Informativa sulla Privacy
Ultimo aggiornamento: Febbraio 2026
1. Introduzione e Titolare del Trattamento
La presente Informativa sulla Privacy descrive come Astral Prism S.r.l.s. (di seguito “SKDL.ME”, “noi” o “il Titolare”), con sede legale in Piazza Roma 5, 00015 Monterotondo (RM), Italia — P.IVA e C.F. 18380411001, REA RM-1781416 — raccoglie, utilizza, conserva e protegge i dati personali degli utenti del servizio SKDL.ME.
Questa informativa si applica a tutti gli utenti del servizio, inclusi i titolari di account (“Account Holder”), gli ospiti che effettuano prenotazioni (“Guest”) e i visitatori del sito web. L'informativa è redatta ai sensi del Regolamento (UE) 2016/679 (“GDPR”), del D.Lgs. 196/2003 e successive modifiche, nonché del California Consumer Privacy Act (“CCPA/CPRA”) per gli utenti residenti in California.
2. Definizioni
- Dati Personali: qualsiasi informazione relativa a una persona fisica identificata o identificabile.
- Trattamento: qualsiasi operazione o insieme di operazioni compiute sui dati personali, come raccolta, registrazione, organizzazione, conservazione, consultazione, utilizzo, comunicazione, cancellazione o distruzione.
- Titolare del Trattamento: la persona fisica o giuridica che determina le finalità e i mezzi del trattamento dei dati personali. Per i dati degli Account Holder, il Titolare è Astral Prism S.r.l.s.
- Responsabile del Trattamento: la persona fisica o giuridica che tratta i dati personali per conto del Titolare.
- Servizio: la piattaforma SKDL.ME accessibile tramite il sito web skdl.me e le sue funzionalità di scheduling.
- Account Holder: l'utente registrato che crea e gestisce booking pages.
- Guest (Ospite): la persona che effettua una prenotazione tramite una booking page.
- Booking Page: la pagina pubblica creata da un Account Holder attraverso cui i Guest possono prenotare appuntamenti.
- Sub-processore: un fornitore terzo che tratta dati personali per conto di SKDL.ME nell'ambito della fornitura del Servizio.
3. Dati Raccolti
Quando utilizzi SKDL.ME, raccogliamo le seguenti categorie di dati personali:
3.1 Dati dell'Account
Al momento dell'accesso tramite Google o Microsoft OAuth, raccogliamo: nome completo, indirizzo email e immagine del profilo. Non abbiamo accesso alla password dei tuoi account Google o Microsoft.
3.2 Dati del Calendario
Quando colleghi un calendario Google o Microsoft, accediamo esclusivamente ai dati di disponibilità (free/busy status) e agli orari degli eventi per determinare la tua disponibilità. Non leggiamo i titoli, le descrizioni, i partecipanti o il contenuto degli eventi ai fini del controllo di disponibilità. Creiamo, modifichiamo ed eliminiamo eventi di calendario solo per le prenotazioni confermate, riprogrammate o cancellate.
3.3 Dati di Prenotazione
Quando un ospite effettua una prenotazione, raccogliamo: nome, indirizzo email e qualsiasi dato aggiuntivo inserito nei campi personalizzati della booking page (configurati dall'Account Holder).
3.4 Dati di Pagamento
I pagamenti sono elaborati interamente da Stripe. SKDL.ME non raccoglie, conserva o ha accesso ai dati delle carte di credito o debito. Conserviamo unicamente l'identificativo della transazione Stripe, l'importo e lo stato del pagamento per la gestione dell'abbonamento.
3.5 Dati Tecnici e di Utilizzo
Raccogliamo automaticamente: indirizzo IP, tipo e versione del browser, sistema operativo, tipo di dispositivo, pagine visitate, timestamp delle interazioni e dati di navigazione aggregati. Questi dati vengono raccolti tramite Google Analytics in forma anonimizzata.
3.6 Cookie e Tecnologie di Tracciamento
Utilizziamo cookie e tecnologie simili come descritto nella nostra Cookie Policy.
4. Base Giuridica del Trattamento
Ai sensi dell'Art. 6 del GDPR, trattiamo i tuoi dati personali sulla base delle seguenti basi giuridiche:
- Esecuzione contrattuale (Art. 6.1.b): il trattamento è necessario per fornirti il servizio di scheduling, gestire il tuo account, elaborare le prenotazioni e inviare conferme e promemoria.
- Interesse legittimo (Art. 6.1.f): il trattamento è necessario per i nostri legittimi interessi, tra cui il miglioramento del servizio, l'analisi di utilizzo, la sicurezza della piattaforma e la prevenzione di frodi e abusi.
- Obbligo legale (Art. 6.1.c): il trattamento è necessario per adempiere a obblighi di legge, inclusi obblighi fiscali, contabili e di conservazione documentale.
- Consenso (Art. 6.1.a): per le comunicazioni promozionali e i cookie non essenziali (analitici), il trattamento avviene solo previo tuo esplicito consenso, che puoi revocare in qualsiasi momento.
5. Come Utilizziamo i Tuoi Dati
Utilizziamo i dati raccolti per le seguenti finalità:
- Fornire, mantenere e migliorare il servizio di scheduling SKDL.ME
- Creare e gestire eventi di calendario per le prenotazioni confermate
- Inviare conferme di prenotazione, promemoria e notifiche di modifica/cancellazione
- Comunicare aggiornamenti del servizio, risposte al supporto e avvisi di sicurezza
- Analizzare i pattern di utilizzo per migliorare il prodotto (dati aggregati e anonimizzati)
- Garantire la sicurezza della piattaforma e prevenire frodi, abusi e accessi non autorizzati
- Adempiere a obblighi di legge, fiscali e contabili
- Inviare comunicazioni promozionali (solo con il tuo consenso, con possibilità di opt-out in ogni momento)
6. Permessi Calendario e Minimizzazione dei Dati
La nostra policy è di accedere e trattare solo la quantità minima di dati necessaria a erogare il servizio. Quando colleghi un calendario Google o Microsoft:
- Lettura eventi: accediamo agli orari degli eventi per determinare la tua disponibilità (free/busy). Non leggiamo né analizziamo il contenuto degli eventi.
- Creazione eventi: creiamo eventi di calendario per le prenotazioni confermate.
- Modifica/Cancellazione: modifichiamo o cancelliamo eventi quando una prenotazione viene riprogrammata o annullata.
Puoi disconnettere il tuo calendario in qualsiasi momento dalle impostazioni del tuo account. La disconnessione revoca immediatamente il nostro accesso. In casi eccezionali di troubleshooting tecnico, potremmo necessitare di accedere temporaneamente a dati aggiuntivi del calendario, ma solo con il tuo esplicito permesso.
6.1 Revoca dei Permessi
Oltre a disconnettere il calendario dalle impostazioni di SKDL.ME, puoi revocare i permessi concessi alla nostra applicazione direttamente dai tuoi account:
- Google: visita https://myaccount.google.com/permissions per visualizzare e revocare l'accesso di SKDL.ME al tuo account Google.
- Microsoft (account aziendale/scolastico): visita https://myapps.microsoft.com per gestire e revocare i permessi delle applicazioni.
- Microsoft (account personale): visita https://account.live.com/consent/Manage per visualizzare e revocare i consensi concessi a SKDL.ME.
La revoca dei permessi da Google o Microsoft interromperà immediatamente il nostro accesso ai dati del tuo calendario e potrebbe limitare o impedire il funzionamento del Servizio. I dati già raccolti saranno trattati secondo le policy di conservazione descritte nella Sezione 10.
7. Condivisione dei Dati e Sub-processori
Non vendiamo i tuoi dati personali a terzi. Non condividiamo i tuoi dati con inserzionisti né utilizziamo i tuoi dati per finalità pubblicitarie di terze parti. Condividiamo i dati solo nelle seguenti circostanze limitate:
7.1 Con i Tuoi Ospiti
Il tuo nome, la tua disponibilità e le informazioni della tua booking page sono visibili alle persone che accedono al tuo link di prenotazione.
7.2 Sub-processori
Utilizziamo i seguenti fornitori terzi, vincolati da accordi sul trattamento dei dati (DPA):
| Fornitore | Funzione | Localizzazione |
|---|---|---|
| Google (OAuth) | Autenticazione e integrazione calendario | UE/USA |
| Microsoft (OAuth) | Autenticazione e integrazione calendario | UE/USA |
| Stripe | Elaborazione pagamenti | USA (PCI-DSS compliant) |
| Google Analytics | Analisi di utilizzo (IP anonimizzato) | UE |
| Hosting Provider | Hosting e infrastruttura cloud | Germania (Francoforte) |
7.3 Conformità alle Policy sulle API di Google e Microsoft
L'uso e il trasferimento a qualsiasi altra app delle informazioni ricevute dalle API di Google da parte di SKDL.ME saranno conformi alla Google API Services User Data Policy, inclusi i requisiti di Limited Use.
La presente informativa sulla privacy è conforme e almeno altrettanto restrittiva rispetto alla Microsoft Privacy Statement per quanto riguarda il trattamento dei dati ottenuti tramite le API Microsoft.
In particolare, i dati ottenuti tramite le API di Google e Microsoft non saranno in alcun caso utilizzati per:
- Pubblicità mirata, personalizzata, retargetizzata o basata sugli interessi
- Vendita a data broker o rivenditori di informazioni
- Determinazione del merito creditizio o finalità di prestito
- Creazione di database a fini di rivendita o redistribuzione
- Addestramento di modelli di intelligenza artificiale o machine learning (al di fuori della personalizzazione individuale dell'utente)
- Qualsiasi altro scopo non direttamente correlato alla fornitura o al miglioramento delle funzionalità del Servizio visibili all'utente
7.4 Obblighi di Legge
Possiamo comunicare i tuoi dati quando richiesto dalla legge, da un provvedimento giudiziario o da un'autorità competente, o quando necessario per proteggere i nostri diritti, la nostra proprietà o la sicurezza dei nostri utenti.
7.5 Operazioni Societarie
In caso di fusione, acquisizione, cessione d'azienda o procedura concorsuale, i dati personali potranno essere trasferiti all'entità subentrante, che sarà vincolata ai medesimi obblighi di protezione previsti dalla presente informativa. Per quanto riguarda i dati ottenuti tramite le API di Google e Microsoft, tale trasferimento avverrà esclusivamente previo consenso esplicito dell'utente, come richiesto dalle rispettive policy sulle API.
8. Trasferimenti Internazionali di Dati
I nostri server principali sono situati in Germania (Francoforte), all'interno dello Spazio Economico Europeo (SEE). Alcuni dei nostri sub-processori (Stripe, Google, Microsoft) possono trattare dati anche al di fuori del SEE, in particolare negli Stati Uniti.
Per i trasferimenti di dati extra-SEE, ci assicuriamo che siano in atto garanzie adeguate, tra cui:
- Decisioni di adeguatezza della Commissione Europea (Art. 45 GDPR)
- Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea (Art. 46.2.c GDPR)
- EU-US Data Privacy Framework per i trasferimenti verso gli Stati Uniti, ove applicabile
Puoi richiedere informazioni specifiche sulle garanzie adottate contattandoci a [email protected].
9. Sicurezza dei Dati
Adottiamo misure tecniche e organizzative adeguate per proteggere i tuoi dati personali da accessi non autorizzati, perdita, distruzione o alterazione. Queste misure includono:
- Crittografia di tutti i dati in transito tramite TLS (HTTPS)
- Crittografia dei dati a riposo
- Token OAuth conservati in modo sicuro e mai esposti al codice client-side
- Controlli di accesso rigorosi con principio del minimo privilegio
- Nessun dato di carte di credito conservato nei nostri sistemi
- Monitoraggio continuo e valutazioni periodiche di sicurezza
9.1 Notifica di Violazione dei Dati (Data Breach)
In caso di violazione dei dati personali che presenti un rischio per i diritti e le libertà degli interessati, notificheremo l'autorità di controllo competente (Garante per la Protezione dei Dati Personali) entro 72 ore dalla scoperta della violazione, ai sensi dell'Art. 33 GDPR. Se la violazione comporta un rischio elevato per i tuoi diritti, ti informeremo direttamente senza ingiustificato ritardo (Art. 34 GDPR).
10. Conservazione dei Dati
Conserviamo i tuoi dati personali solo per il tempo necessario alle finalità per cui sono stati raccolti. Di seguito i periodi di conservazione specifici:
| Categoria di Dati | Periodo di Conservazione |
|---|---|
| Dati dell'account | Per tutta la durata dell'account attivo |
| Dati di prenotazione | 24 mesi dalla data della prenotazione |
| Dati di utilizzo/analytics | 14 mesi (anonimizzati) |
| Cancellazione account | Dati rimossi entro 30 giorni dalla richiesta |
| Dati fiscali e contabili | 10 anni (obbligo di legge italiano) |
| Account inattivi | Notifica dopo 12 mesi di inattività; cancellazione dopo ulteriori 30 giorni senza risposta |
Alcuni dati anonimizzati e aggregati possono essere conservati a tempo indeterminato per finalità statistiche e di miglioramento del prodotto, in quanto non costituiscono dati personali.
In conformità ai requisiti delle API Microsoft, in caso di abbandono dell'account (account inattivo per un periodo prolungato senza risposta ai nostri avvisi), oltre alla cancellazione dell'account come descritto sopra, provvederemo alla cancellazione di tutti i dati personali ottenuti tramite le API di terze parti (Google, Microsoft), inclusi token di accesso, dati del calendario e profilo utente. I soli dati conservati oltre tale termine saranno quelli necessari per adempiere a obblighi di legge (es. dati fiscali e contabili).
11. Cookie
Utilizziamo cookie essenziali per l'autenticazione e la gestione delle sessioni. I cookie analitici vengono utilizzati solo previo tuo consenso. Non utilizziamo cookie pubblicitari di terze parti.
Per informazioni dettagliate sui cookie che utilizziamo, le loro finalità e come gestire le tue preferenze, consulta la nostra Cookie Policy.
12. I Tuoi Diritti ai sensi del GDPR
In qualità di interessato, hai i seguenti diritti in relazione ai tuoi dati personali:
- Diritto di accesso (Art. 15): hai il diritto di ottenere conferma dell'esistenza di un trattamento e di ricevere una copia dei tuoi dati personali.
- Diritto di rettifica (Art. 16): hai il diritto di ottenere la correzione di dati personali inesatti o l'integrazione di dati incompleti.
- Diritto alla cancellazione (Art. 17): hai il diritto di ottenere la cancellazione dei tuoi dati personali (“diritto all'oblio”), salvo che il trattamento sia necessario per adempiere un obbligo legale.
- Diritto di limitazione (Art. 18): hai il diritto di ottenere la limitazione del trattamento in determinate circostanze.
- Diritto alla portabilità (Art. 20): hai il diritto di ricevere i tuoi dati personali in un formato strutturato, di uso comune e leggibile da dispositivo automatico, e di trasmetterli a un altro titolare.
- Diritto di opposizione (Art. 21): hai il diritto di opporti al trattamento dei tuoi dati personali basato sull'interesse legittimo, inclusa la profilazione.
- Diritto di revoca del consenso: quando il trattamento si basa sul consenso, hai il diritto di revocarlo in qualsiasi momento senza che ciò pregiudichi la liceità del trattamento effettuato prima della revoca.
Per esercitare i tuoi diritti, contattaci a [email protected]. Risponderemo alla tua richiesta entro 30 giorni. Potremmo richiedere una verifica della tua identità prima di procedere.
Hai inoltre il diritto di proporre reclamo all'autorità di controllo competente. Per l'Italia, l'autorità è il Garante per la Protezione dei Dati Personali.
13. Diritti degli Utenti della California (CCPA/CPRA)
Se risiedi in California, ai sensi del California Consumer Privacy Act (CCPA) e del California Privacy Rights Act (CPRA), hai i seguenti diritti aggiuntivi:
- Diritto di sapere: puoi richiedere quali categorie e dati personali specifici raccogliamo, le fonti, le finalità e le terze parti con cui li condividiamo.
- Diritto di cancellazione: puoi richiedere la cancellazione dei tuoi dati personali, salvo le eccezioni previste dalla legge.
- Diritto di opt-out dalla vendita: confermiamo che non vendiamo né condividiamo i tuoi dati personali a terzi per finalità pubblicitarie o commerciali.
- Diritto di non discriminazione: non ti discrimineremo per l'esercizio dei tuoi diritti CCPA.
Per esercitare i tuoi diritti CCPA, contattaci a [email protected]. Puoi presentare richieste fino a 2 volte per periodo di 12 mesi.
14. Ruoli nel Trattamento dei Dati
14.1 SKDL.ME come Titolare
Astral Prism S.r.l.s. agisce come Titolare del Trattamento per i dati degli Account Holder (dati di registrazione, account, pagamento e utilizzo).
14.2 SKDL.ME come Responsabile
Per i dati degli Ospiti (Guest) raccolti tramite le booking pages, SKDL.ME agisce come Responsabile del Trattamento. L'Account Holder che crea la booking page è il Titolare del Trattamento per i dati dei propri ospiti ed è responsabile di:
- Garantire una base giuridica valida per la raccolta dei dati degli ospiti
- Fornire un'informativa privacy adeguata ai propri ospiti, ove richiesto
- Rispondere alle richieste di esercizio dei diritti da parte degli ospiti
I termini del trattamento dei dati come Responsabile sono regolati dal Data Processing Agreement (DPA) incorporato nei nostri Termini di Servizio.
15. Privacy dei Minori
Il Servizio non è destinato a persone di età inferiore a 16 anni. Non raccogliamo consapevolmente dati personali di minori di 16 anni. Se veniamo a conoscenza di aver raccolto dati di un minore, provvederemo alla loro cancellazione tempestiva. Se ritieni che abbiamo raccolto dati di un minore, contattaci immediatamente a [email protected].
16. Segnali Do Not Track
Rispettiamo i segnali “Do Not Track” (DNT) inviati dal tuo browser. Quando rileviamo un segnale DNT attivo, non utilizziamo cookie analitici e non raccogliamo dati di utilizzo tramite Google Analytics per la tua sessione.
17. Modifiche alla presente Informativa
Possiamo aggiornare la presente informativa periodicamente per riflettere modifiche alle nostre pratiche o per adeguarci a nuovi requisiti normativi. In caso di modifiche sostanziali:
- Ti informeremo tramite email e/o notifica in-app con almeno 30 giorni di anticipo
- Indicheremo chiaramente la data dell'ultimo aggiornamento
- Le versioni precedenti dell'informativa saranno disponibili su richiesta
L'uso continuato del Servizio dopo la pubblicazione delle modifiche costituisce accettazione della nuova informativa.
18. Contatti
Per qualsiasi domanda relativa alla presente informativa, al trattamento dei tuoi dati personali o per esercitare i tuoi diritti, puoi contattarci:
- Email privacy: [email protected]
- Email legale: [email protected]
- Titolare del Trattamento: Astral Prism S.r.l.s., Piazza Roma 5, 00015 Monterotondo (RM), Italia
- P.IVA / C.F.: 18380411001