Informativa sulla privacy

1. Responsabile

Il responsabile del trattamento dei dati ai sensi del Regolamento generale sulla protezione dei dati (GDPR) è:

Unicorn Factory Media GmbH
Amministratori delegati: Daniel Haenle, Florian Konrad
In der Kolling 146
66450 Bexbach, Germania
E-mail: hey@bookicorn.net
P. IVA: DE340084710
Registro delle imprese: HRB 107099, Tribunale di Saarbrücken

2. Ambito di applicazione

La presente informativa sulla privacy si applica all'utilizzo dei siti web www.bookicorn.net (marketplace clienti, ricerca studi, pagine SEO) e app.bookicorn.net (amministrazione dello studio, dashboard trainer, dashboard cliente, sistema di prenotazione). Entrambe le piattaforme sono gestite da Unicorn Factory Media GmbH.

3. Panoramica dei trattamenti

Nell'ambito dei nostri servizi, trattiamo i seguenti tipi di dati personali:

• Dati anagrafici – Nome, indirizzo, data di nascita
• Dati di contatto – Indirizzo e-mail, numero di telefono
• Dati di contenuto – Foto del profilo, messaggi, recensioni
• Dati di utilizzo – Pagine visitate, orari di accesso, indirizzi IP
• Dati contrattuali – Cronologia delle prenotazioni, abbonamenti, iscrizioni ai corsi
• Dati di pagamento – Cronologia dei pagamenti, saldo crediti, informazioni sui versamenti
• Dati di comunicazione – Messaggi di chat, corrispondenza e-mail

4. Basi giuridiche

Il trattamento dei dati personali avviene sulla base delle seguenti basi giuridiche del GDPR:

• Art. 6, par. 1, lett. a GDPR (Consenso) – L'interessato ha prestato il proprio consenso al trattamento dei propri dati personali per una o più finalità specifiche, ad es. cookie opzionali o newsletter.
• Art. 6, par. 1, lett. b GDPR (Esecuzione di un contratto) – Il trattamento è necessario per l'esecuzione di un contratto, ad es. registrazione, prenotazione di corsi, elaborazione dei pagamenti.
• Art. 6, par. 1, lett. c GDPR (Obbligo legale) – Il trattamento è necessario per adempiere a un obbligo legale, ad es. obblighi di conservazione fiscale.
• Art. 6, par. 1, lett. f GDPR (Interessi legittimi) – Il trattamento è necessario per il perseguimento degli interessi legittimi del titolare, ad es. sicurezza della piattaforma, prevenzione delle frodi, analisi per il miglioramento del servizio.

5. Registrazione e account utente

Per utilizzare determinate funzionalità della nostra piattaforma è necessaria la registrazione. L'autenticazione avviene tramite Supabase Auth (Supabase Inc., 970 Toa Payoh North #07-04, Singapore 318992).

Vengono trattati i seguenti dati:

• Indirizzo e-mail
• Nome (nome e cognome)
• Password (memorizzata in forma crittografata, nessun accesso in chiaro)

Base giuridica: Art. 6, par. 1, lett. b GDPR (esecuzione del contratto).
Cancellazione: Dopo la cancellazione dell'account, i dati vengono completamente eliminati entro 30 giorni.

6. Gestione dello studio (area admin)

I proprietari degli studi utilizzano l'area di amministrazione su app.bookicorn.net per gestire il proprio studio. Vengono trattati i seguenti dati:

• Nome e descrizione dello studio
• Indirizzo e sedi
• Dati di contatto (e-mail, telefono, sito web)
• Coordinate bancarie (per i versamenti tramite Stripe Connect)
• Offerte di corsi, prezzi e orari
• Profili dei trainer e assegnazioni

Base giuridica: Art. 6, par. 1, lett. b GDPR (esecuzione del contratto per la fornitura dei servizi della piattaforma).

7. Dashboard trainer

I trainer dispongono di un dashboard dedicato su app.bookicorn.net, nel quale possono consultare i corsi assegnati, le liste dei partecipanti e i versamenti. Vengono trattati i seguenti dati:

• Nome e dati di contatto
• Qualifiche e foto del profilo
• Compensi e cronologia dei versamenti
• Corsi assegnati e liste dei partecipanti

I versamenti automatici vengono effettuati tramite Stripe Connect. I trainer effettuano un processo di onboarding presso Stripe, che elabora direttamente i dati di pagamento.

Base giuridica: Art. 6, par. 1, lett. b GDPR (esecuzione del contratto).

8. Dashboard cliente

I partecipanti registrati possono gestire le proprie prenotazioni, il saldo crediti e il profilo tramite app.bookicorn.net. Vengono trattati i seguenti dati:

• Nome e indirizzo e-mail
• Foto del profilo e impostazioni personali
• Cronologia delle prenotazioni (corsi prenotati, date, cancellazioni)
• Saldo crediti
• Cronologia dei pagamenti

Base giuridica: Art. 6, par. 1, lett. b GDPR (esecuzione del contratto).

9. Prenotazioni e pagamenti

Al momento della prenotazione di corsi, vengono trattati i seguenti dati:

• Nome e indirizzo e-mail del partecipante
• Corsi prenotati, date e stato della prenotazione
• Cronologia delle prenotazioni e cancellazioni

L'elaborazione dei pagamenti avviene tramite Stripe (Stripe Inc., 510 Townsend Street, San Francisco, CA 94103, USA). I dati di pagamento (numero di carta di credito, coordinate bancarie) vengono elaborati direttamente da Stripe e non vengono mai memorizzati sui nostri server.

Stripe è certificato nell'ambito del EU-US Data Privacy Framework e garantisce quindi un livello adeguato di protezione dei dati. Per ulteriori informazioni, consultare l'informativa sulla privacy di Stripe: https://stripe.com/it/privacy

Base giuridica: Art. 6, par. 1, lett. b GDPR (esecuzione del contratto).

10. Sistema di crediti

I partecipanti possono acquistare pacchetti di crediti sulla nostra piattaforma, utilizzabili per la prenotazione di corsi. L'acquisto avviene tramite Stripe Checkout.

Vengono trattati i seguenti dati:

• Saldo crediti dell'account utente
• Cronologia delle transazioni (acquisti, utilizzi)
• Informazioni di pagamento (elaborate da Stripe)

Base giuridica: Art. 6, par. 1, lett. b GDPR (esecuzione del contratto).

11. Funzione chat

La nostra piattaforma offre una funzione di chat tramite la quale i partecipanti possono comunicare con gli studi e i trainer. Vengono trattati i seguenti dati:

• Contenuto dei messaggi (testo)
• Timestamp dei messaggi
• Informazioni su mittente e destinatario

Periodo di conservazione: I messaggi vengono conservati per la durata dell'iscrizione. Dopo la cancellazione dell'account, tutti i messaggi di chat vengono eliminati.
Base giuridica: Art. 6, par. 1, lett. b GDPR (esecuzione del contratto).

12. Comunicazione via e-mail

L'invio di e-mail avviene tramite il servizio SMTP di ALL-INKL.COM (Neue Medien Münnich, Hauptstraße 68, 02742 Friedersdorf, Germania).

Vengono inviate le seguenti e-mail:

• Conferma di registrazione e verifica dell'indirizzo e-mail
• Conferme di prenotazione e cancellazioni
• Promemoria dei corsi
• Conferme di pagamento e fatture
• Notifiche dell'account (reimpostazione della password, ecc.)

Base giuridica: Art. 6, par. 1, lett. b GDPR (esecuzione del contratto) e art. 6, par. 1, lett. f GDPR (interessi legittimi alla fornitura di informazioni pertinenti).

13. Cookie e tecnologie simili

I nostri siti web utilizzano cookie e tecnologie simili. Distinguiamo tra:

• Cookie tecnicamente necessari – Sono indispensabili per il funzionamento del sito web (ad es. cookie di sessione, cookie di autenticazione). Vengono impostati senza consenso. Base giuridica: art. 6, par. 1, lett. f GDPR.
• Cookie opzionali – I cookie per finalità di analisi o marketing vengono impostati solo con il vostro consenso esplicito. Base giuridica: art. 6, par. 1, lett. a GDPR.

Alla prima visita del nostro sito web viene visualizzato un banner dei cookie, tramite il quale potete dare o rifiutare il vostro consenso. Potete modificare le vostre impostazioni in qualsiasi momento tramite le impostazioni dei cookie.

14. Hosting

I nostri siti web sono ospitati da Vercel Inc. (440 N Barranca Ave #4133, Covina, CA 91723, USA).

Vengono automaticamente trattati i seguenti dati:

• Indirizzo IP del dispositivo che accede
• Dati di accesso (data, ora, pagina consultata)
• Volume di dati trasferiti

Vercel è certificato nell'ambito del EU-US Data Privacy Framework. Ulteriori informazioni: https://vercel.com/legal/privacy-policy

Base giuridica: Art. 6, par. 1, lett. f GDPR (interessi legittimi alla messa a disposizione sicura ed efficiente del nostro sito web).

15. File di log del server

Ad ogni accesso ai nostri siti web, i seguenti dati vengono automaticamente raccolti nei file di log del server:

• Tipo e versione del browser
• Sistema operativo utilizzato
• URL di riferimento (pagina visitata in precedenza)
• Indirizzo IP del computer che accede
• Ora della richiesta al server

Questi dati non vengono associati ad altre fonti di dati. La cancellazione avviene automaticamente dopo 30 giorni.

Base giuridica: Art. 6, par. 1, lett. f GDPR (interessi legittimi a garantire un funzionamento senza interruzioni).

16. Modulo di contatto

Se ci inviate richieste tramite il modulo di contatto, i vostri dati dal modulo di richiesta, inclusi i dati di contatto da voi forniti, saranno da noi memorizzati ai fini dell'elaborazione della richiesta e in caso di domande successive. Non condividiamo questi dati senza il vostro consenso.

Inoltre, al momento dell'invio del modulo di contatto vengono trasmesse informazioni tecniche sull'origine (pagina di ingresso, sito web di riferimento, eventuali parametri di campagna). Questi dati vengono utilizzati esclusivamente per migliorare i nostri servizi e vengono memorizzati solo per la durata della sessione nel browser (session storage). Non vengono impostati cookie e nessun dato viene trasmesso a terzi.

Base giuridica: Art. 6, par. 1, lett. f GDPR (interesse legittimo all'elaborazione efficiente delle richieste).

17. Fornitori terzi e responsabili del trattamento

Per fornire i nostri servizi, ci avvaliamo dei seguenti fornitori terzi:

• Supabase Inc. (Singapore) – Database e autenticazione. I dati sono memorizzati su server AWS nell'UE (Francoforte).
• Vercel Inc. (USA) – Hosting e Content Delivery Network (CDN). Certificato nell'ambito del EU-US Data Privacy Framework.
• Stripe Inc. (USA) – Elaborazione dei pagamenti e versamenti. Certificato nell'ambito del EU-US Data Privacy Framework.
• ALL-INKL.COM – Neue Medien Münnich (Germania) – Invio di e-mail tramite SMTP. Trattamento dei dati esclusivamente in Germania.
• Amazon Web Services EMEA SARL (UE) – Infrastruttura cloud (tramite Supabase). Centro dati a Francoforte (eu-central-1).

Con tutti i responsabili del trattamento sono stati stipulati accordi sul trattamento dei dati conformi all'art. 28 GDPR. Tutti i fornitori statunitensi sono certificati nell'ambito del EU-US Data Privacy Framework oppure sono in vigore clausole contrattuali standard (SCC).

18. Trasmissione dei dati agli studi

Al momento della prenotazione di un corso, i seguenti dati vengono trasmessi allo studio interessato:

• Nome del partecipante
• Indirizzo e-mail
• Dettagli della prenotazione (corso, data, stato)

La trasmissione avviene per l'esecuzione del contratto di prenotazione. Gli studi sono autonomamente responsabili del trattamento dei dati a loro trasmessi. Tra Bookicorn e gli studi esiste un accordo sul trattamento dei dati.

Base giuridica: Art. 6, par. 1, lett. b GDPR (esecuzione del contratto).

19. Diritti degli interessati

Avete i seguenti diritti riguardo ai vostri dati personali:

• Art. 15 GDPR – Diritto di accesso: Avete il diritto di ottenere informazioni sui vostri dati personali memorizzati presso di noi.
• Art. 16 GDPR – Diritto di rettifica: Avete il diritto di richiedere la rettifica di dati inesatti o il completamento dei vostri dati.
• Art. 17 GDPR – Diritto alla cancellazione: Avete il diritto di richiedere la cancellazione dei vostri dati personali, a condizione che non vi siano obblighi legali di conservazione.
• Art. 18 GDPR – Diritto alla limitazione del trattamento: Avete il diritto di richiedere la limitazione del trattamento dei vostri dati.
• Art. 20 GDPR – Diritto alla portabilità dei dati: Avete il diritto di ricevere i vostri dati in un formato strutturato, di uso comune e leggibile da dispositivo automatico.
• Art. 21 GDPR – Diritto di opposizione: Avete il diritto di opporvi in qualsiasi momento al trattamento dei vostri dati, nella misura in cui il trattamento è fondato su interessi legittimi.
• Art. 7, par. 3 GDPR – Diritto di revoca del consenso: Avete il diritto di revocare in qualsiasi momento un consenso prestato. La liceità del trattamento effettuato sulla base del consenso fino alla revoca non viene pregiudicata.

Per esercitare i vostri diritti potete contattarci in qualsiasi momento: hey@bookicorn.net

20. Durata di conservazione

Conserviamo i dati personali solo per il tempo necessario ai rispettivi scopi di trattamento o come previsto dai termini di conservazione legali.

• Termini di conservazione commerciali e fiscali: fino a 10 anni (§ 257 HGB, § 147 AO)
• Dati di prenotazione: per la durata del rapporto commerciale, successivamente secondo i termini di conservazione legali
• Account utente: cancellazione entro 30 giorni dalla cancellazione dell'account
• Log del server: cancellazione dopo 30 giorni

21. Diritto di reclamo

Avete il diritto di presentare un reclamo presso un'autorità di controllo per la protezione dei dati in merito al trattamento dei vostri dati personali.

L'autorità di controllo competente per noi è:

Unabhängiges Datenschutzzentrum Saarland
Fritz-Dobisch-Straße 12
66111 Saarbrücken
Germania

22. Modifiche

Ci riserviamo il diritto di modificare la presente informativa sulla privacy per adattarla alle disposizioni legali vigenti o in caso di modifiche al servizio e al trattamento dei dati. La versione attuale è sempre disponibile su questa pagina.