Privacy Policy
Informativa sul trattamento dei dati personali ai sensi del Regolamento UE 2016/679 (GDPR) e del D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018.
1. Titolare del trattamento
Il Titolare del trattamento dei dati personali è:
Italia Best Menù S.A.S.
P.IVA: 04087060242
Via Marconi, 76 — 36010 Monticello Conte Otto (VI), Italia
Email: privacy@skedula.it
Skedula è un prodotto software di proprietà di Italia Best Menù S.A.S., che ne detiene tutti i diritti di sviluppo, distribuzione e commercializzazione.
2. Dati raccolti e finalità del trattamento
Nell'ambito dell'utilizzo del servizio Skedula, raccogliamo e trattiamo le seguenti categorie di dati personali:
2.1 Dati di registrazione e account
Nome dell'attività, indirizzo email e password (in forma cifrata). Finalità: creazione e gestione dell'account, autenticazione, comunicazioni operative.
2.2 Dati del profilo e dell'attività
Ragione sociale, indirizzo, telefono, P.IVA, logo, categoria di settore. Finalità: personalizzazione della dashboard, fatturazione, supporto tecnico.
2.3 Dati dei clienti finali dell'attività
I dati inseriti dall'Utente (titolare dell'attività) relativi ai propri clienti — quali nome, telefono, email, veicoli — sono trattati su istruzione dell'Utente stesso, che agisce in qualità di autonomo titolare verso i propri clienti. Skedula opera in questo contesto come responsabile del trattamento ai sensi dell'art. 28 GDPR.
2.4 Dati di utilizzo e navigazione
Log di accesso, indirizzo IP, tipo di browser, pagine visitate, durata della sessione. Finalità: sicurezza, prevenzione di abusi, miglioramento del servizio.
2.5 Dati di fatturazione e pagamento
Informazioni necessarie per la gestione dell'abbonamento. I pagamenti sono elaborati da Stripe, Inc. — Skedula non archivia mai i dati delle carte di credito.
3. Base giuridica del trattamento
- Esecuzione del contratto (art. 6.1.b GDPR): per fornire il servizio e gestire l'account.
- Obbligo legale (art. 6.1.c GDPR): adempimenti fiscali e contabili.
- Legittimo interesse (art. 6.1.f GDPR): sicurezza della piattaforma, prevenzione frodi, miglioramento del servizio.
- Consenso (art. 6.1.a GDPR): comunicazioni promozionali, ove richiesto.
4. Destinatari dei dati
I dati personali possono essere comunicati a:
- Supabase Inc. — infrastruttura database e autenticazione (USA, con garanzie adeguate ex art. 46 GDPR)
- Stripe, Inc. — elaborazione pagamenti
- Resend Inc. — invio email transazionali
- Vercel Inc. — hosting e CDN
- Meta Platforms Ireland Ltd — WhatsApp Business Platform (consegna messaggi WhatsApp ai clienti finali dell'Utente, qualora l'Utente abbia attivato l'integrazione WhatsApp — vedi sezione 4-bis)
- SendApp Srl — Business Solution Provider (BSP) WhatsApp utilizzato come intermediario tecnico verso le API di Meta in fase di transizione (vedi sezione 4-bis)
- Autorità pubbliche — su richiesta di legge
Tutti i fornitori esterni sono nominati Responsabili del trattamento ex art. 28 GDPR e operano con adeguate garanzie di protezione dei dati.
4-bis. Integrazione WhatsApp Business
Skedula offre la possibilità all'Utente (titolare dell'attività) di collegare il proprio account WhatsApp Business alla piattaforma per inviare automaticamente messaggi operativi e transazionali ai propri clienti finali (conferme prenotazione, promemoria appuntamento, comunicazioni di stato, scadenze, ecc.).
4-bis.1 Architettura attuale (transitoria)
Allo stato attuale Skedula utilizza SendApp Srl come Business Solution Provider (BSP) ufficiale di Meta. L'Utente inserisce nelle Impostazioni di Skedula il proprio Bearer Token SendApp, ottenuto previa registrazione autonoma al servizio SendApp. Skedula archivia il token in forma protetta nel proprio database (Supabase, EU) e lo utilizza esclusivamente per invocare le API SendApp per conto dell'Utente. SendApp a sua volta trasmette i messaggi a Meta Platforms Ireland Ltd via WhatsApp Business Platform per la consegna al destinatario finale.
4-bis.2 Architettura futura (Tech Provider Meta diretto)
Italia Best Menù S.A.S. ha avviato la procedura per ottenere lo status ufficiale di Tech Provider Meta. A completamento della verifica, l'integrazione WhatsApp sarà nativa all'interno di Skedula: l'Utente potrà collegare il proprio WhatsApp Business Account tramite il flusso ufficiale Embedded Signup di Meta, senza intermediari. In tale scenario, Skedula opererà come Tech Provider autorizzato che invoca le API WhatsApp Business Cloud di Meta per conto dell'Utente, utilizzando un access token rilasciato dall'Utente stesso al termine del flusso OAuth Meta.
4-bis.3 Dati condivisi con Meta / SendApp
In entrambi gli scenari, i seguenti dati sono trasmessi a Meta (direttamente o tramite SendApp):
- Identificativi tecnici dell'account WhatsApp Business dell'Utente (WABA ID, Phone Number ID)
- Contenuto dei messaggi inviati ai clienti finali (testo template, parametri variabili)
- Numero di telefono e nome del cliente finale destinatario
- Metadati di consegna (timestamp, stato di lettura, errori di consegna)
- Access token / Bearer token necessari all'autenticazione presso Meta o SendApp
4-bis.4 Ruoli GDPR
Per i dati dei clienti finali trasmessi a Meta tramite l'integrazione WhatsApp:
- L'Utente Skedula (titolare dell'attività) è titolare autonomo del trattamento ai sensi dell'art. 4 GDPR per quanto riguarda i dati dei propri clienti finali.
- Skedula opera come responsabile del trattamento ai sensi dell'art. 28 GDPR, esclusivamente su istruzione documentata dell'Utente.
- Meta Platforms Ireland Ltd opera come responsabile del trattamento ulteriore per la consegna materiale dei messaggi, ai sensi della propria WhatsApp Business Data Transfer Addendum.
- SendApp Srl (solo nella fase transitoria) opera come sub-responsabile ai sensi delle proprie condizioni contrattuali.
4-bis.5 Trasferimento dati e policy Meta
I dati inviati a Meta sono soggetti, in via aggiuntiva, alle policy di Meta tra cui: WhatsApp Business Messaging Policy, Privacy Policy Meta, WhatsApp Business Terms of Service. L'Utente, al momento dell'attivazione dell'integrazione, dichiara di aver letto e accettato tali policy.
4-bis.6 Finalità e limiti di utilizzo
L'integrazione WhatsApp è utilizzata esclusivamente per messaggi di tipo utility / transazionale (conferme, promemoria, notifiche di stato) o tramite template utility approvati da Meta. Non viene utilizzata per comunicazioni di marketing o broadcast promozionali non sollecitati. L'Utente è contrattualmente tenuto al rispetto della WhatsApp Business Messaging Policy.
4-bis.7 Revoca del consenso e disconnessione
L'Utente può in ogni momento disconnettere il proprio account WhatsApp Business da Skedula accedendo a Impostazioni → Notifiche e selezionando l'opzione di disconnessione (rimozione token o revoca dell'autorizzazione Meta). A seguito della disconnessione:
- Skedula interrompe immediatamente l'invio di nuovi messaggi WhatsApp tramite quell'account
- Il token / l'access token viene eliminato dal nostro database
- I template e l'account WABA dell'Utente rimangono di sua proprietà su Meta — la loro eventuale cancellazione va effettuata direttamente dall'Utente nei sistemi Meta (Business Manager)
5. Trasferimento dei dati fuori dall'UE
Alcuni fornitori (Supabase, Vercel, Resend, Stripe) hanno sede negli Stati Uniti. Il trasferimento avviene nel rispetto delle garanzie previste dal GDPR (Clausole Contrattuali Standard ex art. 46 GDPR o decisioni di adeguatezza della Commissione Europea).
Meta Platforms Ireland Ltd ha sede legale in Irlanda (Unione Europea): il trasferimento di dati avviene all'interno dello Spazio Economico Europeo e non costituisce trasferimento extra-UE. SendApp Srl è una società italiana con sede in Italia.
6. Periodo di conservazione
- Dati dell'account attivo: per tutta la durata del contratto di abbonamento.
- Dati post-cancellazione: eliminati entro 30 giorni dalla richiesta di cancellazione dell'account, salvo obblighi di legge.
- Dati fiscali e contabili: conservati per 10 anni ai sensi delle norme tributarie italiane.
- Log di sistema: conservati per 12 mesi.
7. Diritti dell'interessato
In qualità di interessato, hai il diritto di:
- Accesso (art. 15 GDPR): ottenere conferma e copia dei dati trattati.
- Rettifica (art. 16 GDPR): correggere dati inesatti o incompleti.
- Cancellazione (art. 17 GDPR): richiedere la cancellazione dei tuoi dati ("diritto all'oblio").
- Limitazione (art. 18 GDPR): limitare il trattamento in determinati casi.
- Portabilità (art. 20 GDPR): ricevere i dati in formato strutturato e leggibile da macchina.
- Opposizione (art. 21 GDPR): opporsi al trattamento basato sul legittimo interesse.
- Revoca del consenso: in qualsiasi momento, senza pregiudizio per la liceità del trattamento precedente.
Per esercitare i tuoi diritti, scrivi a privacy@skedula.it. Risponderemo entro 30 giorni.
Hai inoltre il diritto di proporre reclamo all'Autorità Garante per la protezione dei dati personali (www.garanteprivacy.it).
8. Cookie e tecnologie di tracciamento
Skedula utilizza esclusivamente cookie tecnici e identificatori di sessione strettamente necessari al funzionamento del servizio. Tali cookie non richiedono il consenso preventivo dell'Interessato ai sensi del Provvedimento del Garante 10 giugno 2021 e delle Linee Guida EDPB 03/2022 sui dark pattern.
| Cookie | Finalità | Durata | Categoria |
|---|---|---|---|
| sb-access-token | Autenticazione utente loggato (Supabase Auth) | Sessione | Tecnico |
| sb-refresh-token | Rinnovo silente token di autenticazione | 7 giorni | Tecnico |
| __stripe_mid / __stripe_sid | Prevenzione frodi pagamenti (Stripe) | 1 anno / sessione | Tecnico (frodi) |
| skd_consent | Memorizza l'accettazione di Privacy/Termini in fase registrazione (versione + data + IP) | 12 mesi | Tecnico (audit) |
Skedula non utilizza cookie di profilazione, marketing, social, advertising o di terze parti finalizzati al tracciamento cross-site. Eventuali integrazioni di strumenti di analytics o marketing tracking saranno preventivamente comunicate all'Interessato con aggiornamento della presente Informativa e raccolta di consenso opt-in tramite banner conforme alle Linee Guida del Garante.
9. Sicurezza dei dati
Adottiamo misure tecniche e organizzative adeguate per proteggere i tuoi dati da accessi non autorizzati, perdita, distruzione o divulgazione. Tra queste: cifratura TLS in transito, cifratura a riposo dei database, autenticazione a più fattori per gli accessi amministrativi, backup regolari.
10. Modifiche alla Privacy Policy
Ci riserviamo il diritto di modificare la presente Privacy Policy in qualsiasi momento. Le modifiche sostanziali saranno comunicate via email almeno 30 giorni prima dell'entrata in vigore. L'uso continuato del servizio dopo tale data costituisce accettazione delle modifiche.
11. Contatti
Per qualsiasi domanda relativa al trattamento dei tuoi dati personali:
Italia Best Menù S.A.S. — Responsabile Privacy
Via Marconi, 76 — 36010 Monticello Conte Otto (VI)
Email: privacy@skedula.it