← Torna alla home

Privacy Policy

Ultimo aggiornamento: {{DATA_AGGIORNAMENTO}}

La presente informativa descrive le modalità di trattamento dei dati personali degli utenti della piattaforma Wellenys (la «Piattaforma»), ai sensi dell'art. 13 del Regolamento (UE) 2016/679 («GDPR») e della normativa italiana di adeguamento (D.lgs. 196/2003, come modificato dal D.lgs. 101/2018).

1. Titolare del trattamento

Titolare del trattamento è {{NOME_TITOLARE}}, con sede legale in {{SEDE_LEGALE}}, P.IVA {{P_IVA}}, C.F. {{C_F}}.

Contatti per esercitare i diritti dell'interessato:

  • Email: {{EMAIL_PRIVACY}}
  • PEC: {{PEC}}

2. Responsabile della protezione dei dati (DPO)

Il Titolare {{HA / NON HA}} designato un Responsabile della protezione dei dati ai sensi dell'art. 37 GDPR. Eventuali contatti: {{CONTATTI_DPO_O_NULL}}.

3. Tipologie di dati trattati

3.1 Dati forniti dagli utenti business (titolari di salone)

  • Dati di registrazione: nome, cognome, email, password (hash).
  • Dati dell'attività: ragione sociale, P.IVA, indirizzo, telefono, logo, descrizione servizi.
  • Dati di pagamento (gestiti dal processor Stripe — il Titolare non memorizza dati di carta).
  • Dati di fatturazione.

3.2 Dati dei clienti finali (prenotazioni)

I dati dei clienti finali che prenotano un appuntamento tramite la pagina pubblica del salone (nome, telefono, email opzionale, note) sono trattati dal Titolare in qualità di responsabile del trattamento per conto del salone (titolare autonomo). Il rapporto è regolato da apposito accordo ex art. 28 GDPR accettato dal salone in fase di registrazione.

3.3 Dati di navigazione

I sistemi informatici della Piattaforma raccolgono automaticamente alcuni dati la cui trasmissione è implicita nei protocolli di comunicazione di Internet (es. indirizzi IP, URL richiesti, orario della richiesta, user-agent). Questi dati sono utilizzati al solo fine di ottenere informazioni statistiche anonime sull'uso del servizio e per controllarne il corretto funzionamento.

3.4 Cookie

Per i dettagli sui cookie utilizzati, si rimanda alla Cookie Policy.

4. Finalità e basi giuridiche

FinalitàBase giuridicaConservazione
Erogazione del servizio (account, prenotazioni, calendario)Esecuzione del contratto (art. 6.1.b GDPR)Durata del contratto + 10 anni (obblighi fiscali)
Fatturazione e adempimenti fiscaliObbligo legale (art. 6.1.c GDPR)10 anni (DPR 600/1973)
Invio email transazionali (conferma, reminder)Esecuzione del contratto (art. 6.1.b GDPR)Durata della prenotazione + 2 anni
Marketing diretto su servizi Wellenys (newsletter)Consenso dell’interessato (art. 6.1.a GDPR)Fino a revoca del consenso
Analytics anonimizzatiLegittimo interesse (art. 6.1.f GDPR)14 mesi
Funzioni AI (assistente, suggerimenti)Esecuzione del contratto (art. 6.1.b GDPR) + consenso per profilazioneConversazioni: 90 giorni (audit AI Act)
Sicurezza e prevenzione frodiLegittimo interesse (art. 6.1.f GDPR)12 mesi
Difesa in giudizioLegittimo interesse (art. 6.1.f GDPR)Durata della prescrizione applicabile

5. Decisioni automatizzate e profilazione AI

La Piattaforma integra funzionalità di intelligenza artificiale (assistente prenotazioni, suggerimenti di slot, analisi business) che possono comportare trattamenti automatizzati di dati. Tali funzionalità:

  • Non producono effetti giuridici sull'interessato né incidono significativamente sulla sua persona ai sensi dell'art. 22 GDPR.
  • Sono soggette a supervisione umana — ogni decisione finale (es. conferma prenotazione, modifica prezzi) è validata dal titolare del salone.
  • Sono identificate da appositi avvisi («Sono un assistente automatico») in conformità al Regolamento UE 2024/1689 («AI Act»).
  • Le conversazioni con l'AI sono registrate per 90 giorni per finalità di audit e miglioramento del servizio.

L'interessato può richiedere l'intervento umano, esprimere la propria opinione o contestare la decisione contattando il Titolare ai recapiti indicati al §1.

6. Destinatari dei dati

I dati possono essere comunicati a soggetti che agiscono come responsabili del trattamento (art. 28 GDPR), tra cui:

FornitoreServizioSede / trasferimento
Supabase (Singapore Pte. Ltd.)Database e autenticazioneUE (Francoforte)
Vercel Inc.Hosting applicativoUE (Francoforte) — SCC
Stripe Payments Europe Ltd.PagamentiIrlanda (UE)
Resend Inc.Email transazionaliUE — SCC
Twilio Ireland Ltd.SMS e WhatsAppIrlanda (UE)
Inngest Inc.Esecuzione job backgroundUSA — EU-US DPF
Anthropic PBCModelli AI cloud (fallback)USA — EU-US DPF
Elite Software HouseAI Gateway on-premiseItalia
Sentry (Functional Software Inc.)Monitoring erroriUSA — EU-US DPF
Fatture in CloudFatturazione elettronica SdIItalia

La lista aggiornata è disponibile su richiesta scritta al Titolare. Tutti i fornitori sono vincolati da accordi che garantiscono il rispetto del GDPR.

7. Trasferimenti extra-UE

Alcuni fornitori (es. Anthropic, Sentry, Inngest) hanno sede negli Stati Uniti d'America. I trasferimenti avvengono sulla base di:

  • Decisione di adeguatezza UE-USA Data Privacy Framework (per i fornitori certificati DPF).
  • Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea (Decisione 2021/914).
  • Misure tecniche supplementari (cifratura in transito e a riposo, pseudonimizzazione).

8. Diritti dell'interessato

Ai sensi degli artt. 15-22 GDPR, l'interessato ha diritto di:

  • Accedere ai propri dati personali (art. 15).
  • Chiederne la rettifica (art. 16).
  • Chiederne la cancellazione («diritto all'oblio», art. 17), salvi gli obblighi di legge di conservazione.
  • Chiederne la limitazione del trattamento (art. 18).
  • Ricevere i dati in formato strutturato e leggibile da dispositivo automatico (portabilità, art. 20).
  • Opporsi al trattamento (art. 21).
  • Non essere sottoposto a decisioni basate unicamente su trattamento automatizzato (art. 22).
  • Revocare il consenso in qualsiasi momento (art. 7).

Le richieste vanno indirizzate a {{EMAIL_PRIVACY}}. Il Titolare risponde entro 30 giorni (estendibili a 90 in casi complessi).

9. Reclamo al Garante

L'interessato ha diritto di proporre reclamo all'Autorità Garante per la protezione dei dati personali (www.garanteprivacy.it, Piazza Venezia 11, 00187 Roma).

10. Sicurezza

Il Titolare adotta misure tecniche e organizzative adeguate (art. 32 GDPR) tra cui: cifratura in transito (TLS 1.3) e a riposo (AES-256), accesso con autenticazione forte, isolamento multi-tenant tramite Row Level Security a livello database, audit log delle azioni sensibili, backup giornalieri con retention 30 giorni, test di ripristino semestrali.

11. Conferimento dei dati

Il conferimento dei dati contrassegnati come obbligatori nei moduli è necessario per usufruire del servizio. Il rifiuto comporta l'impossibilità di completare la registrazione o la prenotazione. Il conferimento per finalità di marketing è facoltativo e revocabile in qualsiasi momento.

12. Modifiche

La presente informativa può essere aggiornata. Le modifiche sostanziali saranno comunicate via email agli utenti registrati con almeno 30 giorni di preavviso. Si raccomanda di consultare periodicamente questa pagina.