del paziente.
- Upload del consenso firmato — Il terapeuta carica il PDF o la foto del documento firmato. Lo storage avviene su server UE.
- Sblocco tecnico — Solo dopo il caricamento del consenso il pulsante di registrazione diventa attivo per quel paziente.
- Revoca — Il consenso può essere revocato in qualsiasi momento; ciò impedisce ulteriori registrazioni e attiva le procedure di cancellazione previste dal GDPR.
Alcune cose meritano di essere dette per quello che non sono. Per chiarezza, e per chiudere obiezioni legittime.
Per ogni categoria di dato è specificato un tempo di conservazione preciso. Quando il dato non è più necessario, viene cancellato.
| Dato | Categoria | Periodo |
|---|---|---|
| Registrazione audio della seduta | art. 9 GDPR | ~ minuti · cancellata automaticamente dopo la trascrizione. Mai conservata. |
| Trascrizione della seduta | art. 9 GDPR | Per la durata del rapporto terapeutico o fino a cancellazione da parte del terapeuta |
| Restituzione scritta (recap) | art. 9 GDPR | Per la durata del rapporto terapeutico o fino a cancellazione da parte del terapeuta |
| Anagrafica del paziente | art. 6 GDPR | Fino a cancellazione da parte del terapeuta |
| Consenso informato firmato | obblighi di legge | Durata del rapporto + 10 anni successivi |
| Dati account terapeuta | obblighi fiscali | Durata dell'account + 10 anni successivi |
| Log applicativi | sicurezza · 6.1.f | Conservazione tecnica limitata; nessun contenuto clinico nei log |
| Cookie analitici / marketing | consenso | Vedi Cookie Policy |
Quando un terapeuta o un paziente esercita un diritto previsto dal GDPR, il risultato si traduce in un'azione concreta sul sistema.
| Diritto | Riferimento | Cosa succede nel sistema |
|---|---|---|
| Accesso | art. 15 | Esportiamo i dati personali in formato leggibile; il terapeuta può visualizzarli direttamente nella propria area |
| Rettifica | art. 16 | Modifica diretta dei campi attraverso l'interfaccia; per dati non modificabili dal terapeuta, ticket via PEC |
| Cancellazione | art. 17 | DELETE programmatico su tutti i record collegati al paziente o al terapeuta, fatti salvi gli obblighi di legge |
| Limitazione | art. 18 | Sospensione tecnica dell'elaborazione su un dato specifico |
| Portabilità | art. 20 | Export strutturato in JSON / CSV su richiesta |
| Opposizione | art. 21 | Disattivazione dei trattamenti basati su legittimo interesse (es. analytics) |
| Revoca consenso | art. 7 | Blocco immediato dei trattamenti basati su consenso; per il paziente, blocco delle registrazioni future |
Per esercitare i diritti scrivere alla PEC inaricreativestudio.srl@legalmail.it. I pazienti possono anche rivolgersi direttamente al proprio terapeuta. In ultima istanza, è sempre possibile reclamare al Garante per la Protezione dei Dati Personali.
Le scelte di architettura descritte fin qui esistono per soddisfare un insieme preciso di obblighi normativi e deontologici.