Note legali · octobooking.com

Informativa Privacy

Versione 2.0 · Ultimo aggiornamento 30 giugno 2026

La presente Informativa spiega come Octobooking, un servizio beta gestito da Tomas Bardhi (“noi”), operante su octobooking.com, raccoglie, utilizza e protegge i dati personali in conformità al Regolamento (UE) 2016/679 (“GDPR”).

1. Chi siamo

Il Titolare del trattamento per questa piattaforma è Octobooking, un servizio beta gestito da Tomas Bardhi, contattabile all’indirizzo privacy@octobooking.com.

Octobooking è attualmente una beta gratuita gestita da una persona fisica. Ai sensi del GDPR una persona fisica può essere Titolare del trattamento. Una volta costituita la società operativa, ne verranno qui pubblicati i dati completi (ragione sociale, sede legale, Partita IVA).

2. Che cos’è Octobooking

Octobooking è una piattaforma cloud per la gestione di appuntamenti e prenotazioni destinata ad attività come barbieri, saloni e fornitori di servizi simili (“Attività”). È attualmente offerta come beta gratuita. È uno strumento di pianificazione: non elabora pagamenti per conto delle Attività, non emette fatture o documenti fiscali e non ha alcun collegamento con l’Agenzia delle Entrate o altre autorità fiscali.

La presente informativa si applica a due gruppi distinti:

  • I titolari delle Attività e il loro personale che si registrano e utilizzano direttamente la piattaforma Octobooking; e
  • I clienti finali di tali Attività che interagiscono con le pagine pubbliche di prenotazione.

Per i dati dei clienti finali, il titolare dell’Attività è il Titolare del trattamento autonomo; Octobooking agisce solo come Responsabile del trattamento per suo conto (art. 28 GDPR). Si veda la Sezione 11.

3. Dati che raccogliamo

3.1 Titolari delle Attività e personale

  • Nome, indirizzo email, numero di telefono
  • Nome dell’Attività, sede, fuso orario, orari di apertura
  • Fatturazione dell’abbonamento — elaborata da Stripe; conserviamo solo l’ID cliente Stripe (non attiva durante la beta gratuita)
  • Immagini del profilo e dell’Attività tramite UploadThing
  • Token di sessione e indirizzi IP (solo per sicurezza dell’autenticazione e limitazione delle richieste)

3.2 Clienti finali delle Attività

Raccolti dalle Attività che utilizzano Octobooking e trattati da Octobooking in qualità di Responsabile del trattamento per conto dell’Attività:

  • Nome, numero di telefono, indirizzo email (facoltativo)
  • Storico delle prenotazioni: date, orari, servizi, membro del personale
  • Note in testo libero aggiunte dall’Attività
  • Stato del pagamento (pagato / non pagato — solo a titolo di riferimento; nessun pagamento è elaborato da Octobooking)

3.3 Dati tecnici automatici

  • Cookie di sessione (autenticazione)
  • Cookie di consenso — memorizza le tue preferenze sui cookie
  • Statistiche d’uso aggregate e anonime tramite Vercel Analytics (solo previo consenso — nessun dato personale raccolto)

4. Categorie particolari di dati

Octobooking non richiede categorie particolari di dati personali (art. 9 GDPR — come dati relativi alla salute, alle convinzioni religiose o dati biometrici). Tuttavia, le note in testo libero che un’Attività può associare a un cliente o a una prenotazione potrebbero, in linea di principio, contenere tali dati (ad esempio un’allergia annotata da un salone).

I titolari delle Attività, in qualità di titolari del trattamento di tali dati, non devono registrare dati di categoria particolare senza una valida base giuridica ai sensi dell’art. 9 GDPR. Octobooking non utilizza tali note per alcuna finalità diversa dalla loro visualizzazione all’Attività che le ha inserite.

5. Base giuridica e finalità

La tabella seguente riguarda i trattamenti in cui Octobooking agisce come Titolare del trattamento — ossia per i dati dei titolari delle Attività e del loro personale. Per i dati dei clienti finali, Octobooking agisce esclusivamente come Responsabile del trattamento su istruzione del titolare dell’Attività; quest’ultimo è responsabile della propria base giuridica (si veda la Sezione 11).

FinalitàBase giuridica (art. 6 GDPR)
Fornitura del servizio di gestione delle prenotazioni ai titolari delle AttivitàArt. 6(1)(b) — esecuzione di un contratto
Autenticazione e sicurezza dell'account (limitazione delle richieste, OTP tramite Twilio Verify, controlli IP, rilevamento bot tramite Cloudflare Turnstile, valutazione del rischio del numero tramite Twilio Lookup V2)Art. 6(1)(f) — legittimo interesse (integrità della piattaforma e prevenzione delle frodi)
Fatturazione dell'abbonamento tramite Stripe (non attiva durante la beta gratuita)Art. 6(1)(b) — esecuzione di un contratto
Statistiche d'uso anonime tramite Vercel AnalyticsArt. 6(1)(a) — consenso (tramite il banner cookie)
Conservazione di registri di prenotazione anonimizzati dopo la cancellazione dell'accountArt. 6(1)(f) — legittimo interesse (storico operativo dell'attività; nessun dato personale conservato)

6. Sub-responsabili

Condividiamo i dati personali solo con i fornitori elencati di seguito, ciascuno vincolato da un accordo scritto sul trattamento dei dati:

FornitoreFinalitàSede / Base
Vercel Inc.Hosting dell'applicazione, CDN, analisi anonimeUSA — CCS
Neon Inc.Database PostgreSQL (dove sono conservati i tuoi dati)UE (Francoforte, Germania)
Resend Inc.Invio di email transazionaliUSA — CCS
Twilio Inc.SMS transazionali; invio e verifica OTP via telefono (Twilio Verify); valutazione del rischio del numero (Twilio Lookup V2)USA — CCS
Cloudflare Inc.Prevenzione di bot e frodi (Turnstile — tratta l'indirizzo IP e i segnali del browser in fase di registrazione)USA — CCS
Upstash Inc.Limitazione distribuita delle richieste (memorizza temporaneamente indirizzi IP / numeri di telefono, max 10 minuti, per prevenire abusi via SMS)USA — CCS
Stripe Inc.Elaborazione dei pagamenti dell'abbonamento (solo titolari delle Attività; non attiva durante la beta gratuita)USA — CCS
UploadThing (Ping Labs Inc.)Archiviazione di immagini e file (immagini del profilo e dell'Attività)Singapore — CCS
OpenFreeMapTile della mappa nella pagina pubblica di prenotazione (riceve l'indirizzo IP del visitatore per servire la mappa; caricata solo con consenso funzionale)UE (Germania)

CCS = Clausole Contrattuali Standard, Decisione della Commissione Europea 2021/914/UE (art. 46(2)(c) GDPR).

7. Trasferimenti internazionali di dati

I tuoi dati sono conservati nell’UE (Neon, Francoforte). Diversi sub-responsabili hanno sede negli Stati Uniti e il nostro servizio di archiviazione immagini (UploadThing) ha sede a Singapore — nessuno dei due beneficia di una decisione di adeguatezza dell’UE. Tutti questi trasferimenti avvengono sulla base delle Clausole Contrattuali Standard (Decisione della Commissione 2021/914/UE), integrate dalla cifratura in transito (TLS 1.2+) e a riposo (AES-256). Nessun dato viene trasferito verso Paesi privi di una decisione di adeguatezza o di garanzie adeguate.

8. Conservazione dei dati

  • Dati dell’account del titolare dell’Attività:Per la durata dell’account, più 30 giorni dopo la cancellazione, quindi eliminati definitivamente.
  • Dati personali dei clienti finali (nome, email, telefono, note):Cancellati immediatamente alla chiusura dell’account o a seguito di una valida richiesta di cancellazione — sostituiti con segnaposto anonimi.
  • Registri di prenotazione anonimizzati (senza dati personali):Fino a 2 anni dall’ultima data di prenotazione, quindi eliminati definitivamente.
  • Log di sessione e autenticazione:Massimo 90 giorni.
  • Dati analitici:Solo aggregati, nessun dato personale, secondo la politica di conservazione di Vercel.

9. Cancellazione dell’account e diritto all’oblio

Quando un titolare di Attività o un cliente finale cancella il proprio account o presenta una valida richiesta di cancellazione, applichiamo una procedura di pseudonimizzazione:

  • Tutti gli identificativi personali — nome, email, numero di telefono, note — vengono immediatamente sovrascritti con segnaposto anonimi.
  • Il record dell’account di autenticazione viene eliminato definitivamente.
  • I registri delle prenotazioni vengono conservati in forma anonimizzata (date, nomi dei servizi, nessun identificativo) per un massimo di 2 anni, quindi eliminati.

I titolari delle Attività possono avviare la cancellazione dalle impostazioni del proprio account. I clienti finali possono richiedere la cancellazione all’indirizzo privacy@octobooking.com.

10. Cookie

I cookie non essenziali vengono impostati solo dopo aver prestato il consenso tramite il banner cookie. Puoi modificare o revocare le tue scelte in qualsiasi momento tramite il link “Preferenze cookie” nel piè di pagina del sito.

CookieCategoriaFinalitàDurata
better-auth.session_tokenEssenzialeGestione della sessione autenticata7 giorni
better-auth.session_dataEssenzialeDati di sessione cifrati7 giorni
NEXT_LOCALEEssenzialeRicorda la tua preferenza di lingua1 anno
octopus_consentEssenzialeMemorizza le tue scelte sul consenso ai cookie1 anno
sidebar_stateEssenzialeRicorda lo stato della barra laterale della dashboard (solo titolari delle Attività)7 giorni
Vercel Analytics (_va_*)Analitici — richiede consensoStatistiche anonime e aggregate sulle visualizzazioni di pagina; nessun dato personaleSessione / 1 anno

L’opzione di consenso “Funzionali” non imposta un cookie; controlla se la mappa della posizione viene caricata nella pagina pubblica di prenotazione di un’Attività. Il caricamento della mappa condivide il tuo indirizzo IP con il nostro fornitore di tile cartografiche, OpenFreeMap (con sede nell’UE). Se il consenso funzionale viene rifiutato, viene mostrato un segnaposto al posto della mappa.

11. I titolari delle Attività come titolari autonomi

Quando un titolare di Attività utilizza Octobooking per raccogliere e gestire i dati dei propri clienti, è il Titolare del trattamento autonomo di tali dati (art. 4(7) GDPR). Octobooking agisce esclusivamente come Responsabile del trattamento (art. 28 GDPR), trattando i dati solo su istruzione del titolare dell’Attività.

I titolari delle Attività sono responsabili di:

  • Stabilire una base giuridica per la raccolta dei dati dei propri clienti;
  • Fornire ai propri clienti un’adeguata informativa sulla privacy;
  • Gestire le richieste degli interessati provenienti dai propri clienti.

I termini completi di questo rapporto sono contenuti nell’Accordo sul trattamento dei dati (DPA), che ogni titolare di Attività accetta al momento della creazione dell’Attività.

12. I tuoi diritti (art. 15–22 GDPR)

  • Accesso (art. 15):Richiedere una copia dei dati personali che ti riguardano.
  • Rettifica (art. 16):Chiedere la correzione di dati inesatti o incompleti.
  • Cancellazione (art. 17):Chiedere la cancellazione dei tuoi dati personali. Si veda la Sezione 9.
  • Limitazione (art. 18):Chiedere la limitazione del trattamento in determinate circostanze.
  • Portabilità (art. 20):Ricevere i tuoi dati in un formato strutturato e leggibile da dispositivo automatico, ove il trattamento si basi sul consenso o su un contratto e sia effettuato con mezzi automatizzati.
  • Opposizione (art. 21):Opporti al trattamento basato sul legittimo interesse.
  • Revoca del consenso:Ove il trattamento si basi sul consenso (es. cookie analitici), revocarlo in qualsiasi momento senza pregiudicare i trattamenti già effettuati.

Per esercitare qualsiasi diritto, contatta privacy@octobooking.com. Rispondiamo entro un mese, prorogabile fino a due mesi ulteriori per richieste complesse, nel qual caso te ne daremo informazione.

13. Autorità di controllo

Hai il diritto di proporre reclamo all’autorità di controllo del tuo Paese di residenza:

14. Sicurezza

  • Tutti i dati in transito sono cifrati con TLS 1.2+
  • I dati a riposo sono cifrati dal fornitore del database (AES-256)
  • Le password sono conservate come hash bcrypt — mai in chiaro
  • L’accesso alla produzione è protetto da MFA e riservato al personale autorizzato
  • Le API di autenticazione sono protette da controlli multilivello: Cloudflare Turnstile (rilevamento bot), limitazione distribuita delle richieste per IP (Upstash Redis), valutazione del rischio del numero di telefono (Twilio Lookup V2) e invio OTP tramite Twilio Verify con Fraud Guard
  • Isolamento multi-tenant: ogni Attività accede solo ai propri dati

15. Modifiche alla presente informativa

Potremmo aggiornare la presente informativa per riflettere modifiche al servizio o alla normativa applicabile. Per modifiche sostanziali informeremo gli utenti registrati via email almeno 30 giorni prima dell’entrata in vigore. La versione e la data in cima a questa pagina riflettono sempre la versione corrente.

Contatti

Per qualsiasi domanda sulla privacy o per esercitare i tuoi diritti: privacy@octobooking.com

Disciplinata dal Regolamento (UE) 2016/679 (GDPR) e dalla normativa applicabile dello Stato membro dell’UE.