Accordo sul trattamento dei dati — art. 28 GDPR
Data Processing Agreement (DPA)
Versione 1.0 — 13 luglio 2026
Il presente Accordo per il trattamento dei dati personali (“DPA”) integra i Termini di servizio di Beauty Studio Manager e disciplina il trattamento di dati personali che Smooth Factory di Narra Brian (P.IVA IT02767730464, Via San Michele Arcangelo 20, 55041 Camaiore LU — di seguito il “Responsabile”o “BSM”) svolge per conto dell'attività cliente che utilizza la piattaforma (di seguito il “Titolare”), ai sensi dell'art. 28 del Regolamento (UE) 2016/679 (“GDPR”). Il DPA si intende accettato con la registrazione alla piattaforma e resta efficace per tutta la durata del servizio.
1. Ruoli
Rispetto ai dati personali dei clienti finali del centro (le persone che prenotano o ricevono i trattamenti), il centro è Titolare del trattamento e BSM agisce come Responsabile del trattamento, esclusivamente su istruzione documentata del Titolare. L'uso della piattaforma secondo le sue funzioni costituisce istruzione documentata. Rispetto ai dati dell'account del centro (anagrafica, fatturazione), BSM agisce invece come autonomo titolare, come descritto nella Privacy Policy.
2. Oggetto, durata, natura e finalità del trattamento
- Oggetto: gestione di agenda, prenotazioni, rubrica clienti, comunicazioni (email/SMS/WhatsApp), pagamenti, vendite e funzioni accessorie della piattaforma.
- Durata: pari alla durata del rapporto contrattuale tra il Titolare e BSM.
- Natura: raccolta, registrazione, conservazione, consultazione, comunicazione ai destinatari indicati, cancellazione.
- Finalità: erogare il servizio di gestionale richiesto dal Titolare; nessun uso ulteriore (nessuna vendita, cessione o profilazione commerciale dei dati dei clienti finali).
3. Categorie di interessati e di dati
- Interessati: clienti finali del centro; personale del centro con account sulla piattaforma.
- Dati trattati: dati anagrafici e di contatto (nome, email, telefono), storico appuntamenti e servizi, note inserite dal centro, consensi raccolti, dati relativi a ordini e pagamenti (gestiti tramite Stripe; BSM non conserva i numeri di carta), contenuto delle conversazioni gestite tramite le funzioni di messaggistica e assistente AI.
- La piattaforma non richiede né è destinata al trattamento di categorie particolari di dati (art. 9 GDPR); il Titolare si impegna a non inserirvi dati sanitari se non strettamente necessario e sotto la propria responsabilità.
4. Obblighi del Responsabile
BSM si impegna a:
- trattare i dati solo per erogare il servizio e su istruzione documentata del Titolare;
- garantire che le persone autorizzate al trattamento siano vincolate alla riservatezza;
- adottare le misure tecniche e organizzative di cui all'art. 32 GDPR: cifratura in transito (HTTPS/TLS), segregazione dei dati per centro, controllo degli accessi per ruolo, backup, monitoraggio degli errori, hosting in datacenter nella UE ove disponibile;
- assistere il Titolare, tenuto conto della natura del trattamento, nel dare seguito alle richieste degli interessati (accesso, rettifica, cancellazione, portabilità) — la piattaforma offre strumenti diretti, inclusa la pagina di cancellazione dati;
- assistere il Titolare negli adempimenti degli artt. 32-36 GDPR (sicurezza, notifica violazioni, valutazioni d'impatto), per quanto di competenza;
- notificare al Titolare senza ingiustificato ritardo qualsiasi violazione di dati personali (data breach) di cui venga a conoscenza, fornendo le informazioni utili alla eventuale notifica al Garante entro 72 ore;
- al termine del servizio, su scelta del Titolare, restituire i dati in formato leggibile (esportazione) o cancellarli, salvo obblighi di conservazione previsti dalla legge;
- mettere a disposizione le informazioni necessarie a dimostrare il rispetto del presente accordo e consentire verifiche ragionevoli, previo preavviso scritto di almeno 15 giorni e senza accesso a dati di altri Titolari.
5. Sub-responsabili
Il Titolare autorizza in via generale il ricorso ai sub-responsabili elencati nella Subprocessor list, che costituisce parte integrante del presente DPA. BSM impone a ciascun sub-responsabile obblighi di protezione dei dati equivalenti a quelli del presente accordo e resta responsabile del loro operato. Eventuali aggiunte o sostituzioni saranno pubblicate su quella pagina con almeno 15 giorni di anticipo; il Titolare può opporsi per motivi legittimi entro tale termine, e in tal caso potrà recedere dal servizio.
6. Trasferimenti extra-UE
Alcuni sub-responsabili hanno sede negli Stati Uniti. I trasferimenti avvengono sulla base delle decisioni di adeguatezza applicabili (EU-US Data Privacy Framework, ove il fornitore vi aderisca) o delle Clausole Contrattuali Standard (SCC) della Commissione Europea incluse nei DPA dei rispettivi fornitori, linkati nella Subprocessor list.
7. Responsabilità del Titolare
Il Titolare garantisce di avere una base giuridica valida per i dati inseriti in piattaforma, di fornire ai propri clienti finali l'informativa privacy richiesta e di raccogliere gli eventuali consensi necessari (ad es. per le comunicazioni promozionali). Gli strumenti di raccolta consensi disponibili in piattaforma supportano, ma non sostituiscono, tali adempimenti.
8. Legge applicabile e foro
Il presente DPA è regolato dalla legge italiana. Per ogni controversia è competente il foro indicato nei Termini di servizio. In caso di conflitto tra il DPA e i Termini, prevale il DPA per quanto attiene alla protezione dei dati personali.
Per qualsiasi richiesta relativa al presente accordo: privacy@beautystudiomanager.it