Privacy Policy
MyMediBox · Ultima revisione: 11 maggio 2026MyMediBox · Last updated: 11 May 2026
Titolare del trattamento
Pablo Guarachi (mymedibox-support@drbrugal.shop) — di seguito "Titolare".
1. Dati raccolti
a) Dati dell'account
- Indirizzo email (per autenticazione)
- Password (crittografata, mai visibile al Titolare)
b) Dati sanitari personali (categoria speciale ex art. 9 GDPR)
- Profili familiari: nome, cognome, data di nascita, genere (tutti opzionali tranne il nome)
- Terapie: nome del farmaco, dosaggio, orari, durata
- Documenti sanitari: file caricati volontariamente (referti, prescrizioni, immagini diagnostiche)
- Appuntamenti medici: date, note, specialisti
- Misurazioni tracker clinici (peso, pressione, glicemia, ferite, stoma, ciclo, idratazione, custom)
L'inserimento di questi dati è completamente facoltativo. L'utente decide se e cosa inserire.
c) Dati tecnici
- Identificatore dispositivo (per le notifiche push locali)
- Versione app e sistema operativo (per diagnostica)
Non vengono raccolti dati di geolocalizzazione, rubrica, fotocamera (salvo se l'utente carica volontariamente un'immagine come documento), microfono o altri dati del dispositivo.
2. Finalità e base giuridica
- Autenticazione e sicurezza dell'account: esecuzione del contratto (art. 6.1.b GDPR)
- Organizzazione dei dati sanitari inseriti dall'utente: consenso esplicito (art. 9.2.a GDPR)
- Notifiche promemoria locali: esecuzione del contratto
- Diagnostica e correzione errori: legittimo interesse (art. 6.1.f GDPR)
3. Dove sono conservati i dati
I dati sono conservati su infrastruttura Supabase (provider: Supabase Inc.), con server situati in Unione Europea (Francoforte, Germania). La comunicazione tra App e server avviene esclusivamente tramite connessione crittografata HTTPS/TLS.
4. Condivisione con terze parti
Il Titolare NON vende, affitta o condivide i tuoi dati personali con terze parti per finalità commerciali o pubblicitarie.
I soli destinatari dei dati sono:
- Supabase Inc. (responsabile del trattamento ex art. 28 GDPR) per l'hosting del database
- Expo (per la consegna delle notifiche push, solo identificatori tecnici)
5. Conservazione dei dati
I dati sono conservati finché l'account è attivo. L'utente può cancellare il proprio account in qualsiasi momento dall'app (sezione Profilo > Elimina account). Dopo l'eliminazione, i dati vengono rimossi dai server entro 30 giorni.
6. I tuoi diritti
Ai sensi del GDPR hai diritto a:
- Accesso ai tuoi dati
- Rettifica
- Cancellazione ("diritto all'oblio")
- Portabilità
- Opposizione al trattamento
- Revoca del consenso in qualsiasi momento
Puoi esercitare i tuoi diritti scrivendo a mymedibox-support@drbrugal.shop. Il Titolare risponderà entro 30 giorni.
Hai inoltre diritto di proporre reclamo all'Autorità Garante per la Protezione dei Dati Personali (www.garanteprivacy.it) o, nel Regno Unito, all'ICO (ico.org.uk).
7. Minori
L'App non è destinata a bambini sotto i 16 anni. Se sei genitore o tutore e scopri che tuo figlio ci ha fornito dati personali senza il tuo consenso, contatta mymedibox-support@drbrugal.shop per la rimozione.
8. Modifiche
Eventuali modifiche a questa Privacy Policy saranno comunicate all'interno dell'App. L'uso continuato dell'App dopo le modifiche implica l'accettazione della nuova versione.
9. Dati di pagamento e abbonamento
MyMediBox offre un piano gratuito completo e un piano Premium opzionale a pagamento. Quando sottoscrivi Premium:
- Dati di pagamento (carta, conto bancario, PayPal): non vengono mai trasmessi né visti dal Titolare. La transazione è gestita interamente da Google Ireland Limited tramite Google Play Billing, che è merchant of record. Vedi la privacy policy di Google.
- Stato dell'abbonamento (attivo / scaduto / in prova / lifetime) viene gestito tramite RevenueCat, Inc. (responsabile del trattamento, USA — Standard Contractual Clauses applicate). RevenueCat riceve dal Play Store il tuo identificatore Supabase anonimo e i metadati dell'abbonamento (prodotto, date di rinnovo, valuta, paese). Non riceve la tua email, il tuo nome, né dati sanitari. Vedi la privacy policy di RevenueCat.
- Lo stato sincronizzato torna nel database Supabase dell'App tramite webhook server-to-server, e l'App lo legge per attivare/disattivare le funzionalità Premium.
- Periodo di prova 30gg: non viene chiesta alcuna carta di credito né condiviso alcun dato con Google Play durante la prova. La prova è gestita interamente server-side dal Titolare.
Base giuridica: esecuzione del contratto di abbonamento (art. 6.1.b GDPR). I dati di abbonamento sono conservati finché l'account è attivo + 24 mesi per obblighi contabili UK/UE.
Termini di Abbonamento → /terms-of-subscription.html · Politica di Rimborso → /refund-policy.html
10. Contatti
Per qualsiasi domanda relativa al trattamento dei dati: mymedibox-support@drbrugal.shop
Data controller
Pablo Guarachi (mymedibox-support@drbrugal.shop) — hereinafter the "Controller".
1. Data collected
a) Account data
- Email address (for authentication)
- Password (encrypted, never visible to the Controller)
b) Personal health data (special category under Art. 9 GDPR / UK GDPR)
- Family profiles: first name, last name, date of birth, gender (all optional except first name)
- Therapies: medication name, dosage, times, duration
- Health documents: files uploaded voluntarily (reports, prescriptions, diagnostic images)
- Medical appointments: dates, notes, specialists
- Clinical tracker measurements (weight, BP, glucose, wound, stoma, cycle, hydration, custom)
Entering this data is entirely optional. The user decides whether and what to enter.
c) Technical data
- Device identifier (for local push notifications)
- App version and operating system (for diagnostics)
No geolocation, contacts, camera (except when the user voluntarily uploads an image as a document), microphone or other device data is collected.
2. Purposes and legal basis
- Account authentication and security: contract performance (Art. 6.1.b GDPR)
- Organising the health data entered by the user: explicit consent (Art. 9.2.a GDPR)
- Local reminder notifications: contract performance
- Diagnostics and bug fixing: legitimate interest (Art. 6.1.f GDPR)
3. Where the data is stored
Data is stored on Supabase infrastructure (provider: Supabase Inc.), with servers located in the European Union (Frankfurt, Germany). Communication between the App and the server takes place exclusively via encrypted HTTPS/TLS connections.
4. Third-party sharing
The Controller does NOT sell, rent or share your personal data with third parties for commercial or advertising purposes.
The only recipients of the data are:
- Supabase Inc. (data processor under Art. 28 GDPR) for database hosting
- Expo (for delivering push notifications, technical identifiers only)
5. Data retention
Data is retained for as long as the account is active. The user may delete their account at any time from the app (Profile > Delete account section). After deletion, data is removed from the servers within 30 days.
6. Your rights
Under the GDPR / UK GDPR you have the right to:
- Access your data
- Rectification
- Erasure ("right to be forgotten")
- Portability
- Object to processing
- Withdraw consent at any time
You can exercise your rights by writing to mymedibox-support@drbrugal.shop. The Controller will respond within 30 days.
You also have the right to lodge a complaint with your local data protection authority — in Italy the Garante (www.garanteprivacy.it), in the United Kingdom the ICO (ico.org.uk).
7. Minors
The App is not intended for children under 16. If you are a parent or guardian and discover that your child has provided us with personal data without your consent, please contact mymedibox-support@drbrugal.shop for removal.
8. Changes
Any changes to this Privacy Policy will be communicated within the App. Continued use of the App after the changes implies acceptance of the new version.
9. Payment and subscription data
MyMediBox offers a complete free plan and an optional paid Premium plan. When you subscribe to Premium:
- Payment data (card, bank account, PayPal): never transmitted to or seen by the Controller. The transaction is handled entirely by Google Ireland Limited via Google Play Billing, which is the merchant of record. See Google's privacy policy.
- Subscription status (active / expired / trialing / lifetime) is managed through RevenueCat, Inc. (data processor, USA — Standard Contractual Clauses in place). RevenueCat receives from the Play Store your anonymous Supabase identifier and subscription metadata (product, renewal dates, currency, country). It does not receive your email, your name, or any health data. See RevenueCat's privacy policy.
- The synchronised status flows back to the App's Supabase database via a server-to-server webhook, and the App reads it to enable/disable Premium features.
- 30-day trial: no credit card is requested and no data is shared with Google Play during the trial. The trial is managed entirely server-side by the Controller.
Legal basis: performance of the subscription contract (Art. 6.1.b GDPR / UK GDPR). Subscription data is retained as long as the account is active + 24 months for UK/EU accounting obligations.
Terms of Subscription → /terms-of-subscription.html · Refund Policy → /refund-policy.html
10. Contact
For any questions regarding data processing: mymedibox-support@drbrugal.shop