politica sulla riservatezza

In vigore: Marzo 2026 | Versione 1.0

Il presente Accordo sul Trattamento dei Dati (ATD) ai sensi dell'Art. 28 GDPR è stipulato tra Unicorn Factory Media GmbH, In der Kolling 146, 66450 Bexbach, Germania («Responsabile del trattamento») e il gestore dello studio che utilizza la piattaforma Bookicorn («Titolare»).

§ 1 Oggetto e Durata

Il Responsabile mette a disposizione la piattaforma SaaS «Bookicorn» per la gestione di prenotazioni, dati clienti e transazioni. Il trattamento dura per la durata del contratto d'uso (CGU). Il presente accordo cessa con il contratto principale.

§ 2 Natura, Finalità e Portata

Il Responsabile tratta le seguenti categorie di dati per conto del Titolare:

Dati anagrafici: Nome, email, telefono dei clienti finali dello studio
Dati di prenotazione: corsi prenotati, appuntamenti, cancellazioni, storico prenotazioni
Dati di pagamento: ID transazione, stato del pagamento (nessun dato completo della carta)
Dati di accesso: password crittografate, token di sessione
Dati di comunicazione: email, messaggi di chat
Dati tecnici: indirizzi IP, informazioni sul browser

Persone interessate: clienti finali dello studio, istruttori, gestori dello studio.

§ 3 Obblighi del Responsabile del Trattamento

Il Responsabile si impegna a:

Trattare i dati solo su istruzione documentata del Titolare
Garantire la riservatezza delle persone coinvolte
Attuare misure tecniche e organizzative adeguate (MTO) ai sensi dell'Art. 32 GDPR
Assistere il Titolare nell'esercizio dei diritti degli interessati
Notificare le violazioni dei dati ai sensi dell'Art. 33 GDPR
Cancellare tutti i dati alla fine del contratto (salvo obblighi di conservazione legali)

Il trattamento comprende in particolare: archiviazione e gestione dei dati dei clienti finali nel database, elaborazione delle transazioni di prenotazione e pagamento, invio di notifiche email per conto dello studio, messa a disposizione del sistema di chat per la comunicazione, generazione di fatture e report di pagamento, supporto tecnico e risoluzione dei problemi.

L'accesso ai dati personali del Titolare è limitato ai dipendenti e incaricati del Responsabile che necessitano di tale accesso per l'adempimento dei propri obblighi contrattuali. Un elenco nominativo delle persone autorizzate viene fornito su richiesta.

§ 4 Obblighi del Titolare

Il Titolare è l'unico responsabile della liceità del trattamento dei dati dei clienti finali, del rispetto della normativa sulla protezione dei dati nei confronti dei clienti finali, e di tutti i contenuti, corsi, prezzi e prestazioni.

§ 5 Diritto di Istruzione del Titolare

Il Responsabile tratta i dati personali esclusivamente su istruzione documentata del Titolare ai sensi dell'Art. 28 co. 3 lett. a GDPR. Le istruzioni verbali devono essere confermate senza indugio per iscritto (è sufficiente la forma testuale via email). Se il Responsabile ritiene che un'istruzione sia contraria alla legge applicabile, ne informa immediatamente il Titolare ed è autorizzato a sospendere l'esecuzione dell'istruzione in questione fino a chiarimento.

§ 6 Misure Tecniche e Organizzative (MTO)

Crittografia: TLS/HTTPS per tutti i trasferimenti
Controllo degli accessi: Row Level Security (RLS), permessi basati sui ruoli
Archiviazione dati nell'UE: Server database AWS eu-central-1 Francoforte
Backup: Backup automatici giornalieri
Protezione password: Password archiviate esclusivamente come hash bcrypt
Monitoraggio: Sorveglianza in tempo reale degli eventi rilevanti per la sicurezza
Pseudonimizzazione: Ove tecnicamente possibile, i dati personali vengono trattati in forma pseudonimizzata
Controllo degli inserimenti: Registrazione di tutti gli accessi e le modifiche ai dati tramite audit log
Controllo del trattamento: Trattamento esclusivamente conforme alle istruzioni documentate del Titolare
Controllo della disponibilità: Archiviazione ridondante dei dati, meccanismi di failover automatici
Principio di separazione: Separazione logica dei dati dei diversi studi (architettura multi-tenant con Row Level Security)

§ 7 Sub-responsabili

Il Titolare acconsente all'utilizzo dei seguenti sub-responsabili. Le modifiche saranno comunicate con almeno 30 giorni di anticipo. Qualora i sub-responsabili siano stabiliti in paesi terzi al di fuori del SEE, il trasferimento avviene sulla base delle Clausole Contrattuali Tipo (CCT) ai sensi dell'Art. 46 co. 2 lett. c GDPR o di una decisione di adeguatezza equivalente della Commissione europea.

Azienda	Sede	Scopo
Supabase Inc.	San Francisco, USA (dati su AWS EU-Central-1, Francoforte)	Database, autenticazione, sincronizzazione in tempo reale
Vercel Inc.	340 Pine Street, San Francisco, CA 94104, USA	Hosting, CDN, funzioni serverless
Stripe Payments Europe, Ltd.	1 Grand Canal Street Lower, Dublino 2, Irlanda	Elaborazione pagamenti, abbonamenti
All-Inkl.COM Neue Medien Münnich	Hauptstraße 68, 02742 Friedersdorf, Germania	Invio email (SMTP)
Amazon Web Services (AWS)	Amazon Web Services EMEA SARL, Lussemburgo	Infrastruttura cloud (via Supabase), EU-Central-1 Francoforte
Slack Technologies LLC	500 Howard Street, San Francisco, CA 94105, USA	Comunicazione interna del team e gestione del supporto

§ 8 Diritti degli Interessati

Il Responsabile assiste il Titolare nel soddisfacimento delle richieste di accesso, rettifica, cancellazione, limitazione, portabilità e opposizione ai sensi degli Art. 15–22 GDPR. Contatto: hey@bookicorn.net. Dopo la fine del contratto: cancellazione dei dati entro 30 giorni; esportazione possibile su richiesta prima della scadenza.

§ 9 Diritto di Controllo del Titolare

Il Titolare ha il diritto di verificare la conformità del Responsabile al presente ATD e al GDPR. I controlli possono essere effettuati tramite richieste di documentazione, questionari o – previo ragionevole preavviso – ispezioni in loco. Il Responsabile fornisce tutte le informazioni necessarie a dimostrare la conformità e facilita le verifiche ai sensi dell'Art. 28 co. 3 lett. h GDPR.

§ 10 Notifica di Violazioni dei Dati

In caso di violazione dei dati personali, il Responsabile notifica il Titolare senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne viene a conoscenza. La notifica comprende: la natura della violazione, le categorie e il numero approssimativo di persone e registrazioni interessate, le probabili conseguenze, e le misure adottate o proposte. Se non tutte le informazioni sono disponibili contemporaneamente, possono essere fornite per fasi.

§ 11 Riservatezza

Il Responsabile garantisce che tutte le persone autorizzate al trattamento siano vincolate da un obbligo di riservatezza e abbiano accesso solo ai dati necessari per i propri compiti (principio del need-to-know). Tale obbligo persiste oltre la fine del rapporto contrattuale.

§ 12 Responsabilità

Ciascuna parte è responsabile nei confronti degli interessati per i danni causati da un trattamento non conforme al GDPR ai sensi dell'Art. 82 GDPR. Nei rapporti interni, le parti rispondono in misura proporzionale alla rispettiva quota di responsabilità nel danno. Il Responsabile risponde solo se ha violato gli obblighi espliciti del presente ATD o del GDPR. La responsabilità del Responsabile è limitata al valore annuale del contratto, nei limiti consentiti dalla legge.

§ 13 Disposizioni Finali

Forma: Le modifiche al presente ATD richiedono la forma testuale (l'email è sufficiente).
Clausola di salvaguardia: Se una disposizione del presente ATD è o diventa nulla, ciò non pregiudica la validità delle restanti disposizioni. Le parti sostituiscono la disposizione nulla con una valida che si avvicini maggiormente all'obiettivo economico perseguito.
Legge applicabile: Si applica il diritto della Repubblica Federale di Germania. Il foro competente è, nei limiti consentiti dalla legge, Bexbach, Germania.
Gerarchia: In caso di conflitto tra il presente ATD e il contratto principale (CGU), il presente ATD prevale in materia di protezione dei dati.

§ 14 Contatto

Unicorn Factory Media GmbH
In der Kolling 146, 66450 Bexbach, Germania
hey@bookicorn.net