Accordo sul Trattamento Dati (DPA)
Ultimo aggiornamento: aprile 2025
Il presente Accordo sul Trattamento dei Dati (“DPA”) integra i Termini e Condizioni di GlowBook e disciplina il trattamento dei dati personali dei clienti finali dei centri estetici che utilizzano il Servizio.
1. Ruoli e responsabilità
- Titolare del trattamento: l'Utente (centro estetico) che inserisce e gestisce i dati dei propri clienti finali tramite GlowBook
- Responsabile del trattamento: [RAGIONE SOCIALE] (“GlowBook”), che tratta i dati per conto dell'Utente
2. Oggetto del trattamento
| Elemento | Dettaglio |
|---|---|
| Categorie di interessati | Clienti del centro estetico |
| Tipi di dati | Nome, cognome, telefono, email, data di nascita, storico appuntamenti, note sui trattamenti, dati di pagamento (metodo), tessere fedeltà |
| Finalità | Gestione appuntamenti, comunicazioni di servizio (promemoria WhatsApp), programma fedeltà, fatturazione |
| Durata | Per tutta la durata del contratto di servizio + 30 giorni per l'export |
3. Obblighi del Responsabile (GlowBook)
GlowBook si impegna a:
- Trattare i dati personali solo su istruzione documentata dell'Utente (Titolare), salvo obblighi di legge
- Garantire che le persone autorizzate al trattamento siano vincolate da obblighi di riservatezza
- Adottare misure tecniche e organizzative adeguate ai sensi dell'art. 32 GDPR, tra cui:
- Crittografia dei dati in transito (TLS 1.3) e a riposo
- Isolamento dei dati per studio tramite Row Level Security (RLS)
- Autenticazione sicura con hashing delle password
- Backup giornalieri automatici
- Accesso ai dati limitato al minimo necessario
- Non avvalersi di altri responsabili del trattamento senza previa autorizzazione generale o specifica dell'Utente (vedi sezione Sub-responsabili)
- Assistere l'Utente nel garantire il rispetto dei diritti degli interessati (accesso, rettifica, cancellazione, portabilità)
- Notificare l'Utente senza ingiustificato ritardo (e comunque entro 48 ore) in caso di violazione dei dati personali (data breach)
- Al termine del contratto, cancellare o restituire tutti i dati personali su richiesta dell'Utente
4. Obblighi del Titolare (Centro estetico)
L'Utente, in qualità di Titolare, si impegna a:
- Garantire la liceità del trattamento dei dati dei propri clienti finali
- Fornire un'informativa privacy adeguata ai propri clienti finali
- Ottenere il consenso dei clienti finali ove necessario (es. per l'invio di messaggi WhatsApp)
- Non inserire nella piattaforma dati appartenenti a categorie particolari (art. 9 GDPR: dati sanitari, biometrici, ecc.) se non strettamente necessario e con adeguata base giuridica
5. Sub-responsabili
L'Utente autorizza in via generale GlowBook ad avvalersi dei seguenti sub-responsabili:
| Sub-responsabile | Finalità | Localizzazione |
|---|---|---|
| Supabase Inc. | Database e autenticazione | UE (Francoforte) |
| Vercel Inc. | Hosting applicazione | UE / USA (CDN) |
| Stripe Inc. | Pagamenti | USA (DPF) |
| Meta Platforms Inc. | WhatsApp Business API | USA (DPF) |
Qualsiasi modifica ai sub-responsabili verrà comunicata all'Utente con almeno 30 giorni di anticipo. L'Utente può opporsi alla nomina di un nuovo sub-responsabile; in tal caso, potrà recedere dal contratto senza penali.
6. Trasferimenti internazionali
I trasferimenti di dati verso paesi terzi avvengono esclusivamente sulla base di garanzie adeguate ai sensi del Capo V del GDPR (Data Privacy Framework UE-USA, Clausole Contrattuali Standard, o decisioni di adeguatezza della Commissione Europea).
7. Audit
GlowBook mette a disposizione dell'Utente le informazioni necessarie a dimostrare il rispetto degli obblighi previsti dall'art. 28 GDPR. L'Utente ha diritto di effettuare audit, anche tramite un revisore incaricato, con preavviso di 30 giorni.
8. Durata e cessazione
Il presente DPA ha effetto dalla data di registrazione dell'Utente e resta in vigore per tutta la durata del contratto di servizio. Al termine del contratto, GlowBook cancellerà i dati entro 30 giorni, salvo obblighi di legge.
9. Contatti per la protezione dei dati
Per qualsiasi questione relativa al trattamento dei dati personali:
Email: [EMAIL]
PEC: [PEC]