Costruito per i dati clinici. Non adattato.
I dati dei tuoi pazienti sono dati sanitari di categoria speciale ai sensi del GDPR Art. 9. Abbiamo costruito ZenGest attorno a questo presupposto — non come vincolo da soddisfare, ma come punto di partenza.
Server UE
Nessun trasferimento extra-UE
GDPR Art. 9
Dati sanitari by design
Zero training
Mai usati per addestrare AI
DPA incluso
In tutti i piani, Art. 28
Le domande che ci vengono fatte
Le preoccupazioni degli psicologi.
Le nostre risposte.
I dati dei miei pazienti vengono usati per addestrare l'AI?
No. Nessun dato clinico — trascrizioni, note, diagnosi o qualsiasi contenuto inserito nel Servizio — viene utilizzato per addestrare modelli AI, né nostri né di terze parti. Questa garanzia è esplicita nel DPA e nei contratti con tutti i nostri sub-responsabili. È vincolante per contratto, non solo una promessa.
I dati restano in Europa?
Sì. Tutta l'infrastruttura di produzione si trova nell'Unione Europea. Non avviene alcun trasferimento di dati clinici al di fuori dei confini UE. Ogni sub-responsabile del trattamento — inclusi i provider AI — opera con sede contrattuale europea e vincoli SCCs (Standard Contractual Clauses) dove applicabili.
Chi può vedere i dati dei miei pazienti?
Solo tu, in qualità di Titolare del Trattamento. ZenGest agisce esclusivamente come Responsabile del Trattamento ai sensi dell'Art. 28 GDPR: elabora i dati solo su tua istruzione, per le sole finalità del Servizio, e non ha accesso ai contenuti clinici al di fuori di questo perimetro. Ogni accesso è tracciato in log di audit conservati.
Il paziente è riconoscibile quando l'AI elabora le note?
No. Prima che qualsiasi testo venga elaborato dal modello AI, i riferimenti identificativi del paziente — nome, data di nascita, codice fiscale, e altri dati diretti — vengono sostituiti con token pseudonimi. Il modello AI non riceve mai l'identità reale della persona. Questo è il meccanismo della pseudonimizzazione obbligatoria prevista dal GDPR per i dati sanitari.
Sono io il responsabile se l'AI produce un errore?
Tu mantieni piena responsabilità clinica, deontologica e legale per ogni decisione terapeutica. ZenGest genera esclusivamente bozze che richiedono la tua revisione e validazione prima di qualsiasi utilizzo — questo è il principio human-in-the-loop, esplicitato nel Codice Deontologico degli Psicologi e nei requisiti dell'EU AI Act. ZenGest non prende decisioni cliniche: le prendi tu.
Devo informare i miei pazienti che uso ZenGest?
Sì. Come Titolare del Trattamento, hai l'obbligo di aggiornare la tua informativa privacy per includere l'uso di strumenti AI e di ottenere il consenso informato esplicito dei pazienti ai sensi dell'Art. 9.2.a GDPR. ZenGest fornisce un template di informativa e un modello di consenso che puoi adattare alla tua pratica. La firma del DPA al momento della registrazione formalizza il perimetro del trattamento.
Come funziona la sicurezza tecnica dei dati?
I dati sono cifrati in transito (TLS 1.3) e a riposo (AES-256). L'accesso è protetto da autenticazione sicura. Puoi eliminare la registrazione audio originale subito dopo la trascrizione — il file grezzo non viene conservato oltre il necessario. Ogni account è isolato: non esistono modalità di accesso condiviso non autorizzato.
ZenGest è conforme al GDPR per i dati sanitari?
ZenGest è costruito per soddisfare i requisiti del GDPR Art. 9 per il trattamento di dati sanitari (categoria speciale). Pseudonimizzazione automatica, minimizzazione dei dati, infrastruttura UE, DPA incluso in tutti i piani, e garanzia contrattuale di zero addestramento su dati clinici. Il DPA è disponibile in formato firmabile per l'Art. 28 GDPR.
Una distinzione importante
Pseudonimizzazione, non anonimizzazione.
Pseudonimizzazione
I dati identificativi vengono sostituiti con token. L'AI lavora solo sul token — non sul nome reale. Solo tu, con la chiave separata, puoi ricondurre i dati al paziente. Il GDPR si applica in pieno: i diritti del paziente sono garantiti.
Anonimizzazione
Il dato diventa irriconducibile alla persona — ma con esso si perdono anche i diritti del paziente (accesso, cancellazione, portabilità) e la continuità clinica. Non applicabile a sistemi di cartella clinica attiva.
Perché è importante. Il GDPR Art. 32 riconosce la pseudonimizzazione come misura tecnica adeguata per il trattamento di dati sanitari. ZenGest la applica in modo automatico e sistematico prima di ogni elaborazione AI — non come opzione, ma come comportamento predefinito del sistema.
Cosa succede ai dati
Il flusso di una seduta.
Registrazione seduta
L'audio viene acquisito e trasmesso cifrato (TLS 1.3). Non viene mai salvato in chiaro.
Pseudonimizzazione automatica
Nome, codice fiscale e dati identificativi vengono sostituiti con token pseudonimi prima di qualsiasi elaborazione AI.
Elaborazione AI
Il modello riceve solo testo pseudonimizzato. Non vede l'identità del paziente. Genera una bozza di nota clinica.
Revisione del professionista
Tu rivedi, correggi e validi ogni contenuto. Nessuna nota viene finalizzata senza il tuo intervento (human-in-the-loop).
Archiviazione cifrata
Il documento validato viene salvato cifrato (AES-256) nella cartella del paziente. Solo tu hai accesso.
Quadro normativo
Le norme che si applicano.
Come le rispettiamo.
EU AI Act — Reg. 2024/1689
Annex III · Alta prioritàGli strumenti AI nel settore sanitario rientrano tra i sistemi ad alto rischio ai sensi dell'Allegato III del Regolamento UE sull'Intelligenza Artificiale. ZenGest rispetta i requisiti degli Artt. 8-15: sistema di gestione del rischio, documentazione tecnica, trasparenza verso il professionista, supervisione umana obbligatoria (human-in-the-loop), robustezza e sicurezza informatica.
GDPR Art. 9 — Dati sanitari
Art. 28 DPA inclusoI dati clinici dei pazienti sono dati di categoria speciale ai sensi dell'Art. 9 GDPR. ZenGest agisce come Responsabile del Trattamento (Art. 28): non può trattare i dati per finalità proprie, deve rispettare le istruzioni del Titolare (il professionista), e garantisce misure tecniche e organizzative adeguate. Il DPA è incluso in tutti i piani.
Legge 132/2025 — AI in Italia
In vigore ottobre 2025La prima legge italiana sull'intelligenza artificiale (L. 132/2025, in vigore dal 10 ottobre 2025) stabilisce che i sistemi AI in ambito sanitario devono garantire il controllo umano sulle decisioni cliniche. Il professionista mantiene sempre l'autorità decisionale. ZenGest è allineato a questo requisito: ogni output è una bozza che richiede validazione del professionista.
Codice Deontologico Psicologi
Responsabilità al professionistaIl Codice Deontologico degli Psicologi Italiani stabilisce che la responsabilità clinica, deontologica e legale risiede interamente nel professionista. ZenGest non produce diagnosi né valutazioni autonome: supporta la documentazione, ma ogni giudizio clinico resta nelle mani dello psicologo. L'uso di AI deve essere comunicato al paziente (Art. 3 Codice Deontologico).
Catena del trattamento
Chi tratta i dati, e come.
ZenGest si avvale di fornitori terzi per specifiche funzioni tecniche. Tutti operano come sub-responsabili del trattamento ai sensi dell'Art. 28 GDPR, con contratti che vietano esplicitamente l'uso dei dati per addestramento AI.
| Fornitore | Funzione | Sede dati |
|---|---|---|
| HANA Health Inc. | Infrastruttura AI vocale e trascrizione | UE (contrattuale) |
| Amazon Web Services | Hosting e archiviazione dati | UE (eu-west) |
| Anthropic | Elaborazione linguistica AI | UE (contrattuale + SCCs) |
L'elenco completo con le garanzie contrattuali è nel DPA (Art. 28 GDPR).
Le responsabilità del professionista
Informare i pazienti dell'uso di strumenti AI nella documentazione clinica.
Ottenere il consenso informato esplicito prima di usare ZenGest con i dati del paziente (Art. 9.2.a GDPR).
Aggiornare la propria informativa privacy per includere il trattamento tramite ZenGest.
Verificare e validare ogni bozza generata dall'AI prima dell'utilizzo clinico.
Valutare se sia necessaria una DPIA ai sensi dell'Art. 35 GDPR per la propria pratica.
ZenGest fornisce template di consenso e informativa già redatti. I dettagli legali sono nelle Condizioni di Servizio e nel DPA.
Hai domande sulla conformità?
Siamo disponibili per rispondere a qualsiasi domanda tecnica o legale sulla gestione dei dati clinici.
Scrivici