BarberSlot è completamente conforme al GDPR, aiutandoti a proteggere la privacy dei clienti e rispettare gli obblighi legali. Questa guida spiega le tue responsabilità e come il sistema supporta la conformità.
Cos’è il GDPR?
General Data Protection Regulation - Legge UE che protegge la privacy dei dati personali.
Si applica a:
- Tutte le aziende operanti nell’UE
- Tutte le aziende che servono clienti UE
- Ovunque vengano raccolti/elaborati dati dei clienti
Principio chiave: Gli individui controllano i propri dati personali.
Articoli GDPR Rilevanti per BarberSlot
Articolo 15: Diritto di Accesso
I clienti possono richiedere: Copia di tutti i dati che possiedi su di loro
BarberSlot fornisce:
- Funzione di esportazione dati automatica
- File JSON completo con tutti i dati del cliente
- Consegnato tramite download sicuro
Tuo obbligo: Rispondere entro 30 giorni (BarberSlot lo rende istantaneo).
Articolo 17: Diritto alla Cancellazione (“Diritto all’Oblio”)
I clienti possono richiedere: Cancellazione del loro account e dati
BarberSlot gestisce:
- Anonimizza i dati personali
- Preserva lo storico prenotazioni (anonimizzato per legge/contabilità)
- Rimuove informazioni identificabili
- Non può essere annullato
Eccezioni: I dati richiesti per obblighi legali (registri fiscali, contratti) possono essere conservati in forma anonimizzata.
Articolo 20: Diritto alla Portabilità dei Dati
I clienti possono richiedere: Copia leggibile da macchina dei loro dati
BarberSlot fornisce:
- Esportazione in formato JSON
- Include: profilo, prenotazioni, messaggi, preferenze
- Il cliente può importare in un altro sistema
Dati Raccolti da BarberSlot
Dati Cliente
Informazioni personali:
- Nome
- Indirizzo email
- Numero di telefono
- Storico prenotazioni
- Preferenze servizi
- Storico comunicazioni
Dati tecnici:
- Indirizzo IP (per sicurezza)
- Informazioni browser
- Timestamp accesso
- Dati sessione
Dati Barbiere/Account
Informazioni account:
- Dettagli profilo
- Credenziali autenticazione (criptate)
- Segreti 2FA (criptati)
- Token OAuth (criptati)
- Storico accessi
Dati business:
- Servizi offerti
- Prezzi
- Orari
- Configurazione negozio
Base Giuridica per l’Elaborazione Dati
Il GDPR richiede base giuridica per la raccolta dati:
Esecuzione Contratto
Base: Dati necessari per fornire il servizio Si applica a: Gestione prenotazioni, calendario, notifiche Il cliente non può rifiutare: Essenziale per il servizio
Consenso
Base: Il cliente accetta esplicitamente Si applica a: Email marketing, SMS, notifiche push Il cliente può rifiutare: In qualsiasi momento, facilmente
Interesse Legittimo
Base: Necessario per l’operazione aziendale Si applica a: Prevenzione frodi, sicurezza, miglioramento servizio Il cliente può opporsi: In alcuni casi
Obbligo Legale
Base: Richiesto dalla legge Si applica a: Registri fiscali, contabilità, dispute legali Il cliente non può rifiutare: Obbligatorio per legge
Diritti dei Clienti & Come Esercitarli
1. Diritto di Accesso (Articolo 15)
Il cliente vuole: “Mostrami tutti i dati che hai su di me”
Come fornire:
- Il cliente accede (o ti contatta)
- Vai su Profilo Cliente
- Clicca “Esporta Dati Cliente”
- Link download inviato all’email del cliente
- File JSON contiene tutto
Alternativamente:
- Impostazioni → Privacy e Dati → Esporta Dati
2. Diritto di Rettifica
Il cliente vuole: “Correggi i miei dati imprecisi”
Come fornire:
- Apri profilo cliente
- Clicca “Modifica”
- Aggiorna informazioni errate
- Salva
Il cliente può anche: Aggiornare il proprio profilo se ha un account.
3. Diritto alla Cancellazione (Articolo 17)
Il cliente vuole: “Cancella il mio account”
Come fornire:
- Profilo cliente → “Elimina Account”
- Conferma eliminazione
- Il sistema:
- Anonimizza dati personali (nome → “Utente Eliminato #12345”)
- Rimuove email, telefono
- Disabilita account
- Elimina messaggi
- Preserva storico prenotazioni (anonimizzato per contabilità)
Non può eliminare:
- Prenotazioni completate (requisito legale per tasse)
- Registri pagamenti (obbligo conservazione 7 anni)
4. Diritto alla Portabilità Dati (Articolo 20)
Il cliente vuole: “Dammi i miei dati da usare altrove”
Come fornire: Come Diritto di Accesso - l’esportazione fornisce formato JSON portabile.
5. Diritto di Opposizione
Il cliente vuole: “Smetti di elaborare i miei dati per marketing”
Come fornire:
- Profilo cliente → Preferenze
- Disattiva:
- Marketing email
- Marketing SMS
- Notifiche push
- Salva
Il cliente riceve ancora: Conferme prenotazioni, promemoria (comunicazioni essenziali).
6. Diritto di Limitazione Elaborazione
Il cliente vuole: “Smetti temporaneamente di usare i miei dati”
Come fornire:
- Contrassegna account cliente come “Limitato”
- Niente marketing
- Nessuna comunicazione proattiva
- Prenotazioni ancora onorate (obbligo contrattuale)
Documenti Legali
BarberSlot mantiene documenti legali versionati che i clienti devono accettare.
Termini di Servizio
Copre:
- Regole uso servizio
- Condizioni pagamento
- Limitazioni responsabilità
- Risoluzione dispute
Accettazione tracciata:
- Timestamp
- Indirizzo IP
- User agent (info browser)
- Versione documento
Privacy Policy
Copre:
- Quali dati vengono raccolti
- Come vengono usati i dati
- Con chi vengono condivisi i dati
- Diritti dei clienti
- Conservazione dati
Accettazione tracciata: Come Termini.
Cookie Policy
Copre:
- Cookie utilizzati
- Scopo di ogni cookie
- Come disabilitare i cookie
- Cookie di terze parti
Controllo Versione
Quando i documenti vengono aggiornati:
- Nuova versione creata
- Numero versione incrementato
- Tutti gli utenti devono riaccettare al prossimo accesso
- Vecchie accettazioni preservate (audit trail)
Tu vedi: Quali clienti hanno accettato quale versione.
Consenso Marketing
Separato dall’accettazione documenti legali.
Tipi di Consenso
Email Marketing:
- Offerte promozionali
- Annunci nuovi servizi
- Campagne stagionali
SMS Marketing:
- Promozioni via testo
- Offerte flash
- Inviti eventi
Notifiche Push:
- Avvisi app mobile (futuro)
- Notifiche browser
Controllo Granulare
Il cliente sceglie:
- ✅ Solo email
- ✅ Solo SMS
- ✅ Entrambi
- ❌ Nessuno
Indipendente da:
- Conferme prenotazioni (sempre inviate)
- Promemoria (il cliente può rifiutare, ma consigliato mantenerli)
- Notifiche account (legate alla sicurezza, sempre inviate)
Tracciamento Consenso
Per ogni consenso:
- Data/ora concesso
- Metodo (checkbox, link email, ecc.)
- Indirizzo IP
- Data ritiro (se applicabile)
Prova di consenso in caso di disputa.
Conservazione Dati
Quanto a lungo vengono conservati i dati:
Clienti Attivi
Indefinitamente finché account attivo e cliente prenota regolarmente.
Clienti Inattivi
24 mesi dopo l’ultima prenotazione:
- Se nessuna attività, dati segnalati per eliminazione
- Notifica inviata al cliente
- Il cliente può riattivare o confermare eliminazione
- Se nessuna risposta, auto-eliminati dopo 90 giorni
Account Eliminati
Immediatamente:
- Dati personali anonimizzati
- Account disabilitato
Conservati (anonimizzati):
- Storico prenotazioni (per contabilità, 7 anni)
- Registri pagamenti (requisito legge fiscale)
Log Audit
3 anni: Tentativi accesso, modifiche permessi, log accesso dati
Accettazione Documenti Legali
7 anni: Prova di consenso ai termini
Misure Sicurezza Dati
Come BarberSlot protegge i dati:
Crittografia
In Transito:
- Crittografia TLS/SSL per tutte le connessioni
- Solo HTTPS
- Nessuna trasmissione dati non criptati
A Riposo:
- Crittografia database
- Hashing password (bcrypt)
- Segreti 2FA criptati
- Token OAuth criptati
Controllo Accesso
Permessi basati su ruolo:
- I barbieri vedono solo i propri clienti
- I manager negozio vedono solo il proprio negozio
- I proprietari tenant vedono la propria organizzazione
- Nessun accesso cross-tenant
Autenticazione
Multi-fattore:
- Password + 2FA per account sensibili
- OAuth per comodità
- Magic link per reset password
- Rate limiting (5 tentativi poi blocco)
Monitoraggio
Avvisi automatici:
- Pattern accesso insoliti
- Multipli tentativi falliti
- Richieste esportazione dati
- Richieste eliminazione account
- Modifiche permessi
Backup
Backup giornalieri:
- Archiviazione criptata
- Geo-ridondante
- Conservazione 30 giorni
- Testati mensilmente per ripristino
Condivisione Dati
Con chi BarberSlot condivide i dati:
Fornitori Servizi (Responsabili Trattamento)
Hosting: AWS (server criptati) Email: SendGrid (solo email transazionali) SMS: Twilio (notifiche SMS) Analytics: Privacy-focused (dati anonimizzati)
Tutti i fornitori:
- Conformi GDPR
- Accordi Trattamento Dati in essere
- Soggetti ad audit
Terze Parti (Mai)
- ❌ Nessuna vendita dati clienti
- ❌ Nessuna condivisione con inserzionisti
- ❌ Nessun tracciamento terze parti (eccetto analytics essenziali)
Requisiti Legali
Dati condivisi quando:
- Ordine tribunale
- Obbligo legale
- Indagine frode
- Minaccia sicurezza utente
Cliente notificato salvo divieto legale.
I Tuoi Obblighi come Titolare del Trattamento
Tu (il barbiere) sei il titolare del trattamento - decidi quali dati raccogliere e come usarli.
Responsabilità
- Raccogli solo dati necessari: Non chiedere info che non ti servono
- Mantieni dati accurati: Aggiorna info obsolete
- Proteggi i dati: Usa password forti, abilita 2FA
- Rispetta diritti clienti: Rispondi a richieste accesso/eliminazione
- Segnala violazioni: Notifica autorità entro 72 ore
- Mantieni registri: Documenta come elabori i dati
BarberSlot come Responsabile del Trattamento
BarberSlot elabora dati per tuo conto:
- Fornisce strumenti per conformità
- Gestisce sicurezza tecnica
- Abilita diritti clienti
- Mantiene log audit
Ma: Rimani responsabile di come usi il sistema.
Protocollo Violazione Dati
Se si verifica una violazione dati:
Risposta BarberSlot
Entro 1 ora:
- Identifica portata violazione
- Contiene il problema
- Documenta incidente
Entro 24 ore:
- Notifica utenti colpiti
- Fornisce dettagli su cosa è stato compromesso
- Spiega passi rimedio
Entro 72 ore:
- Notifica autorità (se richiesto)
- Pubblica report incidente
- Implementa misure preventive
La Tua Risposta
Se sospetti una violazione:
- Contatta immediatamente supporto BarberSlot
- Non cancellare prove
- Documenta cosa è successo
- Notifica clienti se i loro dati sono stati colpiti
- Segnala alle autorità (se richiesto dalla legge)
Mai coprire: La trasparenza è requisito legale.
Best Practice
Da Fare ✅
- Abilita 2FA (previene accessi non autorizzati)
- Audit dati regolari (pulisci vecchi dati)
- Forma il personale sulla privacy
- Usa password forti
- Disconnettiti su computer condivisi
- Rivedi richieste clienti prontamente
- Mantieni aggiornati documenti legali
Da Non Fare ❌
- Non condividere credenziali accesso
- Non raccogliere dati non necessari
- Non ignorare richieste eliminazione
- Non usare dati clienti per scopi non autorizzati
- Non conservare dati più a lungo del necessario
Domande Frequenti
D: Ho bisogno della conformità GDPR se non sono nell’UE? R: Sì, se servi clienti UE. Il GDPR è extraterritoriale.
D: Posso rifiutare una richiesta di eliminazione cliente? R: Solo se hai obbligo legale di conservare i dati (registri fiscali). Altrimenti, devi conformarti entro 30 giorni.
D: Cosa succede se un cliente richiede dati che non ho? R: Spiega quali dati hai e fornisci quelli. Se non hai mai raccolto certi dati, dichiaralo chiaramente.
D: Posso far pagare per l’esportazione dati? R: No. La prima richiesta deve essere gratuita. Richieste successive possono essere addebitate se “manifestamente infondate o eccessive.”
D: Quanto tempo conservo dati cliente eliminati? R: Anonimizza immediatamente. Conserva registri anonimizzati solo il tempo legalmente richiesto (7 anni per tasse/contabilità).
D: Qual è la sanzione per violazione GDPR? R: Fino a €20 milioni o 4% del fatturato annuale globale, qualunque sia superiore. Più danno reputazionale.
Risorse
- Testo Ufficiale GDPR: https://gdpr.eu/
- Guida ICO (UK): https://ico.org.uk/for-organisations/guide-to-data-protection/
- Guida CNIL (Francia): https://www.cnil.fr/en/home
- Guida Garante (Italia): https://www.garanteprivacy.it/
Prossimi Passi
Ora che comprendi il GDPR:
- Rivedi dati clienti: Assicurati di conservare solo il necessario
- Abilita 2FA: Proteggi il tuo account
- Forma il personale: Condividi questa guida
- Audit regolari: Revisione dati trimestrale
Domande sul GDPR? Scrivi a privacy@barberslot.com o consulta un professionista legale.