Privacy Policy
Ultimo aggiornamento: aprile 2025
1. Titolare del trattamento
Il Titolare del trattamento dei dati personali è [RAGIONE SOCIALE], con sede in [INDIRIZZO SEDE], P.IVA [PARTITA IVA], email: [EMAIL], PEC: [PEC] (di seguito “GlowBook” o “noi”).
2. Dati raccolti
Raccogliamo le seguenti categorie di dati personali:
- Dati identificativi: nome, cognome, indirizzo email, numero di telefono
- Dati di accesso: credenziali di autenticazione (email e password hashata)
- Dati di fatturazione: gestiti direttamente da Stripe Inc. (non conserviamo dati delle carte di pagamento)
- Dati di utilizzo: log di accesso, funzionalità utilizzate, indirizzi IP
- Dati dei clienti del centro estetico: inseriti dall'utente nella piattaforma (nome, telefono, storico trattamenti) — per questi dati agiamo come Responsabili del trattamento (vedi DPA)
3. Finalità e base giuridica
| Finalità | Base giuridica | Conservazione |
|---|---|---|
| Erogazione del servizio SaaS | Esecuzione del contratto (art. 6.1.b GDPR) | Durata del contratto + 10 anni (obblighi fiscali) |
| Gestione pagamenti | Esecuzione del contratto | Durata del contratto + 10 anni |
| Comunicazioni di servizio | Legittimo interesse (art. 6.1.f) | Durata del contratto |
| Adempimenti fiscali e contabili | Obbligo di legge (art. 6.1.c) | 10 anni dalla fine del rapporto |
| Miglioramento del servizio | Legittimo interesse | 26 mesi (dati anonimi/aggregati) |
| Marketing diretto | Consenso (art. 6.1.a) | Fino a revoca del consenso |
4. Destinatari dei dati
I dati possono essere comunicati a:
- Supabase Inc. — hosting del database e autenticazione (server UE, Francoforte)
- Vercel Inc. — hosting dell'applicazione web (CDN globale, dati processati in UE)
- Stripe Inc. — gestione pagamenti (certificato PCI DSS Level 1)
- Meta Platforms Inc. — invio messaggi WhatsApp Business API (solo numeri di telefono dei clienti finali, su istruzione dell'utente)
Tutti i fornitori operano in conformità al GDPR o dispongono di garanzie adeguate (SCC, decisioni di adeguatezza).
5. Trasferimento dati extra-UE
Alcuni fornitori (Stripe, Vercel, Meta) possono trasferire dati negli Stati Uniti. I trasferimenti avvengono sulla base del Data Privacy Framework UE-USA o delle Clausole Contrattuali Standard approvate dalla Commissione Europea.
6. Diritti dell'interessato
Ai sensi degli artt. 15-22 del GDPR, hai diritto di:
- Accedere ai tuoi dati personali
- Ottenerne la rettifica o la cancellazione
- Limitare od opporti al trattamento
- Richiedere la portabilità dei dati
- Revocare il consenso in qualsiasi momento
- Proporre reclamo al Garante per la Protezione dei Dati Personali (www.garanteprivacy.it)
Per esercitare i tuoi diritti, contattaci all'indirizzo [EMAIL].
7. Sicurezza
Adottiamo misure tecniche e organizzative adeguate, tra cui: crittografia dei dati in transito (TLS 1.3) e a riposo, autenticazione sicura con hash delle password, Row Level Security a livello di database, backup giornalieri, accesso limitato ai dati in base al principio del minimo privilegio.
8. Cookie
Per informazioni sui cookie utilizzati, consulta la nostra Cookie Policy.
9. Modifiche
Ci riserviamo di aggiornare questa informativa. Le modifiche saranno pubblicate su questa pagina con indicazione della data di ultimo aggiornamento. In caso di modifiche sostanziali, invieremo una notifica via email.