1. Premessa e ambito di applicazione
La presente Privacy Policy è resa ai sensi degli articoli 13 e 14 del Regolamento (UE) 2016/679 (“GDPR”) e della normativa italiana applicabile in materia di protezione dei dati personali, incluso il D.lgs. 196/2003, come modificato dal D.lgs. 101/2018.
La presente informativa si applica al sito web kreboo.com, alle pagine di registrazione e login, al portale SaaS Kreboo, alle funzionalità di gestione appuntamenti, clienti, sedi, operatori, pacchetti, pagamenti, notifiche e, più in generale, a tutti i servizi digitali offerti con il marchio Kreboo.
Kreboo è una piattaforma per la gestione di appuntamenti, clienti, disponibilità, sedi, operatori, pacchetti e pagamenti. In ragione della natura del servizio, possono essere trattati sia dati personali degli utenti registrati alla piattaforma, sia dati personali inseriti dagli utenti nei propri workspace per la gestione della loro attività professionale.
2. Titolare del trattamento
Il Titolare del trattamento è:
- Ragione sociale: Davide Piazzese
- Sede legale: Siracusa
- Email di contatto privacy: info@kreboo.com
3. Categorie di dati personali trattati
3.1 Dati forniti dall’utente
- dati identificativi, quali nome, cognome, ragione sociale o denominazione dell’attività;
- dati di contatto, quali indirizzo email, numero di telefono e indirizzo;
- credenziali di accesso e dati relativi all’account;
- dati relativi al workspace, alle impostazioni dell’attività, alle sedi, agli operatori e ai membri del team;
- dati relativi al piano utilizzato, alle preferenze e alle configurazioni della piattaforma;
- eventuali comunicazioni inviate tramite moduli, richieste di assistenza o canali di supporto.
3.2 Dati relativi all’utilizzo della piattaforma
- log tecnici, indirizzo IP, identificativi del dispositivo, browser, sistema operativo e informazioni di connessione;
- dati di sessione e dati necessari al corretto funzionamento del portale;
- informazioni relative ad attività effettuate nell’account, quali accessi, modifiche, creazione di appuntamenti, clienti, pagamenti, pacchetti o notifiche;
- dati aggregati o statistici sull’utilizzo delle funzionalità della piattaforma.
3.3 Dati inseriti dagli utenti nei propri workspace
L’utente che utilizza Kreboo per la propria attività può inserire dati personali relativi a clienti, pazienti, studenti, coachee, assistiti, operatori, collaboratori o altri soggetti gestiti tramite la piattaforma.
- nome, cognome, recapiti e informazioni anagrafiche;
- appuntamenti, disponibilità, sedi, orari e cronologia degli incontri;
- note operative inserite dall’utente;
- informazioni su pacchetti, crediti, pagamenti, scadenze, acconti o saldo;
- eventuali documenti caricati, ove la funzionalità sia attiva.
Gli utenti sono tenuti a evitare l’inserimento di dati non necessari o eccedenti rispetto alle finalità della propria attività e a valutare autonomamente, in qualità di titolari del trattamento dei dati dei propri clienti, la liceità e proporzionalità dei dati inseriti.
4. Finalità del trattamento e basi giuridiche
I dati personali sono trattati per le seguenti finalità e sulla base delle relative condizioni di liceità previste dal GDPR.
| Finalità | Base giuridica | Esempi |
|---|---|---|
| Registrazione e gestione dell’account | Esecuzione di misure precontrattuali e contrattuali | Creazione account, login, gestione profilo, autenticazione, accesso al workspace. |
| Erogazione del servizio SaaS | Esecuzione del contratto | Gestione appuntamenti, clienti, sedi, operatori, pacchetti, pagamenti e notifiche operative. |
| Assistenza e supporto | Esecuzione del contratto e legittimo interesse | Risposta a richieste tecniche, ticket, comunicazioni di servizio e risoluzione problemi. |
| Sicurezza, prevenzione abusi e continuità del servizio | Legittimo interesse e obblighi di legge | Log tecnici, controlli anti-abuso, protezione account, prevenzione accessi non autorizzati. |
| Gestione amministrativa, contabile e fiscale | Obbligo di legge ed esecuzione del contratto | Emissione documenti contabili, conservazione dati fiscali, gestione pagamenti e abbonamenti. |
| Comunicazioni informative e marketing | Consenso, ove richiesto, o legittimo interesse nei limiti consentiti | Invio di aggiornamenti, offerte, comunicazioni commerciali o newsletter, se applicabile. |
| Analisi statistiche e miglioramento del servizio | Legittimo interesse o consenso, ove richiesto | Analisi aggregate sull’uso della piattaforma, ottimizzazione UX, miglioramento funzionalità. |
5. Ruolo di Kreboo rispetto ai dati gestiti dagli utenti
Con riferimento ai dati personali che l’utente inserisce nel proprio workspace per gestire clienti, appuntamenti, pagamenti, sedi, operatori e attività professionali, l’utente agisce, di norma, quale titolare autonomo del trattamento nei confronti dei propri clienti, pazienti, studenti, assistiti, collaboratori o altri interessati.
Kreboo, nei limiti in cui tratta tali dati per conto dell’utente e secondo le istruzioni impartite tramite l’utilizzo della piattaforma, può agire quale responsabile del trattamento ai sensi dell’articolo 28 GDPR. In tal caso, il rapporto tra le parti dovrà essere regolato da un apposito accordo sul trattamento dei dati personali (“Data Processing Agreement” o “DPA”), ove richiesto.
L’utente resta responsabile della correttezza, liceità, pertinenza e aggiornamento dei dati inseriti nella piattaforma, nonché dell’informativa da rendere ai propri clienti o contatti e dell’eventuale acquisizione dei consensi necessari.
6. Pagamenti, piani e fatturazione
Qualora l’utente sottoscriva piani a pagamento, upgrade, servizi premium o funzionalità aggiuntive, potranno essere trattati dati necessari alla gestione dell’ordine, del pagamento, della fatturazione e dell’attivazione del piano.
I pagamenti possono essere gestiti tramite fornitori terzi specializzati, quali gateway di pagamento o piattaforme di checkout. In tali casi, i dati di pagamento possono essere raccolti e trattati direttamente dal fornitore del servizio di pagamento secondo le rispettive informative privacy e condizioni contrattuali.
Kreboo, di norma, non conserva integralmente i dati delle carte di pagamento, salvo eventuali token, identificativi di transazione, stato del pagamento, piano acquistato, importo, scadenze o informazioni necessarie alla gestione amministrativa e contrattuale.
8. Periodo di conservazione dei dati
I dati personali sono conservati per il tempo strettamente necessario al conseguimento delle finalità per cui sono stati raccolti, nel rispetto dei principi di limitazione della conservazione, minimizzazione e proporzionalità.
- i dati dell’account sono conservati per tutta la durata del rapporto contrattuale e, successivamente, per il periodo necessario alla gestione di eventuali obblighi legali, contabili, fiscali o difensivi;
- i dati amministrativi e fiscali possono essere conservati per i termini previsti dalla normativa applicabile;
- i log tecnici e di sicurezza sono conservati per il tempo necessario a garantire sicurezza, prevenzione abusi e accertamento di eventuali incidenti;
- i dati inseriti dagli utenti nei workspace sono conservati finché l’account resta attivo o secondo le impostazioni di cancellazione, esportazione o retention applicabili al servizio;
- i dati trattati sulla base del consenso sono conservati fino alla revoca del consenso, salvo ulteriore base giuridica applicabile.
Decorso il periodo di conservazione, i dati saranno cancellati, anonimizzati o aggregati, salvo che la conservazione ulteriore sia necessaria per adempiere obblighi di legge o tutelare diritti in sede giudiziale o stragiudiziale.
9. Destinatari dei dati e fornitori
I dati personali possono essere comunicati, nei limiti delle finalità indicate, alle seguenti categorie di soggetti:
- personale autorizzato e collaboratori del Titolare;
- fornitori di hosting, infrastruttura cloud, manutenzione tecnica, sicurezza informatica e servizi IT;
- fornitori di servizi email, notifiche, assistenza clienti, CRM o strumenti di comunicazione;
- gateway di pagamento, istituti finanziari, piattaforme di checkout e soggetti coinvolti nella gestione degli incassi;
- consulenti amministrativi, fiscali, legali o contabili;
- autorità pubbliche, organismi di controllo o soggetti legittimati, nei casi previsti dalla legge.
I fornitori che trattano dati personali per conto del Titolare sono nominati, ove necessario, responsabili del trattamento ai sensi dell’art. 28 GDPR.
10. Trasferimenti di dati fuori dallo Spazio Economico Europeo
Alcuni fornitori o servizi tecnici utilizzati da Kreboo potrebbero comportare il trasferimento di dati personali verso Paesi situati al di fuori dello Spazio Economico Europeo.
In tali casi, il trasferimento avverrà nel rispetto degli articoli 44 e seguenti del GDPR, sulla base di decisioni di adeguatezza della Commissione Europea, Clausole Contrattuali Standard, misure supplementari ove necessarie o altri strumenti di garanzia previsti dalla normativa applicabile.
11. Misure di sicurezza
Kreboo adotta misure tecniche e organizzative adeguate a proteggere i dati personali trattati contro accessi non autorizzati, perdita, distruzione, alterazione, divulgazione o uso improprio.
Le misure possono includere, a titolo esemplificativo, controlli di accesso, autenticazione, sistemi di logging, backup, aggiornamenti di sicurezza, separazione logica dei workspace, protezioni a livello applicativo e infrastrutturale e procedure interne per la gestione degli incidenti.
Resta inteso che nessun sistema informatico può essere considerato assolutamente immune da rischi. Gli utenti sono tenuti a custodire con diligenza le proprie credenziali, utilizzare password robuste, evitare condivisioni non autorizzate dell’account e segnalare tempestivamente eventuali accessi anomali o sospetti.
12. Diritti dell’interessato
Nei limiti e alle condizioni previste dal GDPR, l’interessato può esercitare i seguenti diritti:
- diritto di accesso ai dati personali;
- diritto di rettifica dei dati inesatti o incompleti;
- diritto alla cancellazione dei dati, nei casi previsti;
- diritto alla limitazione del trattamento;
- diritto alla portabilità dei dati;
- diritto di opposizione al trattamento;
- diritto di revocare il consenso, quando il trattamento si basa sul consenso;
- diritto di proporre reclamo all’autorità di controllo competente.
Le richieste possono essere inviate ai contatti indicati nella sezione “Contatti”. Il Titolare potrà richiedere informazioni aggiuntive necessarie a verificare l’identità del richiedente, nei limiti consentiti dalla normativa applicabile.
L’interessato ha inoltre il diritto di proporre reclamo al Garante per la protezione dei dati personali, secondo le modalità indicate sul sito ufficiale dell’Autorità.
13. Minori
Kreboo è destinato principalmente a professionisti, aziende, studi, scuole, consulenti e soggetti che utilizzano la piattaforma per finalità professionali o organizzative.
Il servizio non è rivolto direttamente a minori. Qualora un utente inserisca nella piattaforma dati relativi a minori nell’ambito della propria attività professionale, egli è tenuto a verificare la sussistenza di idonea base giuridica, a rendere le informative necessarie e ad acquisire eventuali consensi o autorizzazioni richiesti dalla normativa applicabile.
14. Modifiche alla presente Privacy Policy
Il Titolare si riserva il diritto di aggiornare o modificare la presente Privacy Policy in qualsiasi momento, anche in ragione di modifiche normative, evoluzioni del servizio, introduzione di nuove funzionalità, variazioni nei fornitori o cambiamenti organizzativi.
Le modifiche saranno pubblicate su questa pagina con indicazione della data di ultimo aggiornamento. In caso di modifiche rilevanti, potranno essere adottate ulteriori modalità di comunicazione agli utenti, quali avvisi nel portale, email o notifiche di servizio.
15. Contatti privacy
Per richieste relative alla presente Privacy Policy, all’esercizio dei diritti o al trattamento dei dati personali, è possibile contattare il Titolare ai seguenti recapiti:
- Email: info@kreboo.com
- Indirizzo: Siracusa