Trattamento dei dati e HIPAA

In breve

Therapy Resources è progettato in modo che non sia necessario caricare Informazioni Sanitarie Protette (PHI). Descrivi i materiali che desideri, l'IA li illustra e tu li stampi. Nomi dei clienti, diagnosi e note di caso non entrano mai nel sistema. Poiché non trattiamo PHI, il quadro dei Business Associate Agreements (BAA) di HIPAA non si applica — ma gli standard che definisce (crittografia, controllo degli accessi, conservazione, eliminazione) orientano comunque il nostro modo di operare.

Nessuna PHI richiesta

Nulla nel flusso di creazione richiede informazioni identificative dei clienti. Non devi condividere:

• Nomi, età o dettagli identificativi dei clienti
• Diagnosi o note cliniche
• Contenuto delle sedute o storie cliniche
• Foto, registrazioni o citazioni dei clienti

Se conservi già PHI nella tua cartella clinica elettronica o cartacea, lasciali lì. Therapy Resources lavora a livello di concetti terapeutici generici — una carta dell'emozione etichettata "frustrato", una scheda sulle strategie di coping, un gioco da tavolo sulle abilità sociali — non materiale specifico di ciascun caso.

A proposito di HIPAA

Therapy Resources non è certificato HIPAA e non firmiamo Business Associate Agreements. HIPAA regola le Informazioni Sanitarie Protette — nomi dei pazienti, diagnosi, note di trattamento e dati simili collegati a persone identificabili. Poiché Therapy Resources è progettato attorno a materiali terapeutici generici anziché a registrazioni specifiche dei clienti, di norma non ci sono PHI da proteggere.

Se un particolare flusso di lavoro richiede la creazione di materiali che includono PHI (ad esempio una storia sociale personalizzata che nomina un bambino specifico), tale materiale dovrebbe essere creato e archiviato all'interno della tua cartella clinica conforme a HIPAA o in file locali — non qui.

Crittografia, ubicazione e conservazione

Tutto il traffico tra il tuo browser e Therapy Resources avviene tramite HTTPS (TLS 1.2+). I dati sono archiviati su Convex (regione US-East) con crittografia a riposo. Le password vengono elaborate con bcrypt — non vediamo né archiviamo mai password in chiaro. Le credenziali di pagamento sono gestite esclusivamente da Dodo Payments (conforme PCI-DSS) e non transitano mai per i nostri server.

La generazione delle immagini avviene tramite Google Gemini. Prompt e immagini di riferimento vengono inviati all'API di Google per l'elaborazione, ma Gemini non conserva i tuoi prompt. Non trasferiamo i tuoi dati a reti pubblicitarie o intermediari analitici.

Quando elimini il tuo account, rimuoviamo permanentemente stili, personaggi, risorse, immagini generate e cronologia dei prompt. La rimozione si completa di norma entro 7 giorni, con scadenza dei backup entro 30 giorni. Puoi esportare o eliminare singoli elementi in qualsiasi momento da Impostazioni.

Sub-responsabili

Condividiamo dati operativi con i seguenti servizi:

• Convex (USA) — Database e archiviazione file. Ospita dati dell'account, contenuti e immagini generate.
• Google Gemini — Generazione di immagini IA. Riceve descrizioni di stile e prompt dei personaggi; non li conserva.
• Dodo Payments (USA) — Elaborazione dei pagamenti come merchant of record. Riceve nome, email e dettagli di pagamento per la fatturazione.
• AhaSend — Email transazionale. Riceve indirizzi email per reset password e notifiche dell'account.

Non vendiamo i tuoi dati. L'inventario completo dei dati e i tuoi diritti su ciascuna categoria sono nell'Informativa sulla Privacy.