Come Therapy withVR si posiziona rispetto a leggi, norme e quadri normativi

In sintesi

Una nota sulla struttura. Le sezioni seguenti rispecchiano le nove categorie della nostra Technology Checklist for SLPs pubblica - lo stesso quadro che raccomandiamo ai clinici per valutare qualsiasi tecnologia, inclusa la nostra. Questa pagina e l'esempio applicato al nostro stesso prodotto.

1. Protezione dei dati e conformita

GDPR e UK GDPR

withVR BV e il titolare del trattamento dei dati personali trattati tramite Therapy withVR. Tutti i dati della piattaforma sono ospitati su Google Cloud / Firebase a Francoforte, Germania (europe-west1) - all'interno del SEE. I dati personali sono trattati lecitamente ai sensi dell'articolo 6 del GDPR sui presupposti dell'esecuzione contrattuale, dell'interesse legittimo, dell'obbligo legale e del consenso (per le comunicazioni di marketing). I dati personali del Regno Unito sono trattati ai sensi del UK GDPR con basi giuridiche equivalenti. I trasferimenti dal Regno Unito verso paesi terzi sono regolati dal UK IDTA o dall'UK Addendum to EU SCCs, secondo i casi. Gli interessati dispongono di tutti i diritti di accesso, rettifica, cancellazione, limitazione, portabilita, opposizione e revoca del consenso ai sensi degli articoli 15-22 del GDPR.

Fonte: Privacy Policy §3, §7, §9 · Terms of Service §11

HIPAA - fuori ambito per progettazione

Therapy withVR non e una HIPAA covered entity e non opera come Business Associate ai sensi di HIPAA. La piattaforma e progettata in modo che le Protected Health Information (PHI) non entrino nel sistema - non vengono memorizzate cartelle cliniche, diagnosi, identificativi di pazienti o cartelle sanitarie. Per i contesti sanitari statunitensi, la piattaforma rientra per progettazione al di fuori dell'ambito dei requisiti dei Business Associate Agreement. L'assenza di un BAA presso un fornitore non significa necessariamente non conformita; nel nostro caso significa che l'architettura evita le PHI fin dall'inizio. Gli utenti in contesti sanitari statunitensi sono responsabili di garantire che nessuna PHI venga inserita nella piattaforma.

Fonte: Privacy Policy §12 · ToS §11.1

FERPA - fuori ambito per progettazione

Gli obblighi FERPA gravano sulle istituzioni scolastiche, non sui fornitori. Therapy withVR non e direttamente soggetto a FERPA. La piattaforma e progettata in modo che i fascicoli scolastici degli studenti non debbano entrare nel sistema - i dati di sessione sono costituiti unicamente da impostazioni di configurazione ed etichette testuali, che non costituiscono educational records ai sensi di FERPA. Il professionista supervisore e responsabile di garantire che non vengano inseriti dati protetti da FERPA. Per i distretti scolastici statunitensi, withVR BV esaminera l'accordo FERPA standard del vostro istituto o la SDPC National DPA e collaborera con voi per individuare un percorso adeguato: firma cosi come presentata laddove i termini siano praticabili, proposta di emendamenti dove necessario, oppure fornitura di un modello withVR in alternativa. Contattate legal@withvr.app per avviare il dialogo.

Fonte: Educational Use Policy §3.1, §7 · Privacy Policy §13

COPPA

COPPA si applica ai servizi online che raccolgono informazioni personali da minori di 13 anni. Therapy withVR non e diretto ai minori e non raccoglie informazioni personali direttamente da alcun utente, inclusi i minori. Quando la piattaforma e utilizzata con minori di 13 anni in contesto scolastico, la scuola agisce come titolare dell'account ai sensi della school official exception di COPPA - gli studenti non interagiscono direttamente con la piattaforma in qualita di utenti. Le istituzioni scolastiche sono responsabili delle procedure di consenso parentale appropriate alla propria giurisdizione.

Fonte: Educational Use Policy §3.2

Leggi statali e regionali sulla privacy degli studenti

Diversi Stati USA hanno adottato leggi sulla privacy degli studenti oltre a FERPA - tra cui California (SOPIPA), New York (Education Law 2-d), Colorado, Texas e altri. Gli impegni architetturali sopra (nessuna raccolta di PII, nessuna pubblicita agli studenti, nessuna vendita di dati, nessun monitoraggio comportamentale, nessuna profilazione) sono progettati per supportare la conformita a tali quadri. Le istituzioni in giurisdizioni con requisiti specifici oltre a quanto qui descritto possono richiedere accordi supplementari a legal@withvr.app.

Fonte: Educational Use Policy §3.4

Hosting, trasferimenti e sub-responsabili

Tutti i dati della piattaforma sono ospitati su Google Cloud / Firebase a Francoforte, Germania. I trasferimenti verso OpenAI (Stati Uniti, solo funzionalita IA opzionali) sono regolati dalle EU Standard Contractual Clauses 2021 ai sensi dell'articolo 46(2)(c) del GDPR. I trasferimenti verso Stripe operano secondo SCCs e, ove applicabile, partecipazione all'EU-US Data Privacy Framework. L'elenco completo dei sub-responsabili con il ruolo, la sede e il meccanismo di trasferimento di ciascun fornitore e pubblicato su withvr.app/sub-processor-list; viene dato un preavviso di almeno 30 giorni prima dell'aggiunta di qualsiasi nuovo sub-responsabile.

Fonte: Privacy Policy §5, §7 · Sub-Processor List

Dati che non raccogliamo

Nessuna registrazione audio o video delle sessioni. Nessun campione vocale della persona in VR. Nessun dato biometrico dai sensori dei visori VR. Nessuna PHI. Nessun fascicolo scolastico. Nessun dato di posizione precisa. Nessun dato di pagamento (Stripe gestisce le carte). Nessuna categoria particolare di dati personali ai sensi dell'articolo 9 del GDPR. I nomi di profilo sono cifrati a livello applicativo con AES-256 e vettori di inizializzazione univoci per ciascun record.

Fonte: Privacy Policy §2.6, §8

Conservazione

Dati di account e abbonamento: 5 anni dalla fine dell'abbonamento (termine di prescrizione commerciale belga). Dati di sessione e di profilo: 3 anni dalla fine dell'abbonamento. Dati di ricerca nell'ambito di un Research Agreement: 24 mesi dalla fine del progetto. Documenti contabili: 7 anni (legge contabile belga). La cancellazione anticipata puo essere richiesta in qualsiasi momento a legal@withvr.app ed e eseguita entro 30 giorni, salvo i casi in cui la legge imponga un periodo di conservazione piu lungo.

Fonte: Privacy Policy §6

2. IA e trasparenza

Classificazione ai sensi dell'EU AI Act

Therapy withVR e stato valutato formalmente ai sensi dell'EU AI Act e non e classificato come sistema di IA ad alto rischio ai sensi dell'Article 6 o dell'Annex III. La piattaforma non valuta gli esiti di apprendimento, non monitora il comportamento degli studenti, non assegna punteggi a prove, non prende decisioni cliniche e non assiste funzioni di dispositivi medici. Anche qualora una funzione fosse considerata toccare una categoria dell'Annex III, si applicherebbero le esenzioni dell'Article 6(3) (compiti procedurali ristretti, miglioramento del risultato di un'attivita umana svolta in precedenza, senza sostituire la valutazione umana). Non sono richieste valutazione di conformita, registrazione nel database UE o marcatura CE.

Fonte: EU AI Act Statement §2

Article 5 - pratiche vietate

Esaminato e confermato: non sono presenti pratiche vietate ai sensi dell'Article 5. Nessuna tecnica subliminale, nessuno sfruttamento di vulnerabilita, nessun social scoring, nessuna identificazione biometrica remota in tempo reale, nessun riconoscimento delle emozioni in contesti di lavoro o istruzione.

Fonte: EU AI Act Statement §2.4

Article 4 - alfabetizzazione sull'IA

In vigore da febbraio 2025. Conforme. withVR BV eroga formazione di onboarding dal vivo a tutti gli utenti, coprendo l'uso, i limiti e l'impiego responsabile delle funzionalita IA. La documentazione delle funzionalita IA e inclusa nella documentazione della piattaforma. Le istituzioni sono tenute a garantire un livello sufficiente di alfabetizzazione sull'IA al proprio personale; il nostro onboarding sostiene tale obbligo.

Fonte: EU AI Act Statement §3

Article 50 - trasparenza per voci sintetizzate dall'IA e testi generati dall'IA

Applicabile dal 2 agosto 2026. In preparazione. L'informativa e gia presente in EULA, ToS, Privacy Policy e EU AI Act Compliance Statement. L'informativa in-app sara confermata conforme prima della scadenza del 2 agosto 2026. Le voci degli avatar in ogni sessione sono sintetizzate dall'IA tramite Google Text-to-Speech; quando le funzionalita OpenAI opzionali sono attivate, il testo inserito nei campi IA e elaborato da un sistema di IA. I professionisti supervisori sono responsabili di informare le persone con cui lavorano dove richiesto da obblighi professionali o istituzionali.

Fonte: EU AI Act Statement §5

Funzionalita IA: fornitore, dati, posizione sull'addestramento

Sempre attive: sintesi vocale degli avatar (Google Text-to-Speech). Solo il testo del parlato dell'avatar viene inviato per la sintesi vocale; nessun dato di utenti, clienti o partecipanti. Opzionali, disattivate per impostazione predefinita: traduzione di frasi, generazione di testo, correzione automatica, riconoscimento vocale Whisper, grammatica del parlante, regolazione della formalita, parlato emotivo (tutte tramite OpenAI API). In base alla API data usage policy di OpenAI, gli input API non sono utilizzati per addestrare i modelli di OpenAI per impostazione predefinita. In esercizio normale, nessun nome di cliente, registrazione di sessione o PII relativa alle persone con cui si lavora viene inviata a nessuno dei fornitori. Gli utenti sono espressamente istruiti a non inserire PII nei campi di testo basati sull'IA.

Fonte: Privacy Policy §4 · Sub-Processor List

3. Consenso informato

Il professionista supervisore e responsabile dell'ottenimento del consenso informato dalle persone con cui lavora, in conformita al proprio codice deontologico, alla policy istituzionale e al diritto applicabile. A supporto, withVR mette a disposizione gratuitamente un VR Informed Consent Template, una scheda informativa VR in linguaggio chiaro per clienti e familiari e l'EU AI Act Compliance Statement con formulazioni di disclosure pronte da inserire nei propri documenti di consenso. Il coinvolgimento dell'IA (voci sintetiche e funzionalita OpenAI eventualmente attivate) deve essere divulgato dove richiesto dagli standard professionali o dal diritto applicabile.

Fonte: Acceptable Use Policy §2 · EU AI Act Statement

4. Lingua e accessibilita

WCAG 2.2 livello AA

Sito marketing (withvr.app): autovalutazione rispetto a WCAG 2.2 AA completata ad aprile 2026. Lighthouse Accessibility 100/100 su desktop e mobile per le pagine prioritarie. Le scansioni automatizzate pa11y e axe-core mostrano che tutte le criticita gravi sono risolte. Web App: in corso rispetto a WCAG 2.2 AA, con lacune parziali note documentate onestamente nell'Accessibility Statement (zoom del browser, test formale con screen reader, audit formale del contrasto). VR App: hand tracking supportato come alternativa ai controller; l'accessibilita fisica della VR e una decisione clinica del professionista supervisore.

Fonte: Accessibility Statement §1, §4, §5

VPAT / ACR

VPAT v2.5 (International Edition) completato a marzo 2026, a copertura di WCAG 2.0/2.1/2.2, Section 508 ed EN 301 549 per la piattaforma v4.0.0. Disponibile su richiesta a legal@withvr.app.

European Accessibility Act, EN 301 549, Section 508

EAA in vigore da giugno 2025. Therapy withVR e principalmente una piattaforma B2B per professionisti; l'applicabilita dell'EAA agli strumenti B2B viene monitorata man mano che si sviluppano gli orientamenti attuativi belgi. I miglioramenti di accessibilita puntano a EN 301 549 / WCAG 2.2 AA indipendentemente dall'applicabilita dell'EAA. Section 508: allineamento parziale tramite il lavoro WCAG 2.2 AA; nessuna valutazione formale Section 508 completata.

Fonte: Accessibility Statement §3, §7

Lingue

Interfaccia Web App disponibile in 59 lingue. 52 combinazioni di voce avatar lingua-regione. Sito marketing disponibile in 11 versioni linguistiche (inglese piu olandese, francese, tedesco, norvegese, italiano, ceco, spagnolo, portoghese, greco, arabo, turco), con attributo lang corretto e supporto RTL per l'arabo.

5. Adeguatezza culturale e clinica

Tutti gli scenari, le frasi e i contenuti delle conversazioni sono configurabili dal professionista supervisore - la pertinenza culturale e contestuale e determinata dall'utente, non da noi. Ambienti di parlato personalizzabili e una stanza vuota liberamente configurabile supportano una pratica che riflette il contesto reale della persona. Gli studi peer-reviewed che utilizzano Therapy withVR o scenari sviluppati da withVR sono catalogati nell'Evidence Hub con citazione completa, sintesi in linguaggio chiaro e giudizio di certezza per ciascuno. La piattaforma non avanza alcuna rivendicazione di efficacia clinica propria; le evidenze provengono dalla letteratura.

Fonte: Evidence Hub · Scenarios

6. Sicurezza e notifica delle violazioni

Cifratura e archiviazione

Tutti i dati a riposo in Google Cloud Firestore sono cifrati con AES-256 (cifratura di infrastruttura predefinita Google Cloud). I nomi di profilo sono inoltre cifrati a livello applicativo con AES-256 e vettori di inizializzazione univoci per record. Tutti i dati in transito sono cifrati con TLS 1.2 o superiore. Le password sono interamente gestite da Firebase Authentication - withVR BV non ha mai accesso alle password degli utenti.

Fonte: Privacy Policy §8 · DPA §6 (su richiesta)

Gestione delle patch

Patch critiche (CVSS 9.0+, zero-day, vulnerabilita che interessano Firebase auth o storage): entro 48 ore. Alta (CVSS 7.0-8.9): entro 7 giorni. Media (CVSS 4.0-6.9): entro 30 giorni o alla release successiva. Identificazione tramite bollettini dei fornitori, NVD/CVE e GitHub Dependabot. Allineata agli obblighi dell'articolo 32 del GDPR e all'attuazione belga di NIS2.

Fonte: Patch Management Policy §4 (su richiesta)

Notifica delle violazioni

Notifica di una violazione di dati personali all'Autorita belga per la protezione dei dati (GBA) entro 72 ore dalla conoscenza (Article 33 del GDPR). Notifica all'ICO del Regno Unito ai sensi del UK GDPR. Gli utenti interessati sono informati senza ingiustificato ritardo qualora la violazione comporti probabilmente un rischio elevato. I clienti istituzionali con DPA firmata sono informati entro 72 ore secondo i termini della DPA.

Fonte: Privacy Policy §10 · ToS §11.3 · DPA §11 (su richiesta)

Disponibilita e resilienza del servizio

Hosting su Google Cloud Firebase (Francoforte) con SLA di disponibilita al 99,95 % di Google. Replica multi-zona dei dati nella regione UE. Firestore point-in-time recovery con finestra di 7 giorni. Backup giornalieri conservati 30 giorni, backup settimanali 98 giorni. Priorita di risposta agli incidenti (P1 indisponibilita totale / violazione dei dati entro 2 ore; P2 indisponibilita parziale entro 4 ore; P3 lieve degrado entro il giorno lavorativo successivo). La Web App opera indipendentemente dal sito marketing, e la VR App opera, dopo l'installazione, indipendentemente dal canale di distribuzione Meta Quest Store.

Fonte: Business Continuity & Disaster Recovery Summary (su richiesta)

Certificazioni di sicurezza indipendenti

Posizione onesta: withVR BV non detiene attualmente certificazioni indipendenti SOC 2 Type II o ISO 27001. L'infrastruttura della piattaforma eredita entrambe da Google Cloud / Firebase, che le mantiene. Le certificazioni indipendenti saranno valutate man mano che la piattaforma maturera. Test di penetrazione programmati non sono attualmente in essere; anche questo sara valutato man mano che la piattaforma maturera.

Fonte: Patch Management Policy §9 · BCDR §8.2 (su richiesta)

Accesso amministrativo

Posizione onesta: withVR BV e gestita da una singola persona (il fondatore). L'accesso amministrativo al progetto Firebase e limitato a tale persona. Nessun altro personale o terzo ha accesso diretto al database di produzione o all'infrastruttura. L'autenticazione a piu fattori sugli account amministrativi e pianificata. L'infrastruttura sottostante della piattaforma gira su servizi gestiti Google Cloud che operano indipendentemente dal coinvolgimento quotidiano di withVR BV, attenuando la dipendenza da una singola persona a livello di infrastruttura. Gli scenari di indisponibilita del fondatore sono trattati nel Business Continuity Summary.

Fonte: Privacy Policy §8 · BCDR §5 (su richiesta)

Audit logging

I Google Cloud Audit Logs sono abilitati sull'intero progetto di produzione e forniscono una traccia a prova di manomissione di ogni azione amministrativa e di ogni operazione sui dati dei clienti. I log Admin Activity sempre attivi registrano ogni modifica di configurazione. I log Admin Read, Data Read e Data Write sono abilitati per Cloud Firestore (dove risiedono i dati dei clienti), per la Cloud Storage for Firebase API (regole e configurazione) e per Google Cloud Storage (operazioni sui file - caricamento, download, eliminazione). I log sono conservati secondo la policy di retention predefinita di Google Cloud (400 giorni per i data access logs, 400 giorni per l'admin activity) e sono utilizzati esclusivamente per l'indagine di incidenti di sicurezza e per la verifica di conformita. Questo rientra nelle misure tecniche e organizzative di withVR BV ai sensi di GDPR Article 32.

Fonte: Google Cloud Audit Logs (progetto Firebase) · BCDR §6 (su richiesta)

Requisiti di rete (per l'IT istituzionale)

Tutto il traffico withVR BV utilizza HTTPS sulla porta 443. La Web App richiede withvr.app, firestore.googleapis.com, firebasestorage.googleapis.com, texttospeech.googleapis.com e (solo quando le funzionalita IA sono abilitate) api.openai.com. La VR App non si connette a OpenAI. L'hardware Meta Quest richiede inoltre i domini della piattaforma Meta - le istituzioni con reti restrittive (in particolare le scuole) devono garantire che questi non siano bloccati. L'elenco completo di domini, porte, browser e sistemi operativi e disponibile sulla pagina Compatibility.

Fonte: pagina Compatibility · BCDR §8.1 (su richiesta)

7. Lavoro con minori e nelle scuole

I titolari di account devono avere 18+ anni. La piattaforma puo essere utilizzata con minorenni solo sotto la diretta supervisione e controllo di un professionista adulto qualificato. Gli studenti non creano mai account, non effettuano l'accesso e non inviano dati personali direttamente alla piattaforma. Nessun nome di studente, identificativo o PII puo essere inserito nella piattaforma. L'hardware Meta Quest dispone di una eta minima distinta di 10 anni stabilita da Meta - questa e la policy di Meta, non la nostra, e si applica indipendentemente dalla supervisione professionale.

Tre soglie possono applicarsi contemporaneamente: la policy di eta della piattaforma, la legge applicabile sulla privacy (es. i 13 anni di COPPA, i 13-16 anni dell'articolo 8 del GDPR a seconda dello Stato membro) e il consenso clinico (di norma sotto i 18 anni). Prevale la soglia piu alta. Il professionista supervisore e responsabile del consenso del genitore o del tutore nella propria giurisdizione.

Per le scuole statunitensi sono disponibili un accordo FERPA, una Student Data Privacy Agreement o la SDPC National DPA - vedere la sezione 8 (Accordi disponibili) qui sotto.

Fonte: Educational Use Policy §1, §3 · EULA §8

8. Maturita organizzativa

Certificazione come dispositivo medico

Therapy withVR non e un dispositivo medico. Non marcato CE ai sensi dell'EU MDR. Non regolato dalla FDA. Non marcato UKCA. La piattaforma non diagnostica, non cura, non assegna punteggi, non misura e non prende decisioni cliniche. Tutte le decisioni cliniche restano responsabilita esclusiva del professionista supervisore. Le funzionalita IA generano solo suggerimenti di contenuto e non costituiscono ne pareri ne valutazioni cliniche.

Fonte: EULA §1 · AUP §1 · EU AI Act Statement §2

SLA e uptime

withVR BV non offre una garanzia di disponibilita autonoma, ma la piattaforma eredita lo SLA di disponibilita al 99,95 % di Google Cloud per l'infrastruttura sottostante. La manutenzione programmata viene comunicata in anticipo ove possibile. I tempi di indisponibilita non programmati sono comunicati via email e sul sito.

Fonte: ToS §12.2 · EULA §11

Prezzi e IVA

Abbonamento standard 49 EUR/mese per posto (IVA esclusa, con fatturazione annuale). Sconti pluriennali disponibili fino a 5 anni. Tanti posti quanti necessari. Preventivi su carta intestata, fatturazione su ordine d'acquisto e documentazione integrativa per gli acquisti su richiesta. Possiamo dialogare direttamente con i team IT, acquisti o protezione dei dati per chiarire i requisiti di vendor onboarding.

Fonte: ToS §6 · Refund Policy

Tutela dei consumatori (UE)

Diritto legale di recesso di 14 giorni ai sensi della direttiva 2011/83/UE sui diritti dei consumatori e della legge belga di attuazione. Diritto belga / foro di Gand. I consumatori UE conservano il diritto di adire i giudici del proprio luogo di residenza abituale; la piattaforma europea per la risoluzione online delle controversie e disponibile su ec.europa.eu/consumers/odr (si apre in una nuova scheda).

Fonte: ToS §6.4, §16 · Refund Policy §2, §9

9. Validazione tra pari

Therapy withVR e utilizzato in ricerche peer-reviewed attive presso universita e ospedali in molti paesi. L'Evidence Hub cataloga ogni studio pubblicato con citazione completa, sintesi in linguaggio chiaro e livello di certezza. Universita, NHS trust e distretti scolastici che hanno gia completato i propri processi di approvazione istituzionale sono lieti di essere contattati come referenze - richieste tramite hello@withvr.app.

Accordi disponibili

Su richiesta a legal@withvr.app: DPA, accordo FERPA / SDPC National DPA, Research Agreement, accordo supplementare personalizzato, documentazione DPIA, VPAT v2.5, riepilogo BCDR, Patch Management Policy.

Documenti

Tutti i documenti pubblici sono collegati da withvr.app/it/legal:

• Privacy Policy (inglese)
• Terms of Service (inglese)
• End User License Agreement (inglese)
• Acceptable Use Policy (inglese)
• Educational Use Policy (inglese)
• EU AI Act Compliance Statement (inglese)
• Accessibility Statement (inglese)
• Cookie Policy (inglese)
• Refund and Return Policy (inglese)
• Sub-Processor List (inglese)

Cosa non rivendichiamo

Nessuna rivendicazione di dispositivo medico. Nessuna rivendicazione di conformita HIPAA - siamo fuori ambito per progettazione. Nessuna SOC 2 / ISO 27001 indipendente - ereditata da Google Cloud a livello di infrastruttura. Nessun audit WCAG formale completato - autovalutazione e VPAT v2.5 disponibili. Nessuna conformita NIS2 - rivendichiamo allineamento all'attuazione belga di NIS2. Nessuna affermazione che l'IA sostituisce il giudizio clinico - tutte le funzionalita IA sono opzionali e disattivabili.

Contatto

Acquisti, questionari fornitori, revisioni di sicurezza e richieste di accordi: legal@withvr.app. La nostra Technology Checklist for SLPs pubblica e il quadro su cui questa pagina e strutturata - usatela su di noi, o su qualsiasi altro strumento che valutate.

withVR BV · Jozef Hebbelynckstraat 21, Merelbeke 9820, Belgium · BE-0790.909.294 · Ultima revisione 2026-04-26