Torna alla home

Privacy Policy

Ultimo aggiornamento: 18 febbraio 2026

1. Titolare del Trattamento

Il Titolare del trattamento dei dati è Andrea Macchiarulo - FlowMade Studio (“noi”, “nostro” o “Titolare”).
Sede: Via Marziano da Caravaggio 15, 24043 Caravaggio (BG), Italia
Email: info@flowmadestudio.it
Sito web: www.flowmadestudio.it

2. Dati Raccolti

Raccogliamo le seguenti categorie di dati:

2.1 Dati degli Utenti (Professionisti)

  • Dati identificativi: nome, cognome, email, telefono
  • Dati di accesso: email, password (criptata)
  • Dati di fatturazione e pagamento: tramite Stripe per gli abbonamenti

2.2 Dati dei Clienti (gestiti dagli Utenti)

  • Dati identificativi: nome, telefono, email
  • Foto dei trattamenti
  • Dati sanitari (categoria particolare ex art. 9 GDPR): anamnesi medica incluse allergie, condizioni oculari, gravidanza, farmaci assunti, interventi chirurgici

3. Base Giuridica del Trattamento

  • Contratto: per l'erogazione del servizio LashBrow Book
  • Consenso esplicito: per il trattamento dei dati sanitari (anamnesi)
  • Obbligo legale: per adempimenti fiscali e normativi
  • Legittimo interesse: per migliorare il servizio e prevenire frodi

4. Trattamento Dati Sanitari

I dati sanitari raccolti tramite il modulo anamnesi sono dati di categoria particolare ai sensi dell'art. 9 GDPR.

Il trattamento avviene esclusivamente:

  • Previo consenso esplicito del cliente
  • Per finalità di tutela della salute nell'erogazione di trattamenti estetici
  • Sotto la responsabilità del professionista (Utente LashBrow Book)

Importante: L'Utente (professionista) è Titolare autonomo del trattamento dei dati dei propri clienti. LashBrow Book agisce come Responsabile del trattamento ai sensi dell'art. 28 GDPR.

5. Conservazione dei Dati

  • Dati account: per tutta la durata del rapporto contrattuale + 10 anni
  • Dati clienti: secondo le policy dell'Utente professionista
  • Dati sanitari: minimo 10 anni (obblighi sanitari) o secondo normativa applicabile
  • Log di sistema: 12 mesi

6. Condivisione dei Dati

I dati possono essere condivisi con:

  • Supabase Inc. - hosting database (USA, con SCC)
  • Netlify/Vercel - hosting applicazione
  • Stripe - elaborazione pagamenti e gestione abbonamenti
  • Autorità competenti se richiesto per legge

6.bis Utilizzo dei dati di Google (Google User Data)

LashBrow Book offre una funzionalità di sincronizzazione bidirezionale con Google Calendar. Questa sezione descrive in modo dettagliato come accediamo, utilizziamo, archiviamo e proteggiamo i dati dell’account Google.

Dichiarazione Limited Use

L’utilizzo da parte di LashBrow Book delle informazioni ricevute dalle API di Google aderirà alla Google API Services User Data Policy, inclusi i requisiti di Limited Use. In particolare:

  • Non utilizziamo i dati di Google per scopi pubblicitari
  • Non vendiamo i dati di Google a terzi
  • Non trasferiamo i dati di Google a terzi se non strettamente necessario per fornire o migliorare le funzionalità per l’utente, per garantire la sicurezza, o per conformarci a obblighi di legge
  • Non utilizziamo i dati di Google per addestrare modelli di intelligenza artificiale generalizzati o di machine learning
  • Non leggiamo i dati di Google se non per fornire le funzionalità espressamente richieste dall’utente (sincronizzazione del calendario)

Dati a cui accediamo

Quando l’utente connette il proprio account Google, richiediamo i seguenti permessi OAuth (scope):

  • openid, email, profile — per identificare l’account Google associato
  • https://www.googleapis.com/auth/calendar — per creare un calendario dedicato denominato “LashBrow Book” sul Google Calendar dell’utente
  • https://www.googleapis.com/auth/calendar.readonly — per leggere gli eventi esistenti del calendario primario dell’utente, al fine di evitare doppi appuntamenti

Dai calendari dell’utente leggiamo esclusivamente i seguenti campi: identificativo evento, titolo (summary), orario di inizio, orario di fine, data ultimo aggiornamento. Non leggiamo descrizioni, luoghi, partecipanti, allegati, link Meet o altre informazioni dettagliate. Gli eventi “tutto il giorno” vengono filtrati e non considerati.

Come utilizziamo i dati

I dati di Google Calendar vengono utilizzati esclusivamente per:

  • Sincronizzazione bidirezionale degli appuntamenti: gli appuntamenti creati, modificati o cancellati in LashBrow Book vengono replicati nel calendario dedicato “LashBrow Book” sul Google Calendar dell’utente. Viceversa, gli eventi presenti su Google Calendar bloccano le fasce orarie corrispondenti in LashBrow Book per evitare sovrapposizioni.
  • Prenotazioni online: il sistema di booking pubblico verifica la disponibilità tenendo conto degli impegni presenti sul Google Calendar dell’utente.

I dati di Google Calendar non vengono utilizzati per altri scopi, inclusi profilazione, marketing, statistica aggregata o sviluppo prodotto.

Condivisione con terzi

I dati di Google Calendar non vengono condivisi con alcun soggetto terzo. In particolare, non vengono trasmessi a:

  • Fornitori di servizi di messaggistica (WhatsApp, Meta)
  • Fornitori di pagamento (Stripe)
  • Fornitori di email transazionali (Resend)
  • Sistemi di analytics o monitoring (es. Sentry, PostHog)
  • Provider di intelligenza artificiale (OpenAI, Anthropic o altri)

I dati di Google Calendar restano confinati all’interno del database del salone titolare dell’account.

Archiviazione e protezione

  • Posizione fisica: i dati sono archiviati su server Supabase situati in Irlanda (regione eu-west-1, Unione Europea), in piena conformità con il Regolamento Generale sulla Protezione dei Dati (GDPR).
  • Crittografia at-rest: i token di accesso e di refresh OAuth di Google sono cifrati a livello applicativo con algoritmo AES-256-GCM prima dell’inserimento nel database, utilizzando una chiave segreta gestita lato server. Anche un eventuale accesso non autorizzato al database non consentirebbe la lettura dei token.
  • Crittografia in-transit: tutte le comunicazioni con i server Google e con il nostro database avvengono tramite TLS 1.2+.
  • Controllo accessi: solo il titolare dell’account e i membri del suo team da lui autorizzati possono visualizzare gli eventi sincronizzati.

Conservazione ed eliminazione

  • Conserviamo i token di accesso a Google Calendar e i dati degli eventi sincronizzati per tutto il tempo in cui l’utente mantiene attiva la connessione con Google Calendar.
  • L’utente può disconnettere l’account Google in qualsiasi momento da Impostazioni → Integrazioni → Google Calendar. Alla disconnessione, i token vengono cancellati dal nostro database e i permessi vengono contestualmente revocati su Google.
  • L’utente può inoltre revocare manualmente i permessi da myaccount.google.com/permissions.
  • All’eliminazione dell’account LashBrow Book, tutti i dati di Google Calendar (token cifrati, mapping degli eventi sincronizzati) vengono cancellati definitivamente dal nostro database, e la connessione OAuth viene revocata presso Google.

Per richieste relative ai dati di Google Calendar, scrivere a: info@flowmadestudio.it

7. Trasferimento Extra-UE

Alcuni fornitori hanno sede negli USA. Il trasferimento avviene sulla base di:

  • Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea
  • Adeguate garanzie tecniche e organizzative

8. Diritti dell'Interessato

Hai diritto di:

  • Accesso: ottenere copia dei tuoi dati
  • Rettifica: correggere dati inesatti
  • Cancellazione: richiedere la cancellazione (“diritto all'oblio”)
  • Limitazione: limitare il trattamento
  • Portabilità: ricevere i dati in formato strutturato
  • Opposizione: opporti al trattamento
  • Revoca consenso: in qualsiasi momento, senza pregiudicare la liceità del trattamento precedente

Per esercitare i tuoi diritti, contattaci a: info@flowmadestudio.it

Risponderemo entro 30 giorni dalla richiesta. In casi complessi, il termine può essere esteso di altri 60 giorni dandone comunicazione.

9. Sicurezza

Adottiamo misure tecniche e organizzative per proteggere i dati:

  • Crittografia in transito (HTTPS/TLS)
  • Crittografia a riposo del database
  • Autenticazione sicura
  • Accesso limitato ai dati
  • Backup regolari

10. Cookie

Utilizziamo cookie tecnici necessari al funzionamento. Per dettagli consulta la nostra Cookie Policy.

11. Modifiche

Ci riserviamo di modificare questa Privacy Policy. Le modifiche saranno pubblicate su questa pagina con la data di aggiornamento.

11.bis Comunicazioni commerciali

In quanto utente che ha già utilizzato i nostri servizi (anche tramite periodo di prova), potremmo inviarti occasionalmente email relative a nuove funzionalità, miglioramenti del prodotto, offerte promozionali o codici sconto su LashBrow Book. Questo trattamento si basa sull’interesse legittimo a mantenere il rapporto commerciale con i nostri utenti esistenti (art. 6.1.f GDPR; D.Lgs. 196/2003 art. 130 c. 4 — soft opt-in per servizi analoghi).

Puoi opporti a queste comunicazioni in qualsiasi momento, gratuitamente e senza giustificazione:

  • Cliccando il link «Disiscriviti» presente nel footer di ogni email promozionale
  • Scrivendo a info@flowmadestudio.it

L’opposizione alle comunicazioni commerciali non interrompe le email transazionali essenziali (conferme account, ricevute, notifiche di servizio), che continuerai a ricevere per la corretta erogazione del servizio richiesto.

12. Contatti e Reclami

Per domande o richieste relative al trattamento dei tuoi dati personali, contattaci a:
Email: info@flowmadestudio.it
Indirizzo: Andrea Macchiarulo - FlowMade Studio, Via Marziano da Caravaggio 15, 24043 Caravaggio (BG), Italia

Hai diritto di proporre reclamo al Garante per la Protezione dei Dati Personali:
Piazza Venezia 11, 00187 Roma
Tel: +39 06.696771
Email: garante@gpdp.it
Sito: www.garanteprivacy.it