HalyaHalyaTorna al sito
Trasparenza e tutela dei dati

Informativa sulla privacy

Ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 (GDPR), del D.lgs. 196/2003 e della Legge 23 settembre 2025, n. 132.

Ultimo aggiornamento: 27 giugno 2026

1. Titolare del trattamento

Halya

Sede legale: [in aggiornamento]

P.IVA / C.F.: [in aggiornamento]

Email: privacy@halya.it

PEC: [in aggiornamento]

Per qualsiasi questione relativa al trattamento dei dati personali è possibile contattare il Titolare all'indirizzo email privacy@halya.it.

2. Definizioni e ambito di applicazione

Che cos'è Halya

Halya è una piattaforma digitale di supporto clinico destinata a psicoterapeuti e psicologi. La piattaforma consente la registrazione, trascrizione e analisi strutturata delle sedute terapeutiche mediante sistemi di intelligenza artificiale, al fine di supportare il ragionamento clinico del professionista.

Halya non è un dispositivo medico. Non interpreta, non diagnostica, non valuta. Ogni output generato dal sistema costituisce una bozza modificabile dal Terapeuta, il quale mantiene piena autonomia e responsabilità sulle decisioni cliniche, in conformità con l'art. 7 della Legge 132/2025.

Categorie di interessati

  • Terapeuti (Utenti della piattaforma): psicoterapeuti e psicologi che si registrano e utilizzano Halya.
  • Pazienti (Soggetti delle sedute): persone le cui sedute terapeutiche vengono registrate e analizzate attraverso la piattaforma. I Pazienti non accedono direttamente alla piattaforma; i loro dati sono trattati per il tramite del Terapeuta.

Rapporto tra Terapeuta e Halya

  • Il Terapeuta è titolare autonomo del trattamento dei dati dei propri pazienti nell'ambito dell'attività professionale, ai sensi dell'art. 4, n. 7 del GDPR.
  • Halya agisce in qualità di responsabile del trattamento (art. 28 GDPR) per i dati dei pazienti trattati per conto del Terapeuta attraverso la piattaforma.
  • Per i dati del Terapeuta stesso (dati di registrazione, utilizzo della piattaforma), Halya agisce in qualità di titolare del trattamento.

3. Dati personali trattati

Dati del Terapeuta (Utente)

CategoriaDatiFinalità
Dati identificativiNome, cognome, email, numero iscrizione all'AlboRegistrazione e autenticazione
Dati di autenticazioneCredenziali di accesso (password cifrata), eventuale Google IDAccesso alla piattaforma
Dati di utilizzoLog di accesso, azioni sulla piattaforma, preferenzeFunzionamento del servizio e sicurezza

Dati dei Pazienti (trattati per conto del Terapeuta)

CategoriaDatiFinalità
Dati identificativiNome, cognome, data di nascita, email (opzionale)Gestione anagrafica pazienti
Dati sanitari (art. 9 GDPR)Registrazioni audio, trascrizioni, analisi AI, note del terapeutaSupporto al percorso terapeutico
Dati derivati dall'AIRiassunti, emozioni espresse, credenze, pattern, catene cognitive, formulazione del casoSupporto al ragionamento clinico

Dati NON raccolti: Halya non raccoglie dati di profilazione commerciale, dati biometrici, dati di geolocalizzazione, né dati attraverso cookie di tracciamento di terze parti.

4. Finalità e basi giuridiche del trattamento

Trattamento dei dati del Terapeuta

FinalitàBase giuridicaRiferimento
Esecuzione del contratto di servizioEsecuzione di un contratto (art. 6, lett. b GDPR)Necessario per la fornitura del servizio
Sicurezza della piattaforma e prevenzione abusiLegittimo interesse del Titolare (art. 6, lett. f GDPR)Protezione dell'integrità del sistema e dei dati
Comunicazioni di servizioEsecuzione del contratto (art. 6, lett. b GDPR)Comunicazioni strettamente necessarie al servizio
Adempimenti fiscali e contabiliObbligo di legge (art. 6, lett. c GDPR)Normativa fiscale applicabile

Trattamento dei dati dei Pazienti

FinalitàBase giuridicaRiferimento
Trascrizione e anonimizzazione delle registrazioni audioConsenso esplicito del Paziente (art. 9, lett. a GDPR)Consenso specifico per ogni seduta
Analisi della seduta tramite AIConsenso esplicito del Paziente (art. 9, lett. a) e art. 9, lett. h GDPRIn combinato con le garanzie di cui all'art. 9, par. 3 GDPR
Conservazione del percorso terapeuticoConsenso esplicito del Paziente e interesse vitale in ambito sanitario (art. 9, lett. c GDPR)Continuità assistenziale

Nota importante: il Terapeuta è responsabile della raccolta del consenso esplicito del Paziente prima di ogni seduta registrata attraverso la piattaforma, ai sensi dell'art. 9, par. 2, lett. a) del GDPR. Halya richiede al Terapeuta di confermare l'avvenuta raccolta del consenso prima di consentire la registrazione.

5. Trattamento mediante intelligenza artificiale

In conformità con la Legge 23 settembre 2025, n. 132 (artt. 7 e 8), il Regolamento (UE) 2024/1689 (AI Act) e il Decalogo del Garante Privacy per la realizzazione di servizi sanitari tramite AI (ottobre 2023, doc. web n. 9938038), si forniscono le seguenti informazioni specifiche:

Natura del sistema AI

  • Halya utilizza modelli di intelligenza artificiale generativa per strutturare e organizzare le informazioni emergenti dalle sedute terapeutiche.
  • Il sistema non effettua diagnosi, non formula prognosi, non fornisce indicazioni terapeutiche e non costituisce un dispositivo medico.
  • Ogni output è contrassegnato come bozza modificabile dal Terapeuta.

Logica del trattamento automatizzato

  1. Trascrizione audio — conversione del parlato in testo mediante modelli di riconoscimento vocale.
  2. Anonimizzazione — rimozione automatica di dati identificativi diretti (numeri di telefono, indirizzi email, codici fiscali, indirizzi postali) prima dell'analisi AI.
  3. Analisi strutturata — organizzazione del testo in categorie descrittive (eventi, emozioni, credenze, strutture relazionali, pattern longitudinali).
  4. Apprendimento dallo stile — il sistema tiene conto delle correzioni apportate dal Terapeuta per adattare le analisi successive al suo linguaggio e approccio clinico.

Supervisione umana (art. 7 Legge 132/2025)

  • Nessun output del sistema viene utilizzato o considerato definitivo senza la revisione del Terapeuta.
  • Il Terapeuta può modificare, correggere, eliminare o ignorare qualsiasi analisi prodotta dal sistema.
  • Il sistema non prende decisioni autonome che producano effetti giuridici o significativi sugli interessati.
  • Non viene effettuata alcuna profilazione ai sensi dell'art. 22 GDPR.

Dati utilizzati per l'addestramento: i dati delle sedute dei Pazienti non vengono in nessun caso utilizzati per l'addestramento o il miglioramento dei modelli AI di terze parti. L'analisi avviene attraverso API di inferenza senza retention dei dati da parte del fornitore del modello.

6. Misure di sicurezza e protezione dei dati

Anonimizzazione automatica (Privacy by Design)

In conformità all'art. 25 del GDPR (protezione dei dati fin dalla progettazione):

  • Le registrazioni audio vengono trascritte e immediatamente anonimizzate prima di qualsiasi analisi AI.
  • L'anonimizzazione rimuove automaticamente: numeri di telefono, indirizzi email, codici fiscali, indirizzi postali e codici di avviamento postale.
  • I dati trasmessi al modello AI sono esclusivamente trascrizioni anonimizzate, prive di elementi identificativi diretti.

Misure tecniche

  • Cifratura in transito: tutte le comunicazioni avvengono tramite protocollo TLS 1.2 o superiore.
  • Cifratura a riposo: i dati sono conservati su database cifrati.
  • Autenticazione: accesso tramite token JWT con scadenza temporale, autenticazione a due fattori disponibile tramite Google OAuth.
  • Controllo degli accessi: ogni Terapeuta accede esclusivamente ai dati dei propri pazienti; non è previsto alcun accesso incrociato.
  • Backup: backup regolari con cifratura.
  • Logging: registrazione degli accessi per finalità di sicurezza e audit.

Misure organizzative

  • Formazione del personale autorizzato al trattamento.
  • Policy interne di gestione degli incidenti di sicurezza.
  • Procedure di notifica data breach (art. 33 GDPR) entro 72 ore dalla scoperta.
  • Valutazione d'impatto sulla protezione dei dati (DPIA) effettuata ai sensi dell'art. 35 GDPR.

7. Responsabili del trattamento e destinatari dei dati

Responsabili del trattamento (art. 28 GDPR)

I dati personali possono essere trattati, per conto del Titolare, dai seguenti soggetti nominati responsabili del trattamento:

FornitoreServizioSedeDati trattati
Mistral AI (Mistral AI SAS)Trascrizione audio, analisi AI, generazione embeddingFrancia (UE)Trascrizioni anonimizzate (nessun dato identificativo diretto)
Resend Inc.Invio email transazionali (reset password, notifiche)UE/USA con SCCIndirizzo email del Terapeuta
Fornitore hostingHosting infrastruttura (database, storage, API)UETutti i dati della piattaforma, cifrati

Con ciascun responsabile è stato stipulato un accordo sul trattamento dei dati (Data Processing Agreement) ai sensi dell'art. 28 GDPR.

Soggetti autorizzati

I dati personali sono trattati da personale del Titolare, debitamente autorizzato e istruito ai sensi dell'art. 29 GDPR e dell'art. 2-quaterdecies del Codice Privacy.

Comunicazione e diffusione

I dati personali non sono comunicati a terzi per finalità proprie, non sono diffusi e non sono venduti. Non viene effettuata alcuna cessione di dati a terzi per finalità di marketing, profilazione o addestramento di modelli AI.

8. Trasferimento dei dati al di fuori dell'UE/SEE

Principio generale

Halya privilegia il trattamento dei dati all'interno dell'Unione Europea / Spazio Economico Europeo. In particolare:

  • L'analisi AI avviene tramite Mistral AI, società con sede in Francia — i dati non lasciano il territorio dell'UE.
  • L'infrastruttura principale (database, storage) è ospitata su server europei.

Trasferimenti verso paesi terzi

Qualora alcuni sub-responsabili abbiano sede al di fuori dell'UE/SEE (es. servizi email), il trasferimento avviene esclusivamente sulla base di:

  • Decisioni di adeguatezza della Commissione Europea (art. 45 GDPR), ove disponibili.
  • Clausole contrattuali standard (SCC) adottate dalla Commissione Europea (art. 46, par. 2, lett. c GDPR).
  • Misure supplementari di natura tecnica e organizzativa, ove necessarie a seguito della valutazione del rischio (in conformità alle Raccomandazioni 01/2020 dell'EDPB).

9. Periodo di conservazione dei dati

Categoria di datiPeriodo di conservazioneMotivazione
Dati del Terapeuta (account)Per tutta la durata del rapporto contrattuale + 10 anniObblighi fiscali e contabili
Dati anagrafici dei PazientiPer tutta la durata del rapporto tra Terapeuta e Paziente, fino a cancellazione da parte del TerapeutaGestione del percorso terapeutico
Registrazioni audioFino a cancellazione da parte del Terapeuta, e in ogni caso non oltre 12 mesi dalla fine del percorso terapeuticoMinimizzazione dei dati
Trascrizioni anonimizzatePer tutta la durata del percorso terapeutico + 5 anniContinuità assistenziale e obblighi di documentazione clinica
Analisi AI (halya_raw, halya_final)Per tutta la durata del percorso terapeutico + 5 anniContinuità assistenziale
Correzioni del TerapeutaPer tutta la durata del rapporto contrattualeMiglioramento delle analisi per lo specifico Terapeuta
Log di accesso e sicurezza12 mesiSicurezza e audit

Al termine dei periodi indicati, i dati vengono cancellati in modo sicuro o irreversibilmente anonimizzati.

10. Diritti degli interessati

Diritti del Terapeuta

In qualità di interessato, il Terapeuta può esercitare in qualsiasi momento i seguenti diritti rivolgendosi al Titolare:

  • Diritto di accesso (art. 15 GDPR): ottenere conferma dell'esistenza di un trattamento e accedere ai propri dati.
  • Diritto di rettifica (art. 16 GDPR): ottenere la correzione di dati inesatti.
  • Diritto alla cancellazione (art. 17 GDPR): ottenere la cancellazione dei propri dati, nei limiti previsti dalla legge.
  • Diritto di limitazione (art. 18 GDPR): ottenere la limitazione del trattamento in determinati casi.
  • Diritto alla portabilità (art. 20 GDPR): ricevere i propri dati in formato strutturato e leggibile da dispositivo automatico.
  • Diritto di opposizione (art. 21 GDPR): opporsi al trattamento basato su legittimo interesse.
  • Diritto di non essere sottoposto a decisioni automatizzate (art. 22 GDPR): Halya non adotta decisioni basate unicamente su trattamento automatizzato che producano effetti giuridici. Ogni output AI richiede la revisione del Terapeuta.

Diritti del Paziente

Il Paziente può esercitare i propri diritti:

  • Direttamente presso il Terapeuta, in quanto titolare autonomo del trattamento dei dati del Paziente nell'ambito del rapporto professionale.
  • Presso Halya, in quanto responsabile del trattamento, che inoltrerà la richiesta al Terapeuta competente, nel rispetto dell'art. 28, par. 3, lett. e) del GDPR.

Revoca del consenso

Il consenso prestato dal Paziente alla registrazione e analisi della seduta può essere revocato in qualsiasi momento, senza pregiudicare la liceità del trattamento basato sul consenso prestato prima della revoca (art. 7, par. 3 GDPR). La revoca va comunicata al Terapeuta.

Modalità di esercizio

I diritti possono essere esercitati inviando una richiesta a:

Email: privacy@halya.it

PEC: [in aggiornamento]

Il Titolare risponderà entro 30 giorni dalla ricezione della richiesta, prorogabili di ulteriori 60 giorni in caso di complessità o numerosità delle richieste, con comunicazione motivata all'interessato (art. 12, par. 3 GDPR).

Reclamo all'Autorità di controllo

L'interessato ha il diritto di proporre reclamo al Garante per la protezione dei dati personali:

  • Sito web: www.garanteprivacy.it
  • Email: garante@gpdp.it
  • PEC: protocollo@pec.gpdp.it
  • Centralino: (+39) 06.696771

12. Valutazione d'impatto (DPIA)

Ai sensi dell'art. 35 del GDPR, il Titolare ha effettuato una Valutazione d'impatto sulla protezione dei dati (DPIA) in considerazione di:

  • Trattamento su larga scala di categorie particolari di dati (dati sanitari, art. 9 GDPR).
  • Utilizzo di sistemi di intelligenza artificiale per il trattamento di dati relativi a persone vulnerabili.
  • Trattamento automatizzato con analisi sistematica di dati personali.

La DPIA è a disposizione del Garante per la protezione dei dati personali su richiesta.

Conformemente all'art. 8, comma 5 della Legge 132/2025, i trattamenti effettuati mediante il sistema AI sono stati comunicati al Garante per la protezione dei dati personali.

13. Responsabile della protezione dei dati (DPO)

Il Titolare ha valutato, ai sensi dell'art. 37 GDPR, che la nomina di un DPO non è obbligatoria per la propria organizzazione. Resta comunque disponibile il punto di contatto per la protezione dei dati: privacy@halya.it.

14. Minori

Halya non è destinata al trattamento diretto di dati di minori. La piattaforma è rivolta esclusivamente a professionisti sanitari iscritti all'Albo. Qualora il Terapeuta tratti dati di pazienti minorenni, è responsabilità del Terapeuta acquisire il consenso del genitore o tutore legale, ai sensi dell'art. 8 del GDPR e dell'art. 2-quinquies del Codice Privacy.

15. Modifiche alla presente informativa

Il Titolare si riserva il diritto di modificare la presente informativa in qualsiasi momento, dandone comunicazione agli Utenti tramite la piattaforma e/o via email. Le modifiche saranno efficaci dalla data di pubblicazione della versione aggiornata.

Si invitano gli Utenti a consultare periodicamente la presente informativa per prendere visione di eventuali aggiornamenti.

16. Riferimenti normativi

  • Regolamento (UE) 2016/679 — Regolamento Generale sulla Protezione dei Dati (GDPR)
  • D.lgs. 30 giugno 2003, n. 196 — Codice in materia di protezione dei dati personali
  • D.lgs. 10 agosto 2018, n. 101 — Disposizioni di adeguamento al GDPR
  • Regolamento (UE) 2024/1689 — Regolamento sull'intelligenza artificiale (AI Act)
  • Legge 23 settembre 2025, n. 132 — Disposizioni in materia di intelligenza artificiale
  • Decalogo del Garante Privacy per la realizzazione di servizi sanitari tramite AI (ottobre 2023, doc. web n. 9938038)
  • Comunicato del Garante Privacy su referti medici e IA (luglio 2025, doc. web n. 10154670)
  • Linee guida del Garante Privacy in materia di cookie (giugno 2021, doc. web n. 9677876)
  • Raccomandazioni 01/2020 dell'EDPB sulle misure supplementari per i trasferimenti internazionali

Halya — Il tuo studio digitale

privacy@halya.it