Conformità GDPR

12 min di lettura Intermedio Aggiornato: 10/01/2026

Comprendi i requisiti GDPR, privacy dei dati e diritti dei clienti

BarberSlot è completamente conforme al GDPR, aiutandoti a proteggere la privacy dei clienti e rispettare gli obblighi legali. Questa guida spiega le tue responsabilità e come il sistema supporta la conformità.

Cos’è il GDPR?

General Data Protection Regulation - Legge UE che protegge la privacy dei dati personali.

Si applica a:

  • Tutte le aziende operanti nell’UE
  • Tutte le aziende che servono clienti UE
  • Ovunque vengano raccolti/elaborati dati dei clienti

Principio chiave: Gli individui controllano i propri dati personali.

Articoli GDPR Rilevanti per BarberSlot

Articolo 15: Diritto di Accesso

I clienti possono richiedere: Copia di tutti i dati che possiedi su di loro

BarberSlot fornisce:

  • Funzione di esportazione dati automatica
  • File JSON completo con tutti i dati del cliente
  • Consegnato tramite download sicuro

Tuo obbligo: Rispondere entro 30 giorni (BarberSlot lo rende istantaneo).

Articolo 17: Diritto alla Cancellazione (“Diritto all’Oblio”)

I clienti possono richiedere: Cancellazione del loro account e dati

BarberSlot gestisce:

  • Anonimizza i dati personali
  • Preserva lo storico prenotazioni (anonimizzato per legge/contabilità)
  • Rimuove informazioni identificabili
  • Non può essere annullato

Eccezioni: I dati richiesti per obblighi legali (registri fiscali, contratti) possono essere conservati in forma anonimizzata.

Articolo 20: Diritto alla Portabilità dei Dati

I clienti possono richiedere: Copia leggibile da macchina dei loro dati

BarberSlot fornisce:

  • Esportazione in formato JSON
  • Include: profilo, prenotazioni, messaggi, preferenze
  • Il cliente può importare in un altro sistema

Dati Raccolti da BarberSlot

Dati Cliente

Informazioni personali:

  • Nome
  • Indirizzo email
  • Numero di telefono
  • Storico prenotazioni
  • Preferenze servizi
  • Storico comunicazioni

Dati tecnici:

  • Indirizzo IP (per sicurezza)
  • Informazioni browser
  • Timestamp accesso
  • Dati sessione

Dati Barbiere/Account

Informazioni account:

  • Dettagli profilo
  • Credenziali autenticazione (criptate)
  • Segreti 2FA (criptati)
  • Token OAuth (criptati)
  • Storico accessi

Dati business:

  • Servizi offerti
  • Prezzi
  • Orari
  • Configurazione negozio

Base Giuridica per l’Elaborazione Dati

Il GDPR richiede base giuridica per la raccolta dati:

Esecuzione Contratto

Base: Dati necessari per fornire il servizio Si applica a: Gestione prenotazioni, calendario, notifiche Il cliente non può rifiutare: Essenziale per il servizio

Consenso

Base: Il cliente accetta esplicitamente Si applica a: Email marketing, SMS, notifiche push Il cliente può rifiutare: In qualsiasi momento, facilmente

Interesse Legittimo

Base: Necessario per l’operazione aziendale Si applica a: Prevenzione frodi, sicurezza, miglioramento servizio Il cliente può opporsi: In alcuni casi

Obbligo Legale

Base: Richiesto dalla legge Si applica a: Registri fiscali, contabilità, dispute legali Il cliente non può rifiutare: Obbligatorio per legge

Diritti dei Clienti & Come Esercitarli

1. Diritto di Accesso (Articolo 15)

Il cliente vuole: “Mostrami tutti i dati che hai su di me”

Come fornire:

  1. Il cliente accede (o ti contatta)
  2. Vai su Profilo Cliente
  3. Clicca “Esporta Dati Cliente”
  4. Link download inviato all’email del cliente
  5. File JSON contiene tutto

Alternativamente:

  • Impostazioni → Privacy e Dati → Esporta Dati

2. Diritto di Rettifica

Il cliente vuole: “Correggi i miei dati imprecisi”

Come fornire:

  1. Apri profilo cliente
  2. Clicca “Modifica”
  3. Aggiorna informazioni errate
  4. Salva

Il cliente può anche: Aggiornare il proprio profilo se ha un account.

3. Diritto alla Cancellazione (Articolo 17)

Il cliente vuole: “Cancella il mio account”

Come fornire:

  1. Profilo cliente → “Elimina Account”
  2. Conferma eliminazione
  3. Il sistema:
    • Anonimizza dati personali (nome → “Utente Eliminato #12345”)
    • Rimuove email, telefono
    • Disabilita account
    • Elimina messaggi
    • Preserva storico prenotazioni (anonimizzato per contabilità)

Non può eliminare:

  • Prenotazioni completate (requisito legale per tasse)
  • Registri pagamenti (obbligo conservazione 7 anni)

4. Diritto alla Portabilità Dati (Articolo 20)

Il cliente vuole: “Dammi i miei dati da usare altrove”

Come fornire: Come Diritto di Accesso - l’esportazione fornisce formato JSON portabile.

5. Diritto di Opposizione

Il cliente vuole: “Smetti di elaborare i miei dati per marketing”

Come fornire:

  1. Profilo cliente → Preferenze
  2. Disattiva:
    • Marketing email
    • Marketing SMS
    • Notifiche push
  3. Salva

Il cliente riceve ancora: Conferme prenotazioni, promemoria (comunicazioni essenziali).

6. Diritto di Limitazione Elaborazione

Il cliente vuole: “Smetti temporaneamente di usare i miei dati”

Come fornire:

  1. Contrassegna account cliente come “Limitato”
  2. Niente marketing
  3. Nessuna comunicazione proattiva
  4. Prenotazioni ancora onorate (obbligo contrattuale)

Documenti Legali

BarberSlot mantiene documenti legali versionati che i clienti devono accettare.

Termini di Servizio

Copre:

  • Regole uso servizio
  • Condizioni pagamento
  • Limitazioni responsabilità
  • Risoluzione dispute

Accettazione tracciata:

  • Timestamp
  • Indirizzo IP
  • User agent (info browser)
  • Versione documento

Privacy Policy

Copre:

  • Quali dati vengono raccolti
  • Come vengono usati i dati
  • Con chi vengono condivisi i dati
  • Diritti dei clienti
  • Conservazione dati

Accettazione tracciata: Come Termini.

Copre:

  • Cookie utilizzati
  • Scopo di ogni cookie
  • Come disabilitare i cookie
  • Cookie di terze parti

Controllo Versione

Quando i documenti vengono aggiornati:

  1. Nuova versione creata
  2. Numero versione incrementato
  3. Tutti gli utenti devono riaccettare al prossimo accesso
  4. Vecchie accettazioni preservate (audit trail)

Tu vedi: Quali clienti hanno accettato quale versione.

Consenso Marketing

Separato dall’accettazione documenti legali.

Tipi di Consenso

Email Marketing:

  • Offerte promozionali
  • Annunci nuovi servizi
  • Campagne stagionali

SMS Marketing:

  • Promozioni via testo
  • Offerte flash
  • Inviti eventi

Notifiche Push:

  • Avvisi app mobile (futuro)
  • Notifiche browser

Controllo Granulare

Il cliente sceglie:

  • ✅ Solo email
  • ✅ Solo SMS
  • ✅ Entrambi
  • ❌ Nessuno

Indipendente da:

  • Conferme prenotazioni (sempre inviate)
  • Promemoria (il cliente può rifiutare, ma consigliato mantenerli)
  • Notifiche account (legate alla sicurezza, sempre inviate)

Tracciamento Consenso

Per ogni consenso:

  • Data/ora concesso
  • Metodo (checkbox, link email, ecc.)
  • Indirizzo IP
  • Data ritiro (se applicabile)

Prova di consenso in caso di disputa.

Conservazione Dati

Quanto a lungo vengono conservati i dati:

Clienti Attivi

Indefinitamente finché account attivo e cliente prenota regolarmente.

Clienti Inattivi

24 mesi dopo l’ultima prenotazione:

  • Se nessuna attività, dati segnalati per eliminazione
  • Notifica inviata al cliente
  • Il cliente può riattivare o confermare eliminazione
  • Se nessuna risposta, auto-eliminati dopo 90 giorni

Account Eliminati

Immediatamente:

  • Dati personali anonimizzati
  • Account disabilitato

Conservati (anonimizzati):

  • Storico prenotazioni (per contabilità, 7 anni)
  • Registri pagamenti (requisito legge fiscale)

Log Audit

3 anni: Tentativi accesso, modifiche permessi, log accesso dati

Accettazione Documenti Legali

7 anni: Prova di consenso ai termini

Misure Sicurezza Dati

Come BarberSlot protegge i dati:

Crittografia

In Transito:

  • Crittografia TLS/SSL per tutte le connessioni
  • Solo HTTPS
  • Nessuna trasmissione dati non criptati

A Riposo:

  • Crittografia database
  • Hashing password (bcrypt)
  • Segreti 2FA criptati
  • Token OAuth criptati

Controllo Accesso

Permessi basati su ruolo:

  • I barbieri vedono solo i propri clienti
  • I manager negozio vedono solo il proprio negozio
  • I proprietari tenant vedono la propria organizzazione
  • Nessun accesso cross-tenant

Autenticazione

Multi-fattore:

  • Password + 2FA per account sensibili
  • OAuth per comodità
  • Magic link per reset password
  • Rate limiting (5 tentativi poi blocco)

Monitoraggio

Avvisi automatici:

  • Pattern accesso insoliti
  • Multipli tentativi falliti
  • Richieste esportazione dati
  • Richieste eliminazione account
  • Modifiche permessi

Backup

Backup giornalieri:

  • Archiviazione criptata
  • Geo-ridondante
  • Conservazione 30 giorni
  • Testati mensilmente per ripristino

Condivisione Dati

Con chi BarberSlot condivide i dati:

Fornitori Servizi (Responsabili Trattamento)

Hosting: AWS (server criptati) Email: SendGrid (solo email transazionali) SMS: Twilio (notifiche SMS) Analytics: Privacy-focused (dati anonimizzati)

Tutti i fornitori:

  • Conformi GDPR
  • Accordi Trattamento Dati in essere
  • Soggetti ad audit

Terze Parti (Mai)

  • ❌ Nessuna vendita dati clienti
  • ❌ Nessuna condivisione con inserzionisti
  • ❌ Nessun tracciamento terze parti (eccetto analytics essenziali)

Requisiti Legali

Dati condivisi quando:

  • Ordine tribunale
  • Obbligo legale
  • Indagine frode
  • Minaccia sicurezza utente

Cliente notificato salvo divieto legale.

I Tuoi Obblighi come Titolare del Trattamento

Tu (il barbiere) sei il titolare del trattamento - decidi quali dati raccogliere e come usarli.

Responsabilità

  1. Raccogli solo dati necessari: Non chiedere info che non ti servono
  2. Mantieni dati accurati: Aggiorna info obsolete
  3. Proteggi i dati: Usa password forti, abilita 2FA
  4. Rispetta diritti clienti: Rispondi a richieste accesso/eliminazione
  5. Segnala violazioni: Notifica autorità entro 72 ore
  6. Mantieni registri: Documenta come elabori i dati

BarberSlot come Responsabile del Trattamento

BarberSlot elabora dati per tuo conto:

  • Fornisce strumenti per conformità
  • Gestisce sicurezza tecnica
  • Abilita diritti clienti
  • Mantiene log audit

Ma: Rimani responsabile di come usi il sistema.

Protocollo Violazione Dati

Se si verifica una violazione dati:

Risposta BarberSlot

Entro 1 ora:

  • Identifica portata violazione
  • Contiene il problema
  • Documenta incidente

Entro 24 ore:

  • Notifica utenti colpiti
  • Fornisce dettagli su cosa è stato compromesso
  • Spiega passi rimedio

Entro 72 ore:

  • Notifica autorità (se richiesto)
  • Pubblica report incidente
  • Implementa misure preventive

La Tua Risposta

Se sospetti una violazione:

  1. Contatta immediatamente supporto BarberSlot
  2. Non cancellare prove
  3. Documenta cosa è successo
  4. Notifica clienti se i loro dati sono stati colpiti
  5. Segnala alle autorità (se richiesto dalla legge)

Mai coprire: La trasparenza è requisito legale.

Best Practice

Da Fare ✅

  1. Abilita 2FA (previene accessi non autorizzati)
  2. Audit dati regolari (pulisci vecchi dati)
  3. Forma il personale sulla privacy
  4. Usa password forti
  5. Disconnettiti su computer condivisi
  6. Rivedi richieste clienti prontamente
  7. Mantieni aggiornati documenti legali

Da Non Fare ❌

  1. Non condividere credenziali accesso
  2. Non raccogliere dati non necessari
  3. Non ignorare richieste eliminazione
  4. Non usare dati clienti per scopi non autorizzati
  5. Non conservare dati più a lungo del necessario

Domande Frequenti

D: Ho bisogno della conformità GDPR se non sono nell’UE? R: Sì, se servi clienti UE. Il GDPR è extraterritoriale.

D: Posso rifiutare una richiesta di eliminazione cliente? R: Solo se hai obbligo legale di conservare i dati (registri fiscali). Altrimenti, devi conformarti entro 30 giorni.

D: Cosa succede se un cliente richiede dati che non ho? R: Spiega quali dati hai e fornisci quelli. Se non hai mai raccolto certi dati, dichiaralo chiaramente.

D: Posso far pagare per l’esportazione dati? R: No. La prima richiesta deve essere gratuita. Richieste successive possono essere addebitate se “manifestamente infondate o eccessive.”

D: Quanto tempo conservo dati cliente eliminati? R: Anonimizza immediatamente. Conserva registri anonimizzati solo il tempo legalmente richiesto (7 anni per tasse/contabilità).

D: Qual è la sanzione per violazione GDPR? R: Fino a €20 milioni o 4% del fatturato annuale globale, qualunque sia superiore. Più danno reputazionale.

Risorse

Prossimi Passi

Ora che comprendi il GDPR:

  1. Rivedi dati clienti: Assicurati di conservare solo il necessario
  2. Abilita 2FA: Proteggi il tuo account
  3. Forma il personale: Condividi questa guida
  4. Audit regolari: Revisione dati trimestrale

Domande sul GDPR? Scrivi a privacy@barberslot.com o consulta un professionista legale.

Questa guida è stata utile?

Aiutaci a migliorare la documentazione con il tuo feedback.