Informativa sul trattamento dei dati personali ai sensi degli artt. 13 e 14 del Regolamento UE 2016/679 (GDPR) e del D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018. Titolare del trattamento: KYRiAN Lab S.r.l., Via Prof. N. Casamassima 1, Sannicandro di Bari (BA), 70028, Italia — P.IVA IT09079690724. La presente informativa descrive come OSSIDIO — piattaforma digitale di intermediazione che mette in contatto professionisti indipendenti del settore benessere e cura della persona con clienti finali — raccoglie, utilizza e conserva i dati personali degli utenti. Questa è una versione alpha dell'informativa: nella versione definitiva del servizio sarà aggiornata e, ove necessario, integrata.
Il titolare del trattamento è KYRiAN Lab S.r.l., con sede legale in Via Prof. N. Casamassima 1, Sannicandro di Bari (BA), 70028, Italia. Partita IVA: IT09079690724.
Per qualsiasi questione relativa al trattamento dei dati personali è possibile contattare il titolare ai seguenti recapiti: indirizzo email dedicato alla privacy: privacy@ossidio.com (in corso di attivazione definitiva); indirizzo email generale: hello@ossidio.com; sito web: ossidio.com.
Responsabile della protezione dei dati (DPO). Alla data di pubblicazione il titolare non ha designato un DPO ai sensi dell'art. 37 GDPR. Il titolare ha effettuato una valutazione preliminare e, nella fase attuale di operatività alpha con volumi limitati, ritiene che la nomina non sia obbligatoria ai sensi dell'art. 37.1, lett. b) e c) GDPR. Tuttavia, poiché la piattaforma tratta dati biometrici dei professionisti nell'ambito della verifica dell'identità (sezione 3) e dati fiscali di natura sensibile, tale valutazione dovrà essere obbligatoriamente riesaminata al crescere del volume di trattamenti, dell'estensione geografica del servizio e del numero di interessati.
OSSIDIO è una piattaforma digitale di intermediazione accessibile tramite app.ossidio.com e ossidio.com. La piattaforma consente a professionisti indipendenti del settore benessere e cura della persona (personal trainer, barbieri, estetisti, terapisti e figure analoghe) di offrire i propri servizi a clienti finali, gestendo la prenotazione e il pagamento tramite strumenti integrati.
Il titolare tratta dati personali delle seguenti categorie di interessati: (a) clienti finali, ossia i soggetti che utilizzano la piattaforma per cercare e prenotare servizi; (b) professionisti iscritti, ossia i fornitori di servizi che accedono alla piattaforma per offrire la propria attività e ricevere pagamenti; (c) visitatori del sito, ossia chiunque navighi su ossidio.com o app.ossidio.com senza necessariamente creare un account.
Fonte dei dati. I dati personali sono raccolti direttamente dall'interessato al momento della registrazione, dell'utilizzo del servizio o della navigazione sulla piattaforma. Per i professionisti iscritti, alcuni dati fiscali (in particolare la partita IVA e la denominazione dell'impresa) possono essere verificati attraverso interrogazione del Registro Imprese tramite il fornitore Openapi S.p.A. (sezione 5). In tal caso, la fonte dei dati è il Registro Imprese pubblicamente accessibile. I dati del documento d'identità e del selfie sono raccolti e trattati direttamente da Stripe Identity nell'ambito della procedura di verifica dell'identità (si veda la sezione 3).
Clienti finali: indirizzo email (utilizzato per l'autenticazione tramite magic-link), nome, eventuale numero di telefono, cronologia delle prenotazioni effettuate, recensioni rilasciate (valutazione e testo). I dati della carta di pagamento non sono trattati né conservati da OSSIDIO: il trattamento avviene interamente tramite Stripe Payments Europe, Ltd., soggetto a propria informativa privacy disponibile su stripe.com.
Professionisti iscritti: indirizzo email, nome visualizzato, città di operatività, partita IVA, codice fiscale, natura giuridica dell'attività (soggetto individuale o società). Ai fini degli obblighi di comunicazione previsti dalla normativa DAC7 (D.Lgs. 32/2023, attuazione della Direttiva UE 2021/514): nome e cognome legali, data di nascita, indirizzo di residenza, ultime quattro cifre del codice IBAN e nome della banca di riferimento. Ai fini della verifica dell'identità: documento d'identità in corso di validità e selfie, elaborati tramite il servizio Stripe Identity. Identificativo dell'account Stripe Connect associato al professionista.
Tutti gli interessati: dati tecnici di navigazione e log di accesso (indirizzo IP, tipo di browser, pagine visitate, timestamp), dati relativi a errori applicativi raccolti tramite la piattaforma Sentry, dati eventualmente elaborati nell'ambito delle funzionalità di intelligenza artificiale integrate nella piattaforma.
Categorie particolari di dati — art. 9 GDPR. La verifica dell'identità dei professionisti tramite documento d'identità e selfie, operata attraverso il servizio Stripe Identity, può comportare il trattamento di dati biometrici ai sensi dell'art. 4, n. 14, GDPR (in particolare dati facciali elaborati per l'identificazione univoca). Tali dati rientrano nelle categorie particolari di cui all'art. 9 GDPR e richiedono una base giuridica specifica e autonoma rispetto a quelle previste dall'art. 6. Il trattamento appare riconducibile all'art. 9.2, lett. f) GDPR — accertamento, esercizio o difesa di un diritto o adempimento di obblighi normativi — in quanto la verifica è funzionale all'adempimento degli obblighi previsti dal Regolamento DSA (Reg. UE 2022/2065) e dalla normativa DAC7. In via alternativa o concorrente, laddove la configurazione tecnica di Stripe Identity lo richieda, la base giuridica può essere il consenso esplicito dell'interessato ai sensi dell'art. 9.2, lett. a) GDPR. In considerazione del ruolo di Stripe Identity — che agisce come autonomo titolare del trattamento per la fase di acquisizione e analisi biometrica, e come responsabile del trattamento per la comunicazione dell'esito al titolare — la relazione contrattuale con Stripe è oggetto di verifica per accertare se si configuri un rapporto di co-titolarità ai sensi dell'art. 26 GDPR. Il trattamento di dati biometrici impone, ai sensi dell'art. 35 GDPR, la conduzione di una Valutazione d'Impatto sulla Protezione dei Dati (DPIA) prima dell'avvio in produzione del servizio.
4.1 Erogazione del servizio di intermediazione. Il titolare tratta i dati personali per consentire la creazione e la gestione dell'account, l'effettuazione e la gestione delle prenotazioni, il pagamento dei servizi, la riscossione dei corrispettivi e la gestione degli abbonamenti per i professionisti. Base giuridica: art. 6.1, lett. b) GDPR — esecuzione di un contratto di cui l'interessato è parte o esecuzione di misure precontrattuali adottate su sua richiesta.
4.2 Adempimenti fiscali, amministrativi e obbligo DAC7. Il titolare tratta i dati dei professionisti per assolvere agli obblighi di fatturazione e contabilità e per effettuare le comunicazioni all'Agenzia delle Entrate previste dal D.Lgs. 32/2023 in attuazione della Direttiva UE 2021/514 (DAC7), relativa alle piattaforme digitali di intermediazione. I dati così raccolti e comunicati all'Agenzia delle Entrate comprendono quelli elencati nella sezione 3 sotto la voce DAC7. Base giuridica: art. 6.1, lett. c) GDPR — adempimento di un obbligo legale al quale è soggetto il titolare.
4.3 Verifica dell'identità dei professionisti, prevenzione delle frodi e sicurezza della piattaforma. Il titolare tratta i dati dei professionisti per verificarne l'identità e i dati fiscali prima dell'attivazione dell'account, per prevenire frodi e abusi, e per adempiere agli obblighi derivanti dal Regolamento UE sul mercato dei servizi digitali (DSA, Reg. UE 2022/2065). Base giuridica primaria per gli obblighi DSA: art. 6.1, lett. c) GDPR — obbligo legale. Base giuridica per le misure antifrode non direttamente imposte da obbligo normativo specifico: art. 6.1, lett. f) GDPR — legittimo interesse del titolare e degli utenti della piattaforma alla sicurezza e all'integrità del servizio. Il titolare ha condotto una valutazione di bilanciamento degli interessi. Per il trattamento di eventuali dati biometrici nell'ambito della verifica tramite Stripe Identity, si rimanda all'analisi contenuta nella sezione 3.
4.4 Comunicazioni di servizio. Il titolare invia comunicazioni di natura transazionale necessarie all'esecuzione del contratto, quali conferme di prenotazione, promemoria e notifiche relative allo stato dell'account. Base giuridica: art. 6.1, lett. b) GDPR. Qualora in futuro vengano attivate comunicazioni a scopo di marketing diretto, queste saranno effettuate esclusivamente previo consenso dell'interessato ai sensi dell'art. 6.1, lett. a) GDPR, con possibilità di revoca in qualsiasi momento senza pregiudizio per la liceità del trattamento svolto anteriormente alla revoca.
4.5 Funzionalità di assistenza basate su intelligenza artificiale. La piattaforma integra funzioni di AI a supporto dell'operatività, quali il suggerimento di prezzi, la gestione della disponibilità di slot orari e la categorizzazione dei servizi. Base giuridica: art. 6.1, lett. f) GDPR — legittimo interesse del titolare al miglioramento del servizio — e art. 6.1, lett. b) per le funzionalità direttamente strumentali all'esecuzione del contratto. Ove possibile, i prompt inviati ai sistemi di AI sono strutturati in modo da limitare l'inclusione di dati personali. Le funzionalità di AI attualmente implementate non producono decisioni individuali automatizzate con effetti giuridici significativi ai sensi dell'art. 22 GDPR; qualora tale funzionalità venisse introdotta, l'informativa sarà aggiornata e saranno garantite le salvaguardie previste dalla normativa.
Il titolare si avvale di fornitori esterni che trattano dati personali per conto di KYRiAN Lab S.r.l. in qualità di responsabili del trattamento, sulla base di appositi accordi conformi all'art. 28 GDPR. Di seguito l'elenco aggiornato alla data di pubblicazione.
Alcuni dei responsabili del trattamento indicati nella sezione 5 hanno sede negli Stati Uniti d'America o trattano dati su server localizzati al di fuori dell'Unione Europea: Stripe (per i componenti con operatività USA), Resend Inc., Functional Software Inc. (Sentry), Anthropic PBC e Vercel Inc.
I trasferimenti avvengono nel rispetto delle garanzie previste dal Capo V del GDPR, in particolare mediante: (a) Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea ai sensi dell'art. 46.2, lett. c) GDPR; (b) EU-US Data Privacy Framework (decisione di adeguatezza della Commissione del 10 luglio 2023), applicabile ai fornitori certificati.
Si precisa che Resend Inc. e Anthropic PBC non risultano attualmente certificati ai sensi del EU-US Data Privacy Framework: il trasferimento avviene pertanto esclusivamente sulla base di SCC. Per Vercel Inc. e Sentry la certificazione DPF è verificata periodicamente dal titolare.
Ulteriori informazioni sui meccanismi di trasferimento adottati sono disponibili su richiesta a privacy@ossidio.com.
I dati personali sono conservati per il tempo strettamente necessario al perseguimento delle finalità per le quali sono stati raccolti, nel rispetto dei principi di minimizzazione e limitazione della conservazione previsti dall'art. 5.1, lett. e) GDPR.
Dati dell'account e del profilo: conservati per l'intera durata del rapporto contrattuale. A seguito della richiesta di cancellazione o della cessazione del rapporto, i dati sono eliminati o resi anonimi entro i termini tecnici necessari, salvo obbligo di conservazione per finalità diverse (es. adempimenti fiscali, difesa in giudizio).
Dati fiscali, contabili e DAC7: conservati per i periodi imposti dalla normativa. Per gli obblighi civilistici e fiscali ordinari il termine è di norma pari a dieci anni (artt. 2214 e 2220 c.c.; art. 22 D.P.R. 600/1973). I dati soggetti all'obbligo DAC7 sono conservati per i periodi previsti dal D.Lgs. 32/2023 e dalla normativa attuativa dell'Agenzia delle Entrate.
Dati di prenotazione: conservati per la durata del rapporto e, successivamente, per i termini di prescrizione applicabili alle obbligazioni contrattuali (di norma dieci anni, art. 2946 c.c., salvo termini più brevi).
Dati relativi alla verifica dell'identità (documento e selfie): conservati da Stripe Identity per il tempo necessario alla procedura e agli obblighi connessi, secondo le condizioni di tale fornitore. Il titolare conserva il solo esito della verifica (identificativo e stato) per la durata del rapporto con il professionista.
Dati tecnici e di log di navigazione: conservati per il tempo necessario alla sicurezza e al monitoraggio, prendendo a riferimento le indicazioni del Garante (tendenzialmente non superiore a sei/dodici mesi per i log di accesso, salvo esigenze documentate).
Dati relativi agli errori applicativi (Sentry): conservati per il tempo necessario all'analisi e risoluzione dei problemi tecnici, di norma non superiore a novanta giorni.
L'interessato ha il diritto di esercitare in qualsiasi momento i diritti di seguito elencati nei confronti del titolare del trattamento.
La piattaforma OSSIDIO utilizza esclusivamente cookie e strumenti tecnici ed essenziali necessari al funzionamento del servizio, tra cui i cookie di sessione utilizzati dal sistema di autenticazione (Supabase) per mantenere attiva la sessione dell'utente autenticato.
Alla data di pubblicazione non sono presenti cookie di profilazione, di tracciamento comportamentale o di marketing di terze parti. Non è pertanto richiesto il consenso per gli strumenti tecnici attualmente impiegati, ai sensi dell'art. 122 del D.Lgs. 196/2003 e delle linee guida del Garante sui cookie.
Qualora in futuro vengano introdotti cookie o strumenti di tracciamento non essenziali, la piattaforma si doterà di un'apposita soluzione di gestione del consenso (cookie banner) conforme alle linee guida del Garante (Provvedimento dell'8 ottobre 2020 e successive integrazioni). La presente informativa sarà aggiornata di conseguenza.
Il servizio OSSIDIO è riservato esclusivamente a persone che abbiano compiuto diciotto anni di età. Il titolare non raccoglie consapevolmente dati personali di soggetti minorenni. Qualora venisse riscontrata o segnalata la registrazione di un minore, i relativi dati saranno cancellati senza indugio ai sensi dell'art. 17 GDPR.
Chiunque riscontri la presenza di dati personali di minori sulla piattaforma è invitato a segnalarlo tempestivamente all'indirizzo privacy@ossidio.com.
Il titolare si riserva il diritto di modificare o aggiornare la presente informativa in qualsiasi momento, in particolare a seguito dell'evoluzione del servizio, dell'introduzione di nuove funzionalità o di modifiche normative. Le versioni aggiornate saranno pubblicate su ossidio.com con indicazione della data di ultimo aggiornamento.
Trattandosi di una versione alpha, aggiornamenti sostanziali sono prevedibili prima del rilascio definitivo del servizio. Per modifiche rilevanti che incidano sui diritti degli interessati, il titolare fornirà comunicazione tramite i canali di contatto disponibili (email o notifica in-app).
Nota
Documento in versione alpha, redatto sui trattamenti effettivi della piattaforma. Prima della pubblicazione definitiva è prevista la revisione da parte di un legale/DPO, in particolare sui profili dei dati biometrici (Stripe Identity), della DPIA e dei trasferimenti extra-UE.