Note legali · octobooking.com

Accordo sul trattamento dei dati

Versione 1.2 · In vigore dal 30 giugno 2026

Il presente Accordo sul trattamento dei dati (“DPA”) è stipulato tra te (il “Titolare”) e Octobooking, un servizio beta gestito da Tomas Bardhi (“Responsabile”) e costituisce parte integrante dei Termini e Condizioni. Disciplina il trattamento dei dati personali effettuato dal Responsabile per conto del Titolare, ai sensi dell’articolo 28 del Regolamento (UE) 2016/679 (“GDPR”).

1. Parti

Titolare del trattamento: la persona fisica o giuridica che ha accettato il presente DPA creando un’Attività su octobooking.com. In qualità di titolare dell’Attività, determini le finalità e i mezzi del trattamento dei dati personali dei tuoi clienti.

Responsabile del trattamento: Octobooking, un servizio beta gestito da Tomas Bardhi, che gestisce la piattaforma su octobooking.com. Il Responsabile agisce esclusivamente sulla base delle istruzioni documentate del Titolare e non determina autonomamente la finalità di alcun trattamento.

2. Oggetto e durata

Il Responsabile fornisce una piattaforma cloud per la gestione di appuntamenti e prenotazioni che consente al Titolare di gestire prenotazioni, clienti, turni del personale e relativi dati operativi della propria attività.

Octobooking è uno strumento di pianificazione. Non elabora pagamenti per conto del Titolare, non emette fatture o documenti fiscali e non è collegato ad alcuna autorità fiscale.

Il trattamento inizia con l’accettazione del presente DPA e prosegue finché il Titolare mantiene un account attivo. La cessazione è disciplinata dalla Sezione 8.

3. Finalità del trattamento

Il Responsabile tratta i dati personali esclusivamente per fornire il Servizio, che comprende:

  • la creazione e gestione dei registri di prenotazione dei clienti per conto del Titolare;
  • l’invio di notifiche transazionali — conferme, promemoria e cancellazioni — ai clienti finali via email e/o SMS;
  • la fornitura al Titolare di strumenti di gestione clienti, pianificazione del personale e reportistica;
  • il mantenimento di registri operativi anonimizzati dopo la cancellazione dell’account (si veda la Sezione 8).

Il Responsabile non utilizzerà i dati personali per finalità proprie, per pubblicità o per qualsiasi finalità diversa da quelle sopra elencate.

4. Categorie di dati personali e interessati

Interessati: i clienti finali dell’attività del Titolare (le persone che effettuano o ricevono prenotazioni) e i membri del personale del Titolare (nomi utilizzati nei registri di prenotazione).

Categorie di dati trattati:

  • Identità: nome, cognome;
  • Contatto: indirizzo email, numero di telefono;
  • Prenotazione: date e orari degli appuntamenti, nome del servizio, membro del personale, note;
  • Operativi: stato del pagamento (pagato/non pagato), prezzo del servizio (solo a titolo di riferimento — nessuna fatturazione);
  • Tecnici: indirizzo IP (solo limitazione delle richieste e sicurezza), token di sessione (autenticazione).

5. Obblighi del Responsabile (art. 28(3) GDPR)

Il Responsabile si impegna a:

  1. Trattare i dati personali solo sulla base delle istruzioni documentate del Titolare, anche in caso di trasferimenti internazionali, salvo diversamente richiesto dal diritto dell’UE o di uno Stato membro.
  2. Garantire che tutte le persone autorizzate al trattamento siano vincolate da adeguati obblighi di riservatezza.
  3. Attuare misure tecniche e organizzative adeguate al rischio (art. 32 GDPR) — si veda la Sezione 9.
  4. Ricorrere a sub-responsabili solo conformemente alla Sezione 6, con obblighi equivalenti in materia di protezione dei dati.
  5. Assistere il Titolare nel dare seguito alle richieste di esercizio dei diritti degli interessati (accesso, rettifica, cancellazione, portabilità) ai sensi del Capo III GDPR.
  6. Notificare al Titolare senza ingiustificato ritardo — e al più tardi entro 48 ore — dal momento in cui viene a conoscenza di una violazione dei dati personali che interessa i dati del Titolare. La notifica include: (a) la natura della violazione e il numero approssimativo di interessati e di registri coinvolti; (b) le probabili conseguenze; (c) le misure adottate o proposte. Ciò consente al Titolare di valutare il proprio obbligo di notifica all’autorità di controllo entro 72 ore ai sensi dell’art. 33 GDPR.
  7. Mettere a disposizione le informazioni necessarie a dimostrare la conformità e consentire audit o ispezioni da parte del Titolare o di un auditor incaricato.
  8. Su richiesta del Titolare, cancellare o restituire tutti i dati personali al termine del rapporto di servizio, fatta salva la Sezione 8.

6. Sub-responsabili

Il Titolare concede al Responsabile un’autorizzazione generale a ricorrere ai sub-responsabili elencati di seguito. Il Responsabile comunicherà al Titolare eventuali modifiche previste, concedendo una ragionevole possibilità di opporsi.

FornitoreFinalitàSede / Base
Vercel Inc.Hosting dell'applicazione e CDNUSA — CCS
Neon Inc.Database PostgreSQLUE (Francoforte)
Resend Inc.Email transazionaliUSA — CCS
Twilio Inc.SMS transazionali; invio e verifica OTP (Twilio Verify); profilazione del rischio del numero (Twilio Lookup V2)USA — CCS
Cloudflare Inc.Prevenzione di bot e frodi (Turnstile — tratta l'indirizzo IP e i segnali del browser in fase di registrazione)USA — CCS
Upstash Inc.Limitazione distribuita delle richieste (memorizzazione temporanea di indirizzi IP e numeri di telefono, max 10 minuti, per prevenire abusi via SMS)USA — CCS
UploadThing (Ping Labs Inc.)Archiviazione di immagini e fileSingapore — CCS
OpenFreeMapTile della mappa nella pagina pubblica di prenotazione (riceve l'indirizzo IP del visitatore; caricata solo con consenso funzionale)UE (Germania)

CCS = Clausole Contrattuali Standard, Decisione della Commissione 2021/914/UE (art. 46(2)(c) GDPR).

7. Trasferimenti internazionali di dati

I dati personali sono conservati nell’UE (Neon, Francoforte). Alcuni sub-responsabili hanno sede al di fuori del SEE — negli Stati Uniti e, per l’archiviazione delle immagini (UploadThing), a Singapore. I trasferimenti verso di essi avvengono sulla base delle Clausole Contrattuali Standard (Decisione della Commissione 2021/914/UE), integrate dalla cifratura in transito (TLS) e a riposo.

8. Conservazione e cancellazione dei dati

Quando un interessato esercita il diritto alla cancellazione (art. 17 GDPR), o quando un account del Titolare viene chiuso, il Responsabile applica la seguente procedura:

  • Gli identificativi personali vengono cancellati immediatamente: nome, indirizzo email, numero di telefono ed eventuali note in testo libero vengono sovrascritti con segnaposto anonimi. L’account di autenticazione viene eliminato.
  • I gusci di prenotazione anonimizzati vengono conservati per un ragionevole periodo operativo (fino a 2 anni dopo l’ultima prenotazione). Essi non contengono identificativi personali — solo date, nomi dei servizi e riferimenti di prezzo — e rispondono al legittimo interesse del Titolare a mantenere lo storico della propria attività (art. 17(3)(e) e art. 6(1)(f) GDPR). Successivamente vengono eliminati definitivamente.

Questa applicazione è uno strumento di pianificazione. Non produce fatture, non si collega ad autorità fiscali e non gestisce registri contabili. Nessuna conservazione viene effettuata sulla base di norme fiscali o tributarie.

9. Misure tecniche e organizzative

Misure attuate in conformità all’art. 32 GDPR:

  • Tutti i dati in transito sono cifrati con TLS 1.2 o superiore;
  • I dati a riposo sono cifrati dal fornitore del database (AES-256);
  • L’accesso ai sistemi di produzione richiede MFA ed è limitato al personale autorizzato;
  • L’autenticazione è gestita da una libreria dedicata con limitazione delle richieste, blocco IP e verifica OTP via telefono;
  • I dati personali sono pseudonimizzati al momento della cancellazione dell’account (procedura di “ghosting”, Sezione 8);
  • Le dipendenze sono riesaminate regolarmente per individuare vulnerabilità di sicurezza.

10. Responsabilità del Titolare

In qualità di Titolare del trattamento, sei responsabile di:

  • Stabilire una base giuridica per il trattamento dei dati personali dei tuoi clienti (di norma art. 6(1)(b) GDPR — esecuzione di un contratto — per la gestione delle prenotazioni);
  • Fornire ai tuoi clienti un’informativa sulla privacy contenente le informazioni richieste dall’art. 13 GDPR e dichiarare che Octobooking è utilizzato come responsabile del trattamento;
  • Categorie particolari di dati: non inserire dati di categoria particolare (art. 9 GDPR — es. informazioni sulla salute) nelle note in testo libero senza una valida base giuridica ai sensi dell’art. 9. Resti l’unico responsabile di eventuali dati di questo tipo che scegli di inserire;
  • Gestire le richieste degli interessati provenienti dai tuoi clienti e comunicare al Responsabile le richieste pertinenti, ove opportuno;
  • Garantire che il personale con accesso alla piattaforma comprenda i propri obblighi in materia di protezione dei dati.

11. Aggiornamenti del presente DPA

Il Responsabile può aggiornare il presente DPA per riflettere modifiche normative, tecnologiche o del Servizio. Le modifiche sostanziali saranno comunicate almeno 30 giorni prima dell’entrata in vigore. L’uso continuato del Servizio dopo la data di efficacia costituisce accettazione. Il numero di versione e la data di efficacia correnti sono indicati in cima a questa pagina.

12. Legge applicabile

Il presente DPA è disciplinato dal diritto dell’UE, in particolare dal GDPR e, ove applicabile, dalla normativa nazionale di attuazione dello Stato membro in cui è stabilito il Titolare. Le controversie saranno devolute al foro competente della giurisdizione del Titolare.

Contatti

Richieste in materia di protezione dei dati: privacy@octobooking.com