Privacy Policy

1. Premessa

La presente Privacy Policy descrive come SP ("noi", "il nostro servizio") raccoglie, utilizza e protegge i dati personali degli utenti che utilizzano il sistema di prenotazione online all'indirizzo /prenota.

Il trattamento dei dati personali avviene nel rispetto del GDPR (Regolamento UE 2016/679) e della normativa italiana vigente.

2. Dati raccolti

Raccogliamo i seguenti dati personali nelle circostanze indicate:

2.1 Dati forniti direttamente dall'utente

• Nome e cognome — necessario per identificare l'utente e gestire la prenotazione
• Indirizzo email — necessario per la conferma della prenotazione, i reminder e l'accesso all'account
• Numero di telefono — opzionale, utilizzato per notifiche via WhatsApp e contatto diretto
• Password — conservata in forma cifrata (hash bcrypt), mai in chiaro
• Nome dell'attività e indirizzo — per i gestori che registrano la propria attività
• Servizio, data e orario — dati relativi alla prenotazione effettuata
• Dati vocali — trascrizioni audio tramite microfono, elaborate da Deepgram per la funzione messaggi vocali all'agente AI. L'audio viene trasmesso a Deepgram esclusivamente per la trascrizione e non viene mai conservato sui nostri server.
• Sesso e fascia d'età — facoltativi, forniti volontariamente dall'utente. Raccolti esclusivamente per migliorare il servizio attraverso personalizzazione dei suggerimenti e analisi aggregate anonime. La mancata indicazione non pregiudica l'utilizzo del Servizio.

2.2 Dati raccolti automaticamente

• Posizione geografica (GPS/geocoding) — raccolta solo con esplicito consenso dell'utente, tramite il browser o tramite inserimento manuale dell'indirizzo. Utilizzata esclusivamente per mostrare attività nelle vicinanze e per la geocodifica dell'indirizzo dell'attività tramite OpenStreetMap Nominatim.
• Dati di geolocalizzazione — raccolti solo se l'utente concede esplicitamente il permesso, utilizzati per mostrare attività nelle vicinanze. Non vengono conservati sui nostri server.
• Log tecnici — indirizzi IP e log di accesso conservati dal provider di hosting per finalità di sicurezza, per il periodo minimo necessario.

Non chiediamo deliberatamente categorie particolari di dati personali ai sensi dell'art. 9 GDPR (origine etnica, dati sanitari, dati biometrici, orientamento sessuale, opinioni politiche, ecc.). Il Servizio mette a disposizione del gestore campi a testo libero (es. note di abbonamento, nome del servizio) che potrebbero involontariamente contenere informazioni riconducibili a tali categorie: SP raccomanda esplicitamente al gestore di non inserire dati relativi alla salute o ad altre categorie particolari salvo necessita' del trattamento e previa raccolta del consenso esplicito dell'interessato (art. 9(2)(a) GDPR). Eventuale conservazione di dati Art. 9 e' di esclusiva responsabilita' del gestore in qualita' di titolare autonomo del trattamento di quei dati.

3. Finalità e basi giuridiche del trattamento

3.1 Gestione della prenotazione

Base giuridica: Esecuzione di un contratto (art. 6(1)(b) GDPR).
I tuoi dati sono trattati per registrare, gestire e confermare la prenotazione del servizio selezionato.

3.2 Comunicazioni via email

Base giuridica: Esecuzione di un contratto (art. 6(1)(b) GDPR).
L'indirizzo email fornito viene utilizzato per inviare la conferma della prenotazione e promemoria prima dell'appuntamento. Nessun altro utilizzo commerciale o promozionale viene effettuato senza consenso esplicito.

3.3 Notifiche push

Base giuridica: Consenso esplicito (art. 6(1)(a) GDPR).
Se hai abilitato le notifiche push sul tuo browser, potremmo inviare aggiornamenti relativi alla tua prenotazione. Il consenso è revocabile in qualsiasi momento dalle impostazioni del browser.

3.4 Statistiche interne

Base giuridica: Legittimo interesse (art. 6(1)(f) GDPR).
I dati aggregati delle prenotazioni sono utilizzati esclusivamente per analisi statistiche interne sull'utilizzo dei servizi. Non vengono condivisi con terze parti.

3.5 Funzionalità AI

Base giuridica: Esecuzione di un contratto / Consenso (art. 6(1)(b)(a) GDPR).
I messaggi inviati all'agente AI vengono trasmessi ad Anthropic (Claude) per la generazione delle risposte. I dati non vengono conservati da SP e non vengono utilizzati per addestrare modelli AI da parte nostra. Per le modalità di trattamento da parte di Anthropic, consulta anthropic.com/privacy.

3.6 Dati demografici facoltativi (sesso e fascia d'età)

Base giuridica: Consenso esplicito (art. 6(1)(a) GDPR).
Se l'utente sceglie di indicare sesso e fascia d'età, questi dati vengono utilizzati per personalizzare suggerimenti e contenuti mostrati nel Servizio, nonché per produrre analisi aggregate e anonime sull'utilizzo della piattaforma. I dati sono trattati in forma anonimizzata per le analisi aggregate e non vengono mai associati a identificatori esterni.

3.7 Geolocalizzazione

Base giuridica: Consenso esplicito (art. 6(1)(a) GDPR).
Su richiesta esplicita dell'utente, la posizione geografica viene utilizzata per mostrare le attività nelle vicinanze. I dati di geolocalizzazione non vengono conservati da SP.

4. Conservazione dei dati

I dati personali sono conservati esclusivamente per il tempo necessario alle finalita' indicate al punto 3 e secondo i seguenti criteri (i tempi sono applicati automaticamente da un processo di cancellazione giornaliera):

• Prenotazioni (bookings): 24 mesi dalla data dell'appuntamento.
• Abbonamenti (subscriptions): 24 mesi dalla data di scadenza dell'abbonamento.
• Account cliente: conservati finche' l'account e' attivo. L'utente puo' cancellarsi in autonomia in qualsiasi momento.
• Account gestore: conservato finche' attivo. La richiesta di cancellazione e' soddisfatta entro 30 giorni dalla ricezione.
• Token di reset password: 1 ora di validita', poi cancellati entro 7 giorni dalla scadenza.
• Log notifiche push: 12 mesi.
• Sessioni WhatsApp: 90 giorni di inattivita'.
• Token dispositivo (push): 12 mesi senza refresh.
• Log di accesso server (Railway): conservati dal provider per il periodo strettamente necessario alla sicurezza, tipicamente 30 giorni.

Termini diversi possono essere applicati se necessario per adempiere a obblighi di legge (es. fiscali) o per difendere o esercitare un diritto in sede giudiziaria. In tal caso il trattamento e' limitato alla sola finalita' obbligatoria.

5. Servizi terzi utilizzati

Per erogare il Servizio ci avvaliamo dei seguenti fornitori terzi, ciascuno vincolato da propri termini e informative sulla privacy. Tutti i trasferimenti verso paesi extra-UE avvengono con adeguate garanzie (Clausole Contrattuali Standard o equivalenti):

I dati personali non sono ceduti, venduti o diffusi a terzi per scopi commerciali o promozionali.

6. Minori

Il Servizio non è destinato a minori di 18 anni, e in particolare non è destinato a bambini di età inferiore a 13 anni (ai sensi del Children's Online Privacy Protection Act — COPPA — e delle politiche di Google Play). Non raccogliamo consapevolmente dati personali di minori di 13 anni. Se sei genitore o tutore e ritieni che tuo figlio abbia fornito dati personali attraverso il nostro Servizio, contattaci immediatamente all'indirizzo indicato nella sezione 10: provvederemo alla cancellazione dei dati nel più breve tempo possibile.

7. Trasferimento dati fuori dall'UE

Alcuni dei fornitori terzi elencati nella sezione 5 (in particolare Google, Twilio, Railway e Turso) operano o possono trattare dati in paesi extra-UE, in particolare negli Stati Uniti d'America. Tali trasferimenti avvengono in presenza di adeguate garanzie ai sensi dell'art. 46 GDPR (es. Clausole Contrattuali Standard — Standard Contractual Clauses) o in base a decisioni di adeguatezza della Commissione europea, incluso il Data Privacy Framework EU-USA ove applicabile.

8. Sicurezza dei dati

Adottiamo misure tecniche e organizzative appropriate per proteggere i dati personali da accesso non autorizzato, perdita, distruzione o divulgazione. In particolare:

• Le password (gestori e clienti) sono conservate in forma hashata con bcrypt (cost factor 12). Il plaintext non e' mai persistito.
• Tutti i token di sessione e ripristino (reset password, cancel prenotazione, bearer app gestore) sono conservati nel database come SHA-256; il valore in chiaro viaggia solo nel canale di emissione (email/WhatsApp/risposta JSON al login) e non e' recuperabile in seguito.
• Le connessioni applicative al database avvengono via TLS verso Turso (provider che applica cifratura at-rest a livello di sistema).
• Le connessioni HTTPS al sito sono terminate dal provider hosting (Railway) con certificato gestito.
• Il backend implementa rate-limiting sugli endpoint sensibili (login, registrazione, reset password, lookup prenotazioni) per mitigare attacchi brute-force ed enumerazione.
• I log applicativi non includono password, token in chiaro o numeri di telefono completi.

9. Cookie

Il sito utilizza esclusivamente cookie tecnici di sessione necessari al funzionamento dell'applicazione. Non utilizziamo cookie di profilazione o di terze parti a scopo pubblicitario. Per maggiori dettagli consulta la Cookie Policy.

9bis. Permessi app mobile

L'app mobile SP (disponibile su Google Play) richiede i seguenti permessi Android:

• Fotocamera: per la scansione di QR code. Non vengono scattate foto né registrati video.
• Geolocalizzazione: per mostrare attività nelle vicinanze. Attivabile e disattivabile in qualsiasi momento dalle impostazioni del dispositivo.
• Notifiche: per inviare conferme di prenotazione e reminder. Disattivabili dalle impostazioni del dispositivo.
• Microfono: per la funzione di messaggi vocali all'agente AI. L'audio viene trasmesso a Deepgram per la trascrizione e non viene conservato da SP.

L'app può inoltre raccogliere dati demografici facoltativi (sesso e fascia d'età), forniti volontariamente dall'utente nelle impostazioni del proprio profilo, per migliorare l'esperienza e personalizzare i suggerimenti. La mancata indicazione non limita l'accesso a nessuna funzionalità dell'app.

9ter. Cancellazione dei dati

Per richiedere la cancellazione di tutti i tuoi dati personali puoi inviare una richiesta a info@supportinprenotation.it con oggetto "Richiesta cancellazione dati". Provvederemo alla cancellazione entro 30 giorni.

In alternativa puoi utilizzare il modulo disponibile alla pagina Cancellazione dati.

10. I tuoi diritti (artt. 15–22 GDPR)

Hai il diritto di:

• Accedere ai tuoi dati personali (art. 15)
• Rettificare dati inesatti (art. 16)
• Cancellare i tuoi dati ("diritto all'oblio", art. 17)
• Limitare il trattamento (art. 18)
• Ricevere i tuoi dati in formato portabile (art. 20)
• Opporti al trattamento (art. 21)
• Revocare il consenso in qualsiasi momento, senza pregiudicare la liceità del trattamento precedente

Per esercitare questi diritti, invia una richiesta via email a info@supportinprenotation.it indicando il tuo nome, cognome e la natura della richiesta. Risponderemo entro 30 giorni. Hai altresì il diritto di proporre reclamo al Garante per la Protezione dei Dati Personali (garanteprivacy.it).

11. Modifiche alla presente Policy

Ci riserviamo il diritto di aggiornare questa Privacy Policy per riflettere modifiche legislative o operative. Eventuali modifiche saranno pubblicate su questa pagina con indicazione della data di aggiornamento.