Privacy Policy

1. Premessa e Titolare del trattamento

La presente Privacy Policy descrive le modalità con cui Marco D'Arminio (di seguito anche «ZenBookr», «noi», «nostro»), in qualità di Titolare del trattamento, raccoglie, utilizza, condivide e protegge i dati personali degli utenti che interagiscono con la piattaforma ZenBookr — disponibile sui domini zenbookr.app, app.zenbookr.app, book.zenbookr.app — e con le relative applicazioni mobile iOS e Android (collettivamente, la «Piattaforma»).

Utilizzando la Piattaforma, l'utente conferma di aver letto e compreso la presente Informativa. Ti invitiamo a leggerla con attenzione prima di registrarti o conferire dati personali.

2. Definizioni

• Professionista: utente registrato (parrucchiere, estetista, spa, personal trainer, ecc.) che usa la Piattaforma per gestire appuntamenti, clienti e pagamenti, in qualità di operatore economico o libero professionista.
• Cliente Finale: utente che prenota servizi presso un Professionista tramite le pagine pubbliche book.zenbookr.app oppure tramite l'app mobile.
• Dati Personali: qualsiasi informazione riguardante una persona fisica identificata o identificabile, ai sensi dell'art. 4(1) GDPR.
• Trattamento: qualsiasi operazione compiuta sui Dati Personali, ai sensi dell'art. 4(2) GDPR.
• Titolare: la persona fisica o giuridica che determina le finalità e i mezzi del trattamento (ZenBookr per i propri trattamenti; il Professionista per i dati dei propri clienti caricati nella Piattaforma).
• Responsabile: la persona che tratta dati per conto del Titolare (ZenBookr agisce come Responsabile per i dati dei clienti dei Professionisti — vedi Sezione 13).

3. Tipologie di dati raccolti

3.1 Dati forniti volontariamente dall'utente

Raccogliamo i dati che ci fornisci direttamente durante la registrazione, l'utilizzo della Piattaforma o le comunicazioni con noi:

Per i Professionisti:

• Dati identificativi e di contatto: nome, cognome, indirizzo email, numero di telefono, password (memorizzata in forma crittografata)
• Dati dell'attività: ragione sociale, P.IVA, codice fiscale, indirizzo della sede, categoria merceologica, servizi offerti, foto del salone/studio, orari di apertura
• Dati di onboarding Stripe Connect (per ricevere pagamenti dai clienti): nome, cognome, data di nascita, codice fiscale o equivalente, indirizzo, IBAN, eventuale documento d'identità — questi dati vengono raccolti direttamente da Stripe nella fase di KYC (Know Your Customer) e non vengono mai memorizzati sui nostri server
• Dati di fatturazione abbonamento: gestiti tramite Stripe (tokenizzazione della carta); non memorizziamo numeri di carta sui nostri server
• Contenuti caricati: foto profilo e servizi, descrizioni, prezzi, listini, schede tecniche, note interne
• Dati dei tuoi clienti: nome, cognome, email, telefono, data di nascita, note (allergie, preferenze), storico appuntamenti — questi dati appartengono al tuo trattamento, in cui tu sei Titolare e noi siamo Responsabili (vedi Sezione 13)

Per i Clienti Finali:

• Dati identificativi: nome, cognome, email, telefono
• Dati di prenotazione: data e ora, servizio richiesto, Professionista scelto, indirizzo (per servizi a domicilio), note al professionista
• Dati di pagamento: gestiti esclusivamente tramite Stripe; non riceviamo né memorizziamo dati di carta
• Recensioni e contenuti: testo di eventuali recensioni o feedback lasciati ai professionisti

Per chiunque ci contatti (form contatti, waitlist, chat AI, modulo preventivo):

• Nome, email, eventuale telefono, contenuto del messaggio, tipologia di attività (per waitlist), categoria di interesse
• Token reCAPTCHA v3 (anti-spam) — vedi Sezione 11

3.2 Dati raccolti automaticamente

• Dati di utilizzo: pagine visitate, sezioni utilizzate, tempo di permanenza, sequenza di navigazione, ricerche effettuate, click su elementi
• Dati del dispositivo: tipo di dispositivo, sistema operativo, versione browser, risoluzione schermo, lingua impostata, fuso orario
• Indirizzo IP (anonimizzato per analytics)
• Dati di geolocalizzazione approssimativa (a livello di città, derivata dall'IP) — usata per suggerirti professionisti vicini. La geolocalizzazione precisa viene richiesta solo previo tuo consenso esplicito sul dispositivo.
• Identificatori dei cookie e tecnologie simili — vedi Cookie Policy
• Log di sicurezza: tentativi di accesso, IP di accesso, timestamp — usati per prevenire frodi, abusi e accessi non autorizzati

4. Finalità e base giuridica del trattamento

Trattiamo i tuoi Dati Personali per le finalità qui sotto elencate, sempre in presenza di una valida base giuridica ai sensi dell'art. 6 GDPR. Per i dati appartenenti a «categorie particolari» (art. 9 GDPR), applichiamo basi giuridiche specifiche come indicato.

Profilazione e decisioni automatizzate: l'unica forma di trattamento automatizzato che eseguiamo è il suggerimento di prezzi ottimizzati ("Smart Pricing") per i Professionisti. Si tratta di una funzionalità del servizio acquistato: i suggerimenti sono indicativi e il Professionista mantiene il pieno controllo decisionale. Non effettuiamo decisioni automatizzate che producano effetti giuridici significativi nei tuoi confronti ai sensi dell'art. 22 GDPR.

4bis. Trattamento per obblighi DAC7 (solo Professionisti)

Per i soli utenti registrati come Professionisti (e non per i Clienti), ZenBookr raccoglie e tratta i seguenti dati ai fini dell'adempimento degli obblighi di comunicazione previsti dalla Direttiva (UE) 2021/514 (DAC7), recepita in Italia con il D.Lgs. 32/2023:

• codice fiscale (TIN) e Stato di residenza fiscale;
• partita IVA (se posseduta);
• ragione sociale o nome e cognome;
• indirizzo principale;
• numero di identificazione attività (REA o equivalente UE), per le società;
• IBAN o identificativo del conto su cui sono accreditati i pagamenti (raccolto direttamente da Stripe Connect durante il KYC);
• importi totali incassati tramite la Piattaforma per anno solare e numero di transazioni;
• data e ora di registrazione dell'accettazione dell'informativa DAC7.

Base giuridica: obbligo legale al quale è soggetto il Titolare ai sensi dell'art. 6, par. 1, lett. c) GDPR, in combinato disposto con la Direttiva (UE) 2021/514 e il D.Lgs. 32/2023.

Conservazione: i dati sono conservati per un periodo minimo di 10 anni dalla data della comunicazione all'Agenzia delle Entrate, ai sensi dell'art. 4, par. 4 D.Lgs. 32/2023, salvo termini più lunghi imposti da norme fiscali specifiche.

Destinatari: Agenzia delle Entrate italiana e, in caso di scambio automatico di informazioni, autorità fiscali di altri Stati membri UE e di Stati terzi con cui vigano accordi (a titolo esemplificativo: Direttiva 2011/16/UE e successive modifiche).

Diritti: i diritti di rettifica e accesso dell'Interessato (artt. 15-16 GDPR) restano pienamente esercitabili. Il diritto alla cancellazione (art. 17 GDPR) e quello all'opposizione (art. 21 GDPR) sono limitati per il periodo di conservazione minimo previsto dalla legge, ai sensi dell'art. 17, par. 3, lett. b) GDPR.

Trasmissione di copia al Professionista: prima dell'invio annuale del rapporto (entro il 31 gennaio), il Professionista riceve copia dei dati che lo riguardano, con possibilità di chiedere rettifica entro 10 giorni.

5. Modalità del trattamento

I tuoi Dati Personali sono trattati con strumenti elettronici, ospitati su infrastruttura cloud Google Firebase (Firestore, Cloud Storage, Cloud Functions, Authentication) con server primariamente situati nell'Unione Europea (region europe-west1, Belgio).

Adottiamo misure di sicurezza tecniche e organizzative adeguate per garantire un livello di sicurezza appropriato al rischio, in particolare:

• Crittografia in transito: tutte le comunicazioni avvengono tramite HTTPS/TLS 1.2+
• Crittografia at-rest: i dati sono crittografati sui server Google Cloud con chiavi gestite
• Hashing password: bcrypt con salt unico per utente
• Autenticazione multifattore (MFA) disponibile via TOTP e Passkey/WebAuthn
• Firebase App Check per prevenire abusi delle API da client non autorizzati
• reCAPTCHA v3 sui form pubblici per prevenire bot e spam
• Firewall, monitoraggio attivo e alert automatici di accessi sospetti
• Backup automatici giornalieri con retention 30 giorni
• Politiche di accesso minimo: solo personale autorizzato ha accesso ai dati, esclusivamente per finalità di supporto, sicurezza o manutenzione, e con log delle operazioni
• Vincoli contrattuali di riservatezza con tutti i collaboratori interni e fornitori esterni

6. Categorie di destinatari e comunicazione dei dati

Condividiamo i tuoi Dati Personali solo quando necessario per le finalità indicate e con le seguenti categorie di destinatari, vincolati da accordi contrattuali di protezione dei dati (art. 28 GDPR) ove applicabile:

Non vendiamo i tuoi Dati Personali a terzi. Non condividiamo i tuoi dati con inserzionisti pubblicitari né con data broker. La nostra fonte di ricavo è esclusivamente l'abbonamento pagato dai Professionisti.

7. Trasferimento di dati al di fuori dell'Unione Europea

I tuoi Dati Personali sono trattati primariamente all'interno dello Spazio Economico Europeo (SEE). Alcuni fornitori (in particolare Stripe per i pagamenti, alcuni servizi Google in fallback, i provider AI del chatbot) possono trasferire dati negli Stati Uniti o in altri paesi extra-UE.

In tali casi, garantiamo che il trasferimento avvenga sulla base di:

• Decisione di adeguatezza della Commissione Europea (es. EU-US Data Privacy Framework dove applicabile)
• Clausole Contrattuali Standard (Standard Contractual Clauses, SCCs) approvate dalla Commissione Europea con Decisione 2021/914
• Misure supplementari ove necessarie (crittografia, pseudonimizzazione, ecc.)

Puoi richiedere copia delle garanzie applicabili scrivendoci a privacy@zenbookr.app.

8. Periodi di conservazione dei dati

Conserviamo i tuoi Dati Personali solo per il tempo necessario alle finalità indicate (vedi tabella in Sezione 4). In sintesi:

• Dati account: per tutta la durata del rapporto contrattuale. In caso di cancellazione dell'account, eliminiamo i dati personali identificativi entro 30 giorni, salvo gli obblighi di conservazione di legge.
• Dati di prenotazione, fatturazione e fiscali: 10 anni dalla data dell'operazione (art. 2220 c.c. e normativa fiscale italiana).
• Dati di marketing: fino a revoca del consenso o 24 mesi di inattività dell'utente.
• Log di accesso e di sicurezza: 12 mesi.
• Dati di analytics: aggregati e anonimizzati dopo 26 mesi (impostazione Google Analytics 4).
• Dati contenuti in comunicazioni email: 24 mesi salvo specifico interesse legittimo a conservare per più tempo (es. contenziosi in corso).
• Backup: 30 giorni con rotazione automatica.

Al termine del periodo di conservazione, i dati sono cancellati in modo sicuro o resi anonimi (irreversibilmente non riconducibili a un individuo).

9. I tuoi diritti come Interessato

In qualità di interessato, ai sensi degli artt. 15-22 GDPR hai diritto a:

• Accesso (art. 15) — ottenere conferma che sia in corso un trattamento e ricevere copia dei tuoi dati personali e delle informazioni relative
• Rettifica (art. 16) — correggere dati inesatti o integrare dati incompleti
• Cancellazione / oblio (art. 17) — ottenere la cancellazione dei tuoi dati quando ricorrono i presupposti di legge
• Limitazione (art. 18) — limitare il trattamento in casi specifici (es. contestazione dell'esattezza)
• Portabilità (art. 20) — ricevere in formato strutturato, di uso comune e leggibile da dispositivo automatico i dati che ci hai fornito, e trasmetterli a un altro titolare
• Opposizione (art. 21) — opporti al trattamento basato su legittimo interesse, in particolare per finalità di marketing diretto, in qualsiasi momento e senza giustificazione
• Revoca del consenso (art. 7(3)) — revocare in qualsiasi momento il consenso prestato, senza che ciò pregiudichi la liceità del trattamento precedente
• Non essere sottoposto a decisioni automatizzate (art. 22) che producano effetti giuridici significativi

Come esercitare i tuoi diritti

Per esercitare uno qualsiasi di questi diritti puoi:

• Scrivere a privacy@zenbookr.app
• Scrivere via email a info@zenbookr.app
• Scrivere all'indirizzo della sede legale: Vico Malvina 9, 70042 Mola di Bari (BA), Italia
• Per molte azioni (cancellazione account, esportazione dati, gestione preferenze marketing) puoi agire direttamente nelle impostazioni del tuo account ZenBookr

Risponderemo alla tua richiesta senza ingiustificato ritardo e comunque entro 30 giorni dal ricevimento (estendibili di ulteriori 60 giorni in caso di complessità o numero elevato di richieste, ai sensi dell'art. 12(3) GDPR). Il servizio è gratuito; possiamo addebitare un costo ragionevole solo in caso di richieste manifestamente infondate o eccessive.

10. Marketing e comunicazioni promozionali

Solo previo tuo consenso esplicito e libero (raccolto al momento della registrazione o successivamente tramite checkbox dedicata, mai pre-spuntata), possiamo inviarti:

• Newsletter sulle novità della Piattaforma
• Offerte promozionali e codici sconto
• Suggerimenti personalizzati basati sull'uso (es. nuove funzionalità rilevanti per la tua categoria)
• Inviti a sondaggi, beta test, eventi

Puoi revocare il consenso in qualsiasi momento, senza giustificazione:

• Cliccando sul link «Disiscriviti» presente in ogni email marketing
• Modificando le preferenze nel tuo account ZenBookr (sezione «Notifiche»)
• Scrivendoci a privacy@zenbookr.app

Le comunicazioni di servizio (conferme prenotazione, fatture, avvisi di sicurezza, reset password, modifiche ai Termini) NON sono soggette a consenso marketing: sono necessarie per l'esecuzione del contratto e proseguono finché il tuo account è attivo.

11. Cookie e tecnologie simili

Utilizziamo cookie tecnici (sempre attivi, necessari per il funzionamento della Piattaforma) e cookie non tecnici (analytics e marketing) previo tuo consenso. Per dettagli completi sulle categorie, sui singoli cookie utilizzati, sulle modalità di consenso e di revoca, vedi la nostra Cookie Policy.

12. Minori

I servizi ZenBookr non sono destinati a minori di 16 anni. Non raccogliamo consapevolmente Dati Personali di minori di 16 anni senza il consenso del titolare della responsabilità genitoriale (art. 8 GDPR e art. 2-quinquies Codice Privacy).

Se siamo a conoscenza di aver raccolto dati di un minore di 16 anni senza tale consenso, provvederemo a cancellarli senza indugio. Se sei un genitore o tutore e ritieni che il tuo minore ci abbia fornito Dati Personali, contattaci a privacy@zenbookr.app.

13. Doppio ruolo: ZenBookr come Titolare e come Responsabile

In considerazione dell'architettura della Piattaforma, ZenBookr agisce in due ruoli distinti ai sensi del GDPR:

13.1 ZenBookr come Titolare del trattamento

Per i dati relativi a: account dei Professionisti, account dei Clienti Finali iscritti direttamente, dati di pagamento dell'abbonamento, comunicazioni di marketing inviate da noi, dati di sicurezza e di utilizzo della Piattaforma. La presente Privacy Policy ti informa su questi trattamenti.

13.2 ZenBookr come Responsabile del trattamento

Per i dati che i Professionisti caricano sulla Piattaforma riguardanti i loro propri clienti (schede cliente, note, storico prestazioni, foto prima/dopo, ecc.), ZenBookr agisce come Responsabile del trattamento per conto del Professionista, che ne è il Titolare.

I rapporti tra il Professionista (Titolare) e ZenBookr (Responsabile) sono regolati dal Accordo sul Trattamento dei Dati (DPA), che il Professionista accetta come parte integrante dei Termini per Professionisti.

In quanto Cliente Finale, se hai prenotato un servizio presso un Professionista, per il trattamento dei tuoi dati svolto dal Professionista in relazione alla prestazione concordata il Titolare è il Professionista stesso, e dovrai esercitare i tuoi diritti GDPR direttamente nei suoi confronti. Possiamo assisterti su richiesta a identificare il Professionista titolare del trattamento.

14. Modifiche alla Privacy Policy

Potremmo aggiornare periodicamente questa Privacy Policy per riflettere evoluzioni della Piattaforma, nuovi servizi o cambiamenti normativi.

• Modifiche sostanziali (es. nuove finalità di trattamento, nuovi destinatari, modifiche ai diritti dell'utente): te ne daremo comunicazione con almeno 30 giorni di preavviso via email all'indirizzo associato al tuo account e tramite avviso in-app, prima dell'entrata in vigore.
• Modifiche minori (es. correzioni di formato, chiarimenti, aggiornamento di un fornitore): pubblicate su questa pagina con aggiornamento della data «Ultimo aggiornamento».

La data di ultimo aggiornamento è sempre indicata in cima alla pagina. L'uso continuato della Piattaforma dopo l'entrata in vigore di una modifica costituisce accettazione della stessa.

15. Reclami all'autorità di controllo

Fatta salva ogni altra forma di tutela amministrativa o giurisdizionale, hai diritto di proporre reclamo al Garante per la Protezione dei Dati Personali (autorità italiana di controllo) o all'autorità di controllo dello Stato membro UE di tua residenza, luogo di lavoro o luogo della presunta violazione (art. 77 GDPR).

Ti invitiamo, prima di presentare reclamo, a contattarci direttamente a privacy@zenbookr.app: cercheremo di rispondere alle tue preoccupazioni in modo costruttivo.

16. Contatti

Per qualsiasi domanda, richiesta o chiarimento relativo a questa Privacy Policy o al trattamento dei tuoi dati personali, scrivici a:

Non abbiamo l'obbligo di nominare un Responsabile della Protezione dei Dati (DPO) ai sensi dell'art. 37 GDPR, in quanto non rientriamo nei criteri di nomina obbligatoria. Tutte le richieste sono comunque gestite dal nostro team privacy all'indirizzo email sopra indicato. Qualora in futuro nominassimo un DPO, ne daremo comunicazione aggiornando questa pagina.