1. Titolare del trattamento
Il titolare del trattamento dei dati relativi all’account e al rapporto contrattuale con l’utilizzatore è: [Ragione sociale / Nome e cognome], con sede in [indirizzo], P. IVA / C.F. [●], email [privacy@dominio.it], PEC [●] (di seguito, il Fornitore).
Quando un salone o un’attività professionale inserisce nell’app i dati dei propri clienti finali, tale salone resta normalmente titolare autonomo del trattamento verso i propri clienti. In tale scenario il Fornitore opera come responsabile del trattamento ai sensi dell’art. 28 GDPR, secondo l’accordo di nomina / DPA applicabile.
2. Tipologie di dati trattati
Attraverso MHE Intelligence possono essere trattati, a seconda delle funzioni usate:
- Dati account: email, identificativo account, password gestita in forma non leggibile dal provider di autenticazione, nome attività, piano abbonamento, impostazioni.
- Dati operativi: anagrafiche clienti, numeri di telefono, appuntamenti, servizi acquistati o richiesti, note inserite dall’utilizzatore, listino, magazzino, preventivi, testi WhatsApp preparati dall’app, storico prestazioni.
- Dati AI: se l’utente abilita l’assistente cloud, l’app può inviare al backend AI un riassunto operativo di agenda, clienti, servizi, richiami, magazzino, preventivi e contesto della schermata, limitato a quanto necessario per generare la risposta.
- Dati tecnici: indirizzo IP, user agent, log di sicurezza, data/ora accessi, diagnostica, eventi di sincronizzazione e dati raccolti dai provider tecnici nei limiti delle rispettive configurazioni.
- Dati di pagamento: se attivati piani a pagamento, i dati di pagamento sono trattati dal gateway scelto (es. Stripe); il Fornitore può ricevere stato abbonamento, importi, estremi fattura/ricevuta e identificativi transazione.
3. Finalità e basi giuridiche (indicative)
- Erogazione del servizio (contratto / misure precontrattuali): account, agenda, CRM, listino, magazzino, preventivi, statistiche, backup, sincronizzazione cloud.
- Assistenza e comunicazioni di servizio (contratto / legittimo interesse): supporto tecnico, avvisi sicurezza, aggiornamenti funzionali.
- Sicurezza, prevenzione abusi e continuità (legittimo interesse): log, rate limit, backup tecnici, controlli antifrode, protezione account.
- Adempimenti legali e fiscali (obbligo legale): fatturazione, conservazione documenti, risposte ad autorità.
- Assistente AI cloud (consenso / richiesta esplicita dell’utente): generazione di risposte avanzate partendo dai dati sintetici dell’account. L’utente può usare la modalità locale senza inviare dati al backend AI.
- Marketing e analytics non tecnici (consenso, ove richiesto): newsletter, campagne, pixel o strumenti di profilazione se attivati.
4. Modalità del trattamento
I dati sono trattati con strumenti informatici. Una parte può essere memorizzata localmente nel browser per consentire l’uso dell’app. Se il cloud è attivo, i dati vengono sincronizzati su infrastruttura backend (es. Supabase) per consentire accesso multi-dispositivo, autenticazione e recupero account.
L’assistente AI locale opera nel browser. L’assistente AI cloud, se abilitato dall’utente, invia al backend sicuro solo il contesto necessario alla risposta; la chiave del provider AI non è esposta nel frontend.
5. Destinatari e responsabili
I dati possono essere trattati da personale autorizzato del Fornitore e da fornitori tecnici nominati responsabili/sub-responsabili ove necessario. L’elenco va mantenuto aggiornato, ad esempio:
- Supabase per database, autenticazione e sincronizzazione cloud.
- Cloudflare per hosting, sicurezza, CDN, Worker AI backend e rate limit, se configurati.
- Provider AI (es. OpenAI, Anthropic o Cloudflare Workers AI) solo se l’assistente cloud è abilitato.
- Stripe o altro gateway per pagamenti e abbonamenti, se attivati.
- Provider email per email transazionali, conferma account, recupero password e comunicazioni di servizio.
Per trasferimenti extra-UE, il Fornitore verifica l’esistenza di garanzie adeguate, incluse Clausole Contrattuali Standard, Data Privacy Framework ove applicabile e misure supplementari richieste dagli artt. 44–49 GDPR.
6. Periodo di conservazione
I dati operativi restano disponibili finché l’account è attivo o finché l’utente non li cancella dall’app. Dopo chiusura account o richiesta di cancellazione, i dati vengono eliminati o anonimizzati entro [30/60/90 giorni], salvo obblighi legali, contabili, sicurezza o backup tecnici temporanei.
I log tecnici sono conservati per il tempo strettamente necessario a sicurezza, diagnostica e difesa da abusi, indicativamente [30/90/180 giorni]. I dati di fatturazione possono essere conservati per i termini fiscali applicabili.
7. Diritti degli interessati
Gli utenti dell’app possono esercitare accesso, rettifica, cancellazione, limitazione, opposizione, portabilità e revoca del consenso scrivendo a [privacy@dominio.it]. I clienti finali del salone devono rivolgersi in primo luogo al salone, che è titolare del trattamento dei loro dati; il Fornitore assiste il salone nei limiti del ruolo di responsabile del trattamento.
È sempre possibile proporre reclamo al Garante per la protezione dei dati personali (www.garanteprivacy.it).
8. Sicurezza
Il Fornitore adotta misure tecniche e organizzative ragionevoli: HTTPS, autenticazione, separazione account, policy di accesso al database, backup tecnici, rate limit, gestione secret server-side, aggiornamenti applicativi e limitazione dei dati inviati all’AI. Nessun sistema è privo di rischi: l’utente deve proteggere credenziali, dispositivi e accessi WhatsApp/email.
9. Cookie e tecnologie simili
L’app usa tecnologie locali necessarie al funzionamento (es. localStorage, service worker, preferenze tema, sessione). Eventuali cookie/strumenti analytics o marketing saranno descritti nella Cookie Policy e, se richiesto, attivati solo previo consenso.
10. Modifiche
Il titolare può aggiornare la presente informativa. La data di ultimo aggiornamento è indicata in cima al documento. Per modifiche sostanziali, valutare notifica agli utenti come da prassi e normativa.