Sicurezza e privacy su Zengest

Zengest è progettato per professionisti della salute mentale che trattano dati sanitari sensibili. Questa guida spiega come gestiamo la sicurezza, la protezione dei dati e cosa significa per il tuo obbligo di riservatezza professionale.



Indice


  1. Il nostro approccio alla sicurezza
  2. Conformità normativa
  3. Cosa succede ai dati delle sedute
  4. I tuoi dati non vengono usati per addestrare l'AI
  5. Gestione della conservazione dei dati
  6. Attiva l'autenticazione a due fattori
  7. Domande frequenti sulla sicurezza



1. Il nostro approccio alla sicurezza


La sicurezza è integrata nell'architettura di Zengest fin dal primo giorno. Come piattaforma dedicata a professionisti della salute mentale, Zengest gestisce dati di categoria particolare ai sensi del GDPR (art. 9) — dati sanitari che richiedono il massimo livello di protezione.


I principi che guidano il nostro approccio:


  • Cifratura end-to-end — tutti i dati sono crittografati in transito e a riposo con standard di settore.
  • Accesso minimo necessario — solo i sistemi che elaborano la nota accedono temporaneamente alla trascrizione.
  • Nessuna registrazione conservata — le registrazioni audio non vengono conservate dopo la generazione della trascrizione.
  • Controllo totale dell'utente — puoi eliminare sessioni e dati in qualsiasi momento.


2. Conformità normativa


GDPR (Regolamento UE 2016/679)

I dati dei pazienti sono dati sanitari (categoria speciale, art. 9 GDPR). Zengest elabora questi dati in qualità di responsabile del trattamento, su incarico del professionista (titolare del trattamento). Prima di usare Zengest con i pazienti, è necessario che tu abbia ottenuto il consenso informato del paziente al trattamento con strumenti AI.


Guida clinica per psicologi: GDPR, AI Act e consenso informato


EU AI Act (Regolamento UE 2024/1689)

Zengest rientra nella categoria degli strumenti AI ad alto rischio in ambito sanitario. Questa classificazione richiede che il professionista mantenga supervisione umana sulle note generate e non le utilizzi come unica fonte decisionale clinica.


Codice Deontologico CNOP

Il Codice Deontologico degli Psicologi impone la riservatezza assoluta delle comunicazioni cliniche. L'uso di strumenti digitali di terze parti non cambia questo obbligo — il professionista rimane responsabile di garantire che i dati del paziente siano protetti anche attraverso gli strumenti che sceglie di usare.


3. Cosa succede ai dati delle sedute


Il percorso dell'audio dalla registrazione alla nota clinica è progettato per garantire la massima protezione in ogni passaggio:


Passo 1 — Trascrizione

L'audio viene elaborato da un modello di trascrizione clinica ad alta accuratezza, ottimizzato per l'italiano parlato in contesto terapeutico.


Passo 2 — Pseudoanonimizzazione automatica

Immediatamente dopo la trascrizione, il testo viene pseudoanonimizzato: nomi propri, luoghi e altri identificativi vengono sostituiti con etichette neutre (ad esempio "Nome Persona"). Questo passaggio avviene prima che qualsiasi dato venga inviato al modello AI per la generazione della nota.


Passo 3 — Generazione della nota

La trascrizione pseudoanonimizzata viene inviata ad Anthropic Claude (modello enterprise) per la generazione della nota clinica nel formato del modello selezionato. Zengest ha stipulato un accordo DPA enterprise con Anthropic, che garantisce che i dati non vengano usati per addestrare modelli AI e che vengano trattati secondo le normative europee.


Passo 4 — Eliminazione dell'audio

Dopo la generazione della trascrizione, il file audio viene eliminato immediatamente dai server di Zengest. L'audio non è mai scaricabile dall'utente — questa è una scelta architetturale deliberata per la protezione dei dati.


Passo 5 — Accesso alla nota e alla trascrizione

La nota generata e la trascrizione pseudoanonimizzata rimangono accessibili nella sessione solo a te. Non sono condivise con terzi e non vengono usate per addestrare modelli AI.


File allegati

Documenti e foto caricati nella cartella del paziente vengono archiviati in modo sicuro e sono accessibili solo a te.



Perché non usare ChatGPT o Claude.ai direttamente con i dati dei pazienti?
I piani consumer di ChatGPT e Claude.ai non includono un DPA (Data Processing Agreement) e i server potrebbero essere al di fuori dell'UE. Caricare dati clinici su questi strumenti senza un DPA è una violazione del GDPR. Zengest risolve questo problema strutturalmente: il DPA enterprise con Anthropic è incluso nell'abbonamento, la pseudoanonimizzazione avviene prima dell'invio, e i server sono in Europa.



4. I tuoi dati non vengono usati per addestrare l'AI


Zengest non usa i dati delle tue sessioni, trascrizioni o note per addestrare modelli AI — né i propri né quelli di terze parti. Questo è garantito contrattualmente dall'accordo DPA enterprise che Zengest ha stipulato con Anthropic.


I dati delle sedute vengono usati esclusivamente per generare le tue note e supportare il tuo flusso di lavoro.


5. Gestione della conservazione dei dati


Puoi configurare quanto a lungo Zengest conserva le trascrizioni e le note:


  1. Clicca sulla tua icona profilo in alto a destra.
  2. Vai su Impostazioni account → Sicurezza.
  3. Nella sezione Impostazioni di archiviazione, trovi due opzioni:
  • Elimina note dopo 30 giorni — disattivala se vuoi conservare le note più a lungo.
  • Elimina trascrizioni dopo 30 giorni — attivala o disattivala in base alle tue esigenze.


Quando le note vengono eliminate manualmente, la rimozione è permanente e immediata.


Consiglio professionale: I tempi di conservazione dei dati clinici in Italia sono regolati da normative specifiche (D.Lgs. 196/2003, GDPR). Consulta il tuo DPO o un consulente privacy per definire la policy di conservazione più adatta alla tua pratica.


6. Attiva l'autenticazione a due fattori


Proteggi il tuo account con un secondo livello di verifica:


  1. Vai su Impostazioni account → Sicurezza.
  2. Clicca su Attiva autenticazione a due fattori.
  3. Segui le istruzioni per configurarla con un'app di autenticazione (es. Google Authenticator, Authy).


Una volta attivata, ogni accesso richiederà sia la password sia un codice temporaneo dall'app.


Impostazioni sicurezza con il pulsante per attivare 2FA


Importante: Non condividere mai le tue credenziali Zengest con colleghi, segreteria o altri. Ogni professionista deve avere il proprio account.


7. Domande frequenti sulla sicurezza


Le registrazioni vengono conservate dopo la seduta?

No. L'audio viene eliminato dai server di Zengest immediatamente dopo la generazione della trascrizione. Non è mai scaricabile — questa è una scelta architetturale deliberata per la protezione dei dati, non una limitazione tecnica.


Posso scaricare la registrazione della seduta?

No. L'audio non è scaricabile da Zengest. La registrazione esiste solo il tempo necessario per produrre la trascrizione, dopodiché viene eliminata automaticamente. Puoi invece scaricare la nota clinica come PDF.


Posso eliminare i dati di un paziente?

Sì. Puoi eliminare singole sessioni in qualsiasi momento. Per la cancellazione completa dei dati di un paziente, contattaci su WhatsApp.


Dove sono archiviati i dati?

I dati sono archiviati su infrastruttura cloud conforme GDPR, con server in Europa.


Zengest firma un accordo DPA (Data Processing Agreement)?

Sì. Zengest opera come responsabile del trattamento ai sensi dell'art. 28 GDPR e fornisce un DPA. Inoltre, Zengest ha stipulato un accordo DPA enterprise con Anthropic (il fornitore del modello AI Claude) che copre tutti gli utenti della piattaforma — non è necessario che tu firmi accordi separati con Anthropic.


Cosa devo comunicare ai pazienti prima di usare Zengest?

Devi informare i pazienti che stai usando uno strumento AI per la generazione delle note cliniche e ottenere il loro consenso scritto. Consulta la Guida clinica per psicologi per le indicazioni su consenso e disclosure.


Posso usare ChatGPT o altri strumenti AI con i dati dei pazienti?

I piani consumer di ChatGPT, Claude.ai e altri servizi AI non includono un DPA e i server potrebbero essere fuori dall'UE. Caricare dati clinici su questi strumenti è una violazione del GDPR. Usa Zengest, dove il DPA enterprise è già incluso e i dati vengono pseudoanonimizzati prima di essere inviati al modello AI.


La nota generata è un documento clinico ufficiale?

La nota generata da Zengest è un supporto alla documentazione clinica. La responsabilità della valutazione clinica e della correttezza del documento rimane interamente tua. Rivedi e valida sempre le note prima di archiviarle o condividerle.



Articoli correlati




Per domande o assistenza, scrivici su WhatsApp. Siamo qui per supportarti nel tuo lavoro.

Aggiornato il: 16/05/2026

È stato utile questo articolo?

Condividi il tuo feedback

Annulla

Grazie!