Privacy Policy & DPA
Questo documento illustra le modalità di trattamento dei dati raccolti tramite l'utilizzo del Software, ai sensi del Regolamento (UE) 2016/679 (GDPR).
Sezione A – Privacy Policy (Dati dell'Utente/Salone)
Titolare del Trattamento: Il team di sviluppo del Software.
Dati raccolti: Nome, cognome, email, numero di telefono del titolare del salone e credenziali di accesso.
Finalità: Gestione della registrazione all'Open Beta, comunicazioni tecniche e operative (email transazionali), sicurezza dell'account.
Base giuridica: Esecuzione di misure precontrattuali e legittimo interesse (sicurezza dei sistemi).
Autenticazione: La gestione dell'identità digitale e delle credenziali è delegata al servizio Hanko Cloud (infrastruttura europea), che opera come responsabile esterno del trattamento per la sola fase di login.
Sezione B – Data Processing Agreement (DPA)
Nel momento in cui l'Utente (Salone) inserisce nel Software i dati personali dei propri clienti (anagrafiche, contatti, storico appuntamenti), l'Utente agisce come Titolare del Trattamento e nomina il Fornitore (team di sviluppo) quale Responsabile del Trattamento.
1. Misure Tecniche e Organizzative di Sicurezza
Il Responsabile si impegna a proteggere i dati mediante:
- - Isolamento Logico (Multi-tenancy): Separazione rigorosa dei dati a livello di database per impedire accessi incrociati tra diversi saloni.
- - Crittografia: Trasmissione dei dati tramite protocolli sicuri (HTTPS/TLS) e crittografia dei backup.
- - Limitazione degli accessi: API protette da rate limiting per prevenire estrazioni massive di dati (Data Leak) e attacchi DoS.
2. Sub-Responsabili Autorizzati (Sub-processors)
Il Titolare autorizza espressamente l'utilizzo dei seguenti fornitori infrastrutturali, localizzati all'interno dello Spazio Economico Europeo (SEE):
- - Hetzner Online GmbH: Hosting dell'applicazione e del database principale.
- - Scaleway SAS: Object storage per la conservazione dei backup crittografati ed erogazione delle email transazionali.
- - Hanko Cloud: Gestione dei token di autenticazione.
3. Disaster Recovery e Backup
Il Responsabile effettua copie di sicurezza automatizzate del database (tramite Dokploy) con conservazione presso infrastruttura Scaleway S3 e retention locale su Hetzner, al fine di garantire il ripristino in caso di incidenti tecnici.
4. Notifica di Data Breach
In caso di violazione della sicurezza che comporti la compromissione dei dati dei clienti del salone, il Responsabile lo comunicherà al Titolare senza ingiustificato ritardo e comunque entro 48 ore dalla rilevazione, fornendo i dettagli necessari per gli adempimenti di legge.
5. Cancellazione dei Dati
Alla disattivazione dell'account o al termine dell'Open Beta senza transizione a un piano a pagamento, i dati saranno esportabili su richiesta e successivamente cancellati in modo irreversibile dai sistemi operativi e dai backup entro 30 giorni.