Note legali · octobooking.com
Accordo sul trattamento dei dati
Versione 1.2 · In vigore dal 30 giugno 2026
Il presente Accordo sul trattamento dei dati (“DPA”) è stipulato tra te (il “Titolare”) e Octobooking, un servizio beta gestito da Tomas Bardhi (“Responsabile”) e costituisce parte integrante dei Termini e Condizioni. Disciplina il trattamento dei dati personali effettuato dal Responsabile per conto del Titolare, ai sensi dell’articolo 28 del Regolamento (UE) 2016/679 (“GDPR”).
1. Parti
Titolare del trattamento: la persona fisica o giuridica che ha accettato il presente DPA creando un’Attività su octobooking.com. In qualità di titolare dell’Attività, determini le finalità e i mezzi del trattamento dei dati personali dei tuoi clienti.
Responsabile del trattamento: Octobooking, un servizio beta gestito da Tomas Bardhi, che gestisce la piattaforma su octobooking.com. Il Responsabile agisce esclusivamente sulla base delle istruzioni documentate del Titolare e non determina autonomamente la finalità di alcun trattamento.
2. Oggetto e durata
Il Responsabile fornisce una piattaforma cloud per la gestione di appuntamenti e prenotazioni che consente al Titolare di gestire prenotazioni, clienti, turni del personale e relativi dati operativi della propria attività.
Octobooking è uno strumento di pianificazione. Non elabora pagamenti per conto del Titolare, non emette fatture o documenti fiscali e non è collegato ad alcuna autorità fiscale.
Il trattamento inizia con l’accettazione del presente DPA e prosegue finché il Titolare mantiene un account attivo. La cessazione è disciplinata dalla Sezione 8.
3. Finalità del trattamento
Il Responsabile tratta i dati personali esclusivamente per fornire il Servizio, che comprende:
- la creazione e gestione dei registri di prenotazione dei clienti per conto del Titolare;
- l’invio di notifiche transazionali — conferme, promemoria e cancellazioni — ai clienti finali via email e/o SMS;
- la fornitura al Titolare di strumenti di gestione clienti, pianificazione del personale e reportistica;
- il mantenimento di registri operativi anonimizzati dopo la cancellazione dell’account (si veda la Sezione 8).
Il Responsabile non utilizzerà i dati personali per finalità proprie, per pubblicità o per qualsiasi finalità diversa da quelle sopra elencate.
4. Categorie di dati personali e interessati
Interessati: i clienti finali dell’attività del Titolare (le persone che effettuano o ricevono prenotazioni) e i membri del personale del Titolare (nomi utilizzati nei registri di prenotazione).
Categorie di dati trattati:
- Identità: nome, cognome;
- Contatto: indirizzo email, numero di telefono;
- Prenotazione: date e orari degli appuntamenti, nome del servizio, membro del personale, note;
- Operativi: stato del pagamento (pagato/non pagato), prezzo del servizio (solo a titolo di riferimento — nessuna fatturazione);
- Tecnici: indirizzo IP (solo limitazione delle richieste e sicurezza), token di sessione (autenticazione).
5. Obblighi del Responsabile (art. 28(3) GDPR)
Il Responsabile si impegna a:
- Trattare i dati personali solo sulla base delle istruzioni documentate del Titolare, anche in caso di trasferimenti internazionali, salvo diversamente richiesto dal diritto dell’UE o di uno Stato membro.
- Garantire che tutte le persone autorizzate al trattamento siano vincolate da adeguati obblighi di riservatezza.
- Attuare misure tecniche e organizzative adeguate al rischio (art. 32 GDPR) — si veda la Sezione 9.
- Ricorrere a sub-responsabili solo conformemente alla Sezione 6, con obblighi equivalenti in materia di protezione dei dati.
- Assistere il Titolare nel dare seguito alle richieste di esercizio dei diritti degli interessati (accesso, rettifica, cancellazione, portabilità) ai sensi del Capo III GDPR.
- Notificare al Titolare senza ingiustificato ritardo — e al più tardi entro 48 ore — dal momento in cui viene a conoscenza di una violazione dei dati personali che interessa i dati del Titolare. La notifica include: (a) la natura della violazione e il numero approssimativo di interessati e di registri coinvolti; (b) le probabili conseguenze; (c) le misure adottate o proposte. Ciò consente al Titolare di valutare il proprio obbligo di notifica all’autorità di controllo entro 72 ore ai sensi dell’art. 33 GDPR.
- Mettere a disposizione le informazioni necessarie a dimostrare la conformità e consentire audit o ispezioni da parte del Titolare o di un auditor incaricato.
- Su richiesta del Titolare, cancellare o restituire tutti i dati personali al termine del rapporto di servizio, fatta salva la Sezione 8.
6. Sub-responsabili
Il Titolare concede al Responsabile un’autorizzazione generale a ricorrere ai sub-responsabili elencati di seguito. Il Responsabile comunicherà al Titolare eventuali modifiche previste, concedendo una ragionevole possibilità di opporsi.
| Fornitore | Finalità | Sede / Base |
|---|---|---|
| Vercel Inc. | Hosting dell'applicazione e CDN | USA — CCS |
| Neon Inc. | Database PostgreSQL | UE (Francoforte) |
| Resend Inc. | Email transazionali | USA — CCS |
| Twilio Inc. | SMS transazionali; invio e verifica OTP (Twilio Verify); profilazione del rischio del numero (Twilio Lookup V2) | USA — CCS |
| Cloudflare Inc. | Prevenzione di bot e frodi (Turnstile — tratta l'indirizzo IP e i segnali del browser in fase di registrazione) | USA — CCS |
| Upstash Inc. | Limitazione distribuita delle richieste (memorizzazione temporanea di indirizzi IP e numeri di telefono, max 10 minuti, per prevenire abusi via SMS) | USA — CCS |
| UploadThing (Ping Labs Inc.) | Archiviazione di immagini e file | Singapore — CCS |
| OpenFreeMap | Tile della mappa nella pagina pubblica di prenotazione (riceve l'indirizzo IP del visitatore; caricata solo con consenso funzionale) | UE (Germania) |
CCS = Clausole Contrattuali Standard, Decisione della Commissione 2021/914/UE (art. 46(2)(c) GDPR).
7. Trasferimenti internazionali di dati
I dati personali sono conservati nell’UE (Neon, Francoforte). Alcuni sub-responsabili hanno sede al di fuori del SEE — negli Stati Uniti e, per l’archiviazione delle immagini (UploadThing), a Singapore. I trasferimenti verso di essi avvengono sulla base delle Clausole Contrattuali Standard (Decisione della Commissione 2021/914/UE), integrate dalla cifratura in transito (TLS) e a riposo.
8. Conservazione e cancellazione dei dati
Quando un interessato esercita il diritto alla cancellazione (art. 17 GDPR), o quando un account del Titolare viene chiuso, il Responsabile applica la seguente procedura:
- Gli identificativi personali vengono cancellati immediatamente: nome, indirizzo email, numero di telefono ed eventuali note in testo libero vengono sovrascritti con segnaposto anonimi. L’account di autenticazione viene eliminato.
- I gusci di prenotazione anonimizzati vengono conservati per un ragionevole periodo operativo (fino a 2 anni dopo l’ultima prenotazione). Essi non contengono identificativi personali — solo date, nomi dei servizi e riferimenti di prezzo — e rispondono al legittimo interesse del Titolare a mantenere lo storico della propria attività (art. 17(3)(e) e art. 6(1)(f) GDPR). Successivamente vengono eliminati definitivamente.
Questa applicazione è uno strumento di pianificazione. Non produce fatture, non si collega ad autorità fiscali e non gestisce registri contabili. Nessuna conservazione viene effettuata sulla base di norme fiscali o tributarie.
9. Misure tecniche e organizzative
Misure attuate in conformità all’art. 32 GDPR:
- Tutti i dati in transito sono cifrati con TLS 1.2 o superiore;
- I dati a riposo sono cifrati dal fornitore del database (AES-256);
- L’accesso ai sistemi di produzione richiede MFA ed è limitato al personale autorizzato;
- L’autenticazione è gestita da una libreria dedicata con limitazione delle richieste, blocco IP e verifica OTP via telefono;
- I dati personali sono pseudonimizzati al momento della cancellazione dell’account (procedura di “ghosting”, Sezione 8);
- Le dipendenze sono riesaminate regolarmente per individuare vulnerabilità di sicurezza.
10. Responsabilità del Titolare
In qualità di Titolare del trattamento, sei responsabile di:
- Stabilire una base giuridica per il trattamento dei dati personali dei tuoi clienti (di norma art. 6(1)(b) GDPR — esecuzione di un contratto — per la gestione delle prenotazioni);
- Fornire ai tuoi clienti un’informativa sulla privacy contenente le informazioni richieste dall’art. 13 GDPR e dichiarare che Octobooking è utilizzato come responsabile del trattamento;
- Categorie particolari di dati: non inserire dati di categoria particolare (art. 9 GDPR — es. informazioni sulla salute) nelle note in testo libero senza una valida base giuridica ai sensi dell’art. 9. Resti l’unico responsabile di eventuali dati di questo tipo che scegli di inserire;
- Gestire le richieste degli interessati provenienti dai tuoi clienti e comunicare al Responsabile le richieste pertinenti, ove opportuno;
- Garantire che il personale con accesso alla piattaforma comprenda i propri obblighi in materia di protezione dei dati.
11. Aggiornamenti del presente DPA
Il Responsabile può aggiornare il presente DPA per riflettere modifiche normative, tecnologiche o del Servizio. Le modifiche sostanziali saranno comunicate almeno 30 giorni prima dell’entrata in vigore. L’uso continuato del Servizio dopo la data di efficacia costituisce accettazione. Il numero di versione e la data di efficacia correnti sono indicati in cima a questa pagina.
12. Legge applicabile
Il presente DPA è disciplinato dal diritto dell’UE, in particolare dal GDPR e, ove applicabile, dalla normativa nazionale di attuazione dello Stato membro in cui è stabilito il Titolare. Le controversie saranno devolute al foro competente della giurisdizione del Titolare.
Contatti
Richieste in materia di protezione dei dati: privacy@octobooking.com