Informativa sulla Privacy

L'entità responsabile del trattamento dei tuoi dati personali è:

• Piattaforma: Genomic Analysis Engine
• Sito web: dnainfolab.org
• Contatto: [email protected]

Raccogliamo e trattiamo i seguenti dati, forniti volontariamente o generati automaticamente:

• Dati di account: nome utente, email (se accedi con Google), password hashata (bcrypt). Non archiviamo mai password in chiaro.
• Dati genetici (categoria speciale ex art. 9 GDPR): SNP dal file DNA che carichi e i punteggi di rischio derivati.
• Dati di sessione: ID sessione in cookie HttpOnly per mantenerti connesso.
• Dati tecnici: indirizzo IP e user-agent, registrati solo nei log di errore (conservati 90 giorni).

I tuoi dati vengono trattati esclusivamente per le seguenti finalità:

• Creare e gestire il tuo account.
• Incrociare i tuoi SNP con i database GWAS Catalog, PharmGKB e ClinVar e calcolare punteggi di rischio poligenico.
• Generare, archiviare e mostrare i tuoi rapporti genetici.
• Generare spiegazioni AI in linguaggio semplice. Ciò comporta l'invio ad Anthropic (Claude) dei punteggi, nomi di geni, identificatori di varianti (rsid), i tuoi genotipi e PMID di studi. NON inviamo il file DNA completo.

• Consenso (art. 6.1.a e 9.2.a GDPR): Fornisci consenso esplicito al trattamento dei dati genetici caricando un file DNA e generando un rapporto. Puoi revocare il consenso in qualsiasi momento eliminando i dati o l'account.
• Contratto (art. 6.1.b GDPR): Il trattamento dei dati di account è necessario per fornirti il servizio richiesto.
• Interesse legittimo (art. 6.1.f GDPR): I log di errore con IP e user-agent sono conservati 90 giorni per diagnosticare problemi e prevenire abusi.

Utilizziamo i seguenti responsabili del trattamento:

• Google OAuth: Solo per autenticazione (se usi Accedi con Google). Riceviamo il tuo ID Google e l'email. Google agisce come titolare autonomo — consulta la loro informativa.
• Anthropic Claude API: Solo per spiegazioni AI. Inviamo punteggi, nomi di geni, rsid, genotipi e PMID. Il file DNA grezzo non viene trasmesso. Anthropic tratta i dati negli USA secondo Clausole Contrattuali Tipo (art. 46 GDPR).
• NCBI PubMed: Database pubblico di ricerca (NCBI, USA). Interroghiamo PubMed per PMID per ottenere abstract — non vengono inviati dati personali.

• I dati DNA e i rapporti sono conservati finché il tuo account è attivo. Puoi eliminare qualsiasi caricamento in qualsiasi momento dalla cronologia.
• I log di errore vengono eliminati automaticamente dopo 90 giorni.
• Quando elimini il tuo account, tutti i dati personali e genetici vengono rimossi dal database attivo entro 24 ore. I backup crittografati sono ruotati ogni 7 giorni e sovrascritti in questo periodo.

Hai i seguenti diritti sui tuoi dati personali (artt. 15–22 GDPR):

• Diritto di accesso — ottenere una copia dei dati che abbiamo su di te (self-service su Account → Scarica i tuoi dati).
• Diritto di rettifica — correggere dati inesatti.
• Diritto alla cancellazione — eliminare il tuo account e tutti i dati associati.
• Diritto alla portabilità — ricevere i tuoi dati in formato leggibile da macchina (esportazione JSON dalla pagina Account).
• Diritto di opposizione — revocare il consenso o opporti a trattamenti specifici.

Per esercitare questi diritti, scrivi a [email protected]. Risponderemo entro 30 giorni.

Applichiamo misure tecniche e organizzative ragionevoli per proteggere i tuoi dati:

• Le password sono hashate con bcrypt (costo 12). Mai archiviate in chiaro.
• I cookie di sessione sono HttpOnly, SameSite=Strict e Secure (solo HTTPS) in produzione.
• Tutto il traffico è crittografato in transito tramite TLS (HTTPS). I server sono in Germania (UE) presso Hetzner Online GmbH.
• Protezione CSRF: validazione header Origin + header personalizzato X-Requested-With su tutte le richieste che modificano stato.
• Header Content Security Policy e X-Frame-Options: DENY per prevenire XSS e clickjacking.
• HSTS attivo in produzione per forzare HTTPS in tutte le connessioni future.