Salon Planner
Documenti legali

Accordo sul trattamento dei dati (DPA)

Accordo sul trattamento dei dati personali tra il salone, in qualità di Titolare, e Salon Planner, in qualità di Responsabile del trattamento, ai sensi dell’art. 28 GDPR.

Documento collegato
Versione 1.0 · Ultimo aggiornamento: 19/03/2026

1. Parti

Il presente Accordo sul trattamento dei dati ("Accordo") è stipulato tra:

  • Titolare del Trattamento (Titolare): il salone che utilizza la piattaforma Salon Planner.
  • Responsabile del Trattamento (Responsabile): Salon Planner, che fornisce la piattaforma gestionale.

2. Oggetto dell’Accordo

Il Responsabile tratta dati personali per conto del Titolare al fine di fornire servizi di gestione appuntamenti, clienti, collaboratori e funzionalità correlate connesse all’utilizzo della piattaforma Salon Planner.

3. Durata

Il presente Accordo è valido per tutta la durata del rapporto contrattuale tra il Titolare e Salon Planner e, in ogni caso, finché il salone utilizza la piattaforma. Alla cessazione del rapporto si applicano le disposizioni sulla cancellazione o restituzione dei dati.

4. Tipologie di dati trattati

Nel contesto dell’erogazione del servizio, il Responsabile può trattare, a titolo esemplificativo:

  • Dati clienti (es. nome, cognome, numero di telefono, email, eventuale data di nascita opzionale).
  • Dati dei collaboratori (es. nome, recapiti, ruoli, orari, agenda).
  • Dati del salone (es. ragione sociale, contatti, impostazioni del gestionale).
  • Dati tecnici (es. indirizzi IP, log applicativi, log di accesso e operazioni).
  • Storico ricevute e appuntamenti, comprese le informazioni relative ai servizi erogati e ai pagamenti.

5. Categorie di interessati

I dati trattati dal Responsabile per conto del Titolare possono riferirsi in particolare a:

  • Clienti del salone.
  • Collaboratori e personale del salone.
  • Utenti dell’App clienti e altri utenti che accedono alle superfici collegate al servizio.
  • Amministratori dell’account e utenti con ruoli gestionali.

6. Obblighi del Responsabile

Il Responsabile si impegna a:

  • Trattare i dati personali esclusivamente su documentata istruzione del Titolare, salvo diversi obblighi previsti dal diritto dell’Unione o degli Stati membri.
  • Non utilizzare i dati per finalità proprie o ulteriori rispetto a quelle definite dal Titolare.
  • Mantenere misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio, incluse, a titolo esemplificativo:
    • crittografia dei dati in transito e, ove applicabile, a riposo;
    • backup regolari dei dati;
    • meccanismi di separazione logica dei dati (es. RLS o equivalenti);
    • auditing e logging delle operazioni rilevanti;
    • controllo degli accessi e gestione dei privilegi utente.
  • Informare tempestivamente il Titolare in caso di violazione dei dati personali (data breach) che possa impattare gli interessati, fornendo le informazioni disponibili per consentire gli adempimenti verso le Autorità e gli interessati.
  • Fornire assistenza ragionevole al Titolare per la gestione delle richieste di esercizio dei diritti degli interessati ai sensi del GDPR.
  • Garantire che le persone autorizzate al trattamento si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza.
  • Assistere, nella misura ragionevole, il Titolare nello svolgimento di eventuali valutazioni d’impatto sulla protezione dei dati (DPIA) e, se del caso, nelle interlocuzioni con le Autorità di controllo in relazione ai trattamenti svolti per suo conto.
  • Mettere a disposizione del Titolare le informazioni necessarie per dimostrare il rispetto degli obblighi di cui all’art. 28 GDPR e consentire, ove concordato tra le Parti, lo svolgimento di verifiche e audit nei limiti e con le modalità descritte nel presente Accordo.

7. Obblighi del Titolare

Il Titolare si impegna a:

  • Fornire ai propri clienti, collaboratori e altri interessati una informativa completa e conforme al GDPR sul trattamento dei dati personali, comprensiva dell’utilizzo di Salon Planner come Responsabile.
  • Ottenere i consensi necessari ove richiesti (ad esempio per finalità di marketing) e gestire correttamente le preferenze degli interessati.
  • Evitare, per quanto possibile, l’inserimento in piattaforma di dati sensibili o particolari non strettamente necessari (es. dati sanitari, convinzioni religiose, ecc.).
  • Mantenere sicure le credenziali di accesso alla piattaforma e non condividerle con soggetti non autorizzati.
  • Configurare correttamente ruoli e permessi degli utenti interni al salone, in modo da rispettare il principio di minimizzazione e di necessità.

8. Sub-responsabili

Il Titolare autorizza il Responsabile ad avvalersi dei seguenti sub-responsabili per l’erogazione del servizio:

  • Supabase – Database & Storage (infrastruttura principale per l’archiviazione dei dati).
  • DigitalOcean – Hosting backend (infrastruttura server e servizi di rete).
  • Vercel – Hosting frontend (distribuzione dell’applicazione web).

Per ciascun sub-responsabile il Responsabile adotta accordi contrattuali conformi all’art. 28 GDPR, che prevedono misure adeguate di sicurezza e obblighi di riservatezza.

In caso di sostituzione o aggiunta di nuovi sub-responsabili con mansioni analoghe, il Responsabile informerà il Titolare, che potrà sollevare obiezioni motivate qualora ritenga che la nuova nomina comporti un peggioramento ingiustificato del livello di protezione dei dati personali.

9. Trasferimenti

Il trattamento dei dati avviene, per quanto possibile, all’interno dello Spazio Economico Europeo. Nell’ambito del presente Accordo non sono previsti trasferimenti di dati personali verso Paesi terzi extra-UE privi di decisione di adeguatezza.

10. Cancellazione o restituzione dei dati

Alla cessazione del rapporto contrattuale, su istruzione del Titolare, il Responsabile provvederà a cancellare o restituire i dati personali trattati per conto del Titolare, salvo diversa previsione di legge che richieda la conservazione.

  • I dati operativi presenti in piattaforma sono generalmente cancellati entro 30 giorni dalla chiusura dell’account o dalla cessazione del servizio.
  • I dati contenuti nei backup vengono sovrascritti ed eliminati nel corso dei normali cicli di backup, di norma entro 60 giorni.

11. Verifiche e audit

Il Titolare può richiedere al Responsabile una descrizione aggiornata delle principali misure tecniche e organizzative adottate, nonché, ove ragionevole, ulteriore documentazione a supporto della conformità del servizio al GDPR. Eventuali verifiche dovranno essere concordate tra le Parti in modo da non compromettere la sicurezza o la riservatezza di altri clienti e dell’infrastruttura.

12. Responsabilità

Ogni Parte risponde delle violazioni del GDPR e delle altre norme applicabili in materia di protezione dei dati personali che siano a essa imputabili. Il Responsabile risponde per i trattamenti effettuati in violazione delle istruzioni lecite e documentate del Titolare o degli obblighi posti a suo carico dalla normativa.

13. Clausola finale

Il presente Data Processing Agreement costituisce parte integrante dei Termini di Servizio di Salon Planner. La sua accettazione avviene con la sottoscrizione del contratto o con l’attivazione e l’utilizzo del servizio da parte del Titolare.

ALLEGATO A – Misure tecniche e organizzative

Misure tecniche

  • Cifratura dei dati in transito (es. HTTPS/TLS) e, ove applicabile, dei dati a riposo.
  • Backup periodici dei dati con procedure di ripristino testate.
  • Meccanismi di separazione logica dei dati (es. RLS o equivalenti).
  • Logging e monitoraggio degli accessi e delle operazioni rilevanti.
  • Password hashing e politiche di gestione sicura delle credenziali.

Misure organizzative

  • Principio di minimizzazione dei dati trattati.
  • Controllo degli accessi e assegnazione di ruoli e permessi in base alle mansioni.
  • Procedure interne per la gestione di incidenti di sicurezza e data breach, incluse modalità di notifica al Titolare.