Vai al contenuto principale
ZenBookr

Accordo sul Trattamento dei Dati

DPA» — Data Processing Agreement) ai sensi dell'art. 28 del Regolamento (UE) 2016/679 («GDPR»)

Ultimo aggiornamento: 24 maggio 2026 · Versione: 1.0

📋 Chi deve leggere questo DPA? Questo documento si applica a tutti i Professionisti che utilizzano la Piattaforma ZenBookr per gestire i dati dei propri clienti (rubrica clienti, prenotazioni, schede tecniche, note, ecc.). I clienti finali che prenotano un servizio NON devono accettare questo DPA.

L'accettazione dei Termini per Professionisti implica accettazione di questo DPA come parte integrante del contratto.

1. Parti e premesse

Il presente Accordo è concluso tra:

  • Il Professionista — la persona fisica o giuridica titolare di un account ZenBookr di tipo «Professional», di seguito anche «Titolare» o «Controller»;
  • Marco D'Arminio (persona fisica), con sede in Vico Malvina 9, 70042 Mola di Bari (BA), Italia, che gestisce la Piattaforma ZenBookr, di seguito anche «ZenBookr», «Responsabile» o «Processor».

Premesse:

  • (a) ZenBookr fornisce al Titolare la Piattaforma sulla base dei Termini per Professionisti («Contratto Principale»);
  • (b) Nell'ambito dell'esecuzione del Contratto Principale, ZenBookr tratta dati personali di soggetti terzi (clienti del Titolare) per conto del Titolare;
  • (c) Il presente DPA disciplina i diritti, gli obblighi e le responsabilità delle parti relative a tale trattamento, ai sensi dell'art. 28 GDPR.

In caso di conflitto tra il presente DPA e il Contratto Principale, prevale il presente DPA per le materie relative al trattamento dei dati personali.

2. Definizioni

I termini con iniziale maiuscola non definiti nel presente DPA hanno il significato attribuito loro dal GDPR. In particolare:

  • Dati Personali: i dati personali, come definiti dall'art. 4(1) GDPR, trattati da ZenBookr per conto del Titolare nell'esecuzione del Contratto Principale
  • Interessati: le persone fisiche cui si riferiscono i Dati Personali (principalmente i clienti del Titolare)
  • Trattamento: qualsiasi operazione svolta sui Dati Personali, ai sensi dell'art. 4(2) GDPR
  • Sub-responsabile: terzo soggetto che ZenBookr autorizza a trattare i Dati Personali
  • Violazione dei Dati: violazione di sicurezza che comporta distruzione, perdita, modifica, divulgazione non autorizzata o accesso non autorizzato ai Dati Personali (art. 4(12) GDPR)

3. Oggetto, durata, natura, finalità del trattamento

  • Oggetto: fornitura della Piattaforma ZenBookr come strumento di gestione operativa dell'attività del Titolare
  • Durata: per tutto il periodo di vigenza del Contratto Principale + 30 giorni post-cessazione (per consentire export e/o cancellazione)
  • Natura del trattamento: raccolta, registrazione, organizzazione, conservazione, consultazione, modifica, estrazione, comunicazione tramite l'applicazione (esclusivamente per le finalità di seguito)
  • Finalità: gestione di appuntamenti, schede clienti, comunicazioni operative tra Titolare e suoi clienti, elaborazione pagamenti tramite Stripe Connect, statistiche aggregate sull'attività del Titolare

4. Categorie di Dati Personali e Interessati

Categorie di Interessati: clienti, ex-clienti, lead del Titolare; eventuali collaboratori/dipendenti che il Titolare registra nell'area «Team» (se applicabile).

Categorie di Dati Personali:

  • Dati identificativi: nome, cognome, eventuali alias
  • Dati di contatto: email, telefono, indirizzo (per servizi a domicilio)
  • Dati di prenotazione e storico: appuntamenti, servizi prenotati, durata, importi
  • Eventuali dati relativi alla salute / preferenze fisiche (es. allergie cosmetiche, condizioni di pelle): rientrano nelle «categorie particolari» di cui all'art. 9 GDPR e il Titolare è responsabile di raccogliere una valida base giuridica (consenso esplicito del cliente o altra base ex art. 9(2) GDPR) prima di caricarli sulla Piattaforma
  • Foto del cliente (es. prima/dopo trattamento): solo se il Titolare ha ottenuto il consenso esplicito del cliente
  • Note e annotazioni del Titolare relative al cliente

Il Titolare è esclusivo responsabile di assicurare la legittimità della raccolta e del caricamento di tali dati sulla Piattaforma, inclusa l'informativa privacy resa ai propri clienti (artt. 13/14 GDPR) e la raccolta delle eventuali basi giuridiche necessarie.

5. Obblighi di ZenBookr come Responsabile

Ai sensi dell'art. 28(3) GDPR, ZenBookr si impegna a:

  • (a) Trattare i Dati Personali solo per le finalità autorizzate dal Titolare e secondo le istruzioni documentate (le configurazioni della Piattaforma e questo DPA costituiscono istruzioni documentate);
  • (b) Garantire che il personale autorizzato al trattamento sia vincolato a riservatezza;
  • (c) Adottare misure di sicurezza tecniche e organizzative adeguate (vedi Sezione 7);
  • (d) Rispettare le condizioni per ricorrere a Sub-responsabili (Sezione 6);
  • (e) Assistere il Titolare, nella misura del possibile, nel rispondere alle richieste degli Interessati che esercitano i diritti GDPR;
  • (f) Assistere il Titolare nel garantire la sicurezza, gestione di violazioni, valutazioni d'impatto (DPIA) e consultazione preventiva (artt. 32-36 GDPR);
  • (g) Su scelta del Titolare, restituire o cancellare i Dati Personali al termine del trattamento (Sezione 11);
  • (h) Mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare la conformità agli obblighi del DPA e consentire audit (Sezione 10);
  • (i) Informare immediatamente il Titolare se, a parere di ZenBookr, un'istruzione viola il GDPR o altre disposizioni in materia di protezione dei dati.

Salvo diversa indicazione, ZenBookr non utilizza i Dati Personali per finalità proprie (es. addestramento di modelli AI, profilazione, vendita a terzi, marketing) e non li condivide al di fuori dei Sub-responsabili autorizzati elencati nella Sezione 6.

6. Sub-responsabili

Il Titolare autorizza in via generale ZenBookr a ricorrere ai Sub-responsabili necessari all'erogazione del servizio. ZenBookr garantisce che ciascun Sub-responsabile sia vincolato da obblighi contrattuali equivalenti a quelli del presente DPA (art. 28(4) GDPR).

6.1 Elenco attuale dei Sub-responsabili autorizzati

Sub-responsabileServizioRegioneGaranzia
Google Ireland Ltd. (Firebase, Cloud Functions, GA4, reCAPTCHA, Cloud Storage)Hosting infrastrutturale, autenticazione, database, storage file, analytics aggregata, anti-spamUE (Belgio) primario; fallback USAStandard Contractual Clauses (SCCs) + Data Processing and Security Terms di Google
Stripe Payments Europe Ltd.Elaborazione pagamenti dei clienti del Titolare, onboarding KYC Stripe ConnectUE (Irlanda) + USASCCs + Stripe Data Processing Agreement
Brevo (Sendinblue SAS)Invio email transazionali per conto del Titolare (es. conferma prenotazione cliente)UE (Francia)DPA Brevo
Provider AI (Groq, Google Gemini, OpenAI) — solo se il Professionista attiva l'assistente AI integratoElaborazione query AI quando il Titolare richiede assistenza intelligente (es. risposte automatiche ai clienti)UE/USASCCs + impostazione «no-train» (i provider non addestrano modelli su questi dati)

6.2 Modifiche all'elenco dei Sub-responsabili

ZenBookr informerà il Titolare di qualsiasi modifica all'elenco (aggiunta o sostituzione di Sub-responsabili) con almeno 30 giorni di preavviso, tramite aggiornamento di questa pagina e notifica via email all'indirizzo associato all'account.

Il Titolare può opporsi alla modifica entro 15 giorni dalla notifica, fornendo motivazioni ragionevoli relative alla protezione dei dati. In tal caso, le parti collaboreranno per identificare una soluzione alternativa. Se non si trova soluzione entro 30 giorni dall'opposizione, il Titolare può recedere dal Contratto Principale senza penali, con preavviso scritto di 30 giorni.

7. Misure tecniche e organizzative (art. 32 GDPR)

ZenBookr adotta le seguenti misure di sicurezza:

7.1 Misure tecniche

  • Crittografia in transito: TLS 1.2+ su tutte le comunicazioni
  • Crittografia at-rest: AES-256 lato Google Cloud (Firestore, Cloud Storage)
  • Hashing password: bcrypt con salt unico per utente
  • Autenticazione: Firebase Authentication con supporto MFA (TOTP, Passkey/WebAuthn)
  • Firebase App Check (reCAPTCHA Enterprise) per prevenire abusi API
  • reCAPTCHA v3 sui form pubblici
  • Firestore Security Rules con isolamento multi-tenant per Titolare
  • Logging strutturato di accessi e operazioni sensibili
  • Backup automatici giornalieri con retention 30 giorni
  • Disaster recovery: replica multi-zona Google Cloud
  • Web Application Firewall (WAF) integrato Google Cloud

7.2 Misure organizzative

  • Vincoli contrattuali di riservatezza con il personale autorizzato
  • Politica di accesso minimo (least privilege): accesso ai dati solo per finalità di supporto/sicurezza/manutenzione, con log
  • Formazione periodica del personale su privacy e sicurezza
  • Revisione annuale delle politiche di sicurezza
  • Processo di gestione delle vulnerabilità (security patches entro 30 giorni dalla scoperta per vulnerabilità critiche)
  • Procedura di gestione degli incidenti documentata

7.3 Aggiornamento delle misure

ZenBookr può aggiornare le misure di sicurezza nel tempo, a condizione che il livello complessivo di protezione non diminuisca rispetto a quanto descritto.

8. Trasferimenti di dati al di fuori dell'Unione Europea

Salvo eccezioni indicate nella tabella Sub-responsabili (Sezione 6.1), i Dati Personali sono trattati all'interno dello Spazio Economico Europeo (SEE).

Per eventuali trasferimenti extra-SEE, ZenBookr garantisce che il trasferimento avvenga sulla base di:

  • Decisione di adeguatezza della Commissione Europea (es. EU-US Data Privacy Framework)
  • Standard Contractual Clauses (SCCs) approvate dalla Decisione 2021/914
  • Misure supplementari ove necessarie

Su richiesta scritta del Titolare, ZenBookr fornirà copia delle garanzie applicabili.

9. Assistenza al Titolare per le richieste degli Interessati

Se un Interessato (cliente del Titolare) si rivolge direttamente a ZenBookr per esercitare diritti GDPR (accesso, rettifica, cancellazione, ecc.), ZenBookr non risponderà direttamente nel merito, ma:

  • (a) Indirizzerà l'Interessato al Titolare (Professionista) quale soggetto competente
  • (b) Informerà il Titolare della richiesta entro 5 giorni lavorativi
  • (c) Fornirà al Titolare gli strumenti tecnici per evadere la richiesta (es. export dati, cancellazione mirata, esibizione di trattamenti) tramite le funzionalità della Piattaforma o, se necessario, tramite intervento manuale del team supporto entro tempi ragionevoli

L'assistenza è prestata senza addebiti aggiuntivi ove l'impegno richiesto sia compatibile con i tempi ordinari di supporto. Per richieste straordinarie o per attività che richiedono sviluppi tecnici dedicati, ZenBookr potrà richiedere il rimborso dei costi sostenuti previa accettazione del Titolare.

10. Violazione dei Dati Personali (Data Breach)

Qualora ZenBookr venga a conoscenza di una Violazione dei Dati Personali che riguardi i Dati trattati per conto del Titolare:

  • (a) Notificherà il Titolare senza ingiustificato ritardo e comunque entro 48 ore dalla scoperta;
  • (b) Comunicherà le informazioni richieste dall'art. 33(3) GDPR: natura della violazione, categorie e numero approssimativo di Interessati e di record interessati, probabili conseguenze, misure adottate o proposte per attenuarne gli effetti;
  • (c) Coopererà con il Titolare nelle attività di gestione dell'incidente, comunicazione alle autorità (Garante) ai sensi dell'art. 33 GDPR, e comunicazione agli Interessati ai sensi dell'art. 34 GDPR se applicabile;
  • (d) Documenterà l'incidente, le sue cause e le misure correttive adottate.

L'obbligo di notifica al Garante ai sensi dell'art. 33 GDPR (entro 72 ore) resta del Titolare: ZenBookr fornisce solo l'informazione necessaria perché il Titolare adempia.

11. Audit e ispezioni

Il Titolare ha diritto, ai sensi dell'art. 28(3)(h) GDPR, di verificare il rispetto degli obblighi di ZenBookr come Responsabile, tramite:

  • (a) Esame della documentazione tecnica e organizzativa fornita da ZenBookr (relazioni di audit di terzi, certificazioni, documentazione tecnica della Piattaforma)
  • (b) Su richiesta scritta motivata, audit on-site o remoto presso le sedi di ZenBookr, con preavviso di almeno 30 giorni lavorativi, in orari lavorativi standard, una volta l'anno (salvo audit straordinari in caso di violazione confermata)

Il Titolare sosterrà i costi del proprio audit. Eventuali audit richiesti da terzi (es. revisori esterni del Titolare) sono ammessi previa firma di accordo di riservatezza.

ZenBookr può sostituire l'audit on-site con presentazione di certificazioni indipendenti riconosciute (es. SOC 2, ISO 27001) ove applicabili.

12. Cancellazione / restituzione dei Dati al termine del Contratto

Alla cessazione del Contratto Principale, per qualsiasi causa, ZenBookr, a scelta del Titolare comunicata per iscritto entro 30 giorni dalla cessazione:

  • (a) Restituirà i Dati Personali al Titolare in formato strutturato (export JSON/CSV), oppure
  • (b) Cancellerà tutti i Dati Personali (e copie esistenti)

In assenza di indicazioni del Titolare entro 30 giorni dalla cessazione, ZenBookr procederà di default alla cancellazione.

La cancellazione sui sistemi attivi avviene entro 30 giorni. La cancellazione completa, inclusi i backup, avviene entro 60 giorni dalla richiesta (per rispettare il ciclo di rotazione automatica dei backup).

ZenBookr potrà conservare i Dati Personali solo nei limiti e per il tempo strettamente necessari a:

  • Adempiere obblighi di legge (es. obblighi fiscali, conservazione di prove di pagamento)
  • Difesa in giudizio
  • Dati anonimizzati (irreversibilmente non riconducibili a persone) per finalità statistiche

13. Responsabilità

Ciascuna parte risponde dei danni causati dai propri inadempimenti agli obblighi del presente DPA o del GDPR. La responsabilità complessiva di ZenBookr ai sensi del presente DPA è limitata come previsto nella sezione «Limitazione di Responsabilità» dei Termini per Professionisti.

Resta inteso che, ai sensi dell'art. 82(2) GDPR, ZenBookr risponde solo per i danni causati dal trattamento se ha violato obblighi GDPR specificamente diretti ai Responsabili o ha agito in modo difforme o contrario alle istruzioni del Titolare.

Il Titolare manleva ZenBookr da pretese di terzi (compresi gli Interessati e le autorità di controllo) derivanti da:

  • Inadempimenti del Titolare ai propri obblighi GDPR (informativa privacy, base giuridica, raccolta consensi)
  • Caricamento sulla Piattaforma di dati che il Titolare non era autorizzato a raccogliere/trattare
  • Istruzioni illecite del Titolare

14. Disposizioni finali

14.1 Modifiche al DPA

ZenBookr può aggiornare il DPA per adeguarlo a evoluzioni normative, modifiche del servizio o per migliorare le garanzie offerte. Le modifiche saranno notificate al Titolare con almeno 30 giorni di preavviso via email e tramite avviso in-app.

Se il Titolare non concorda con le modifiche, può recedere dal Contratto Principale senza penali entro 30 giorni dalla notifica, con preavviso scritto a ZenBookr.

14.2 Legge applicabile e foro

Il presente DPA è regolato dalla legge italiana. Per qualunque controversia il foro competente è quello indicato nei Termini per Professionisti.

14.3 Sopravvivenza

Gli obblighi del presente DPA che, per loro natura, devono sopravvivere alla cessazione del Contratto Principale (es. riservatezza, cancellazione dei dati) continuano ad applicarsi.

15. Contatti

Per qualsiasi questione relativa al presente DPA:

Marco D'Arminio

Email privacy: privacy@zenbookr.app
Email supporto: support@zenbookr.app
Email: info@zenbookr.app
Sede legale: Vico Malvina 9, 70042 Mola di Bari (BA), Italia