Privacy Policy

1. Titolare del trattamento

Titolare del trattamento dei dati personali è il professionista intestatario dell'account AI Bridal Manager™ (di seguito "Utente Professionista"). AI Bridal Manager™ opera come Responsabile del trattamento per conto del Titolare ai sensi dell'art. 28 GDPR.

2. Dati raccolti

2.1 Dati dell'Utente Professionista

• Nome, cognome, email, telefono
• Password (memorizzata in forma cifrata con bcrypt)
• Indirizzo IP e user-agent al momento dell'accesso
• Dati di pagamento (gestiti esclusivamente da Stripe — non memorizziamo carte di credito)
• Log delle azioni amministrative

2.2 Dati dei clienti finali (sposi/spose)

• Nome, contatti, data dell'evento, location
• Note libere inserite dall'Utente Professionista
• Schede tecniche makeup/hair (caratteristiche fisiche, stile desiderato)
• Foto delle prove (caricate dall'Utente Professionista)
• Audit trail di firma elettronica (IP, timestamp, hash documento) per i contratti firmati digitalmente

3. Finalità e basi giuridiche

• Erogazione del servizio (art. 6.1.b GDPR — esecuzione del contratto): gestione account, schede clienti, preventivi, contratti, calendario, timeline.
• Sicurezza e prevenzione frodi (art. 6.1.f — legittimo interesse): brute-force protection, audit log, monitoraggio accessi anomali.
• Adempimenti fiscali e contabili (art. 6.1.c — obbligo legale): conservazione transazioni Stripe.
• Firma elettronica semplice (art. 6.1.b): verifica OTP, registrazione IP/UA per contratti firmati.

4. Conservazione

• Account Utente Professionista: per tutta la durata del rapporto + 24 mesi dalla cessazione.
• Dati clienti: gestiti dall'Utente Professionista, eliminabili in qualsiasi momento.
• Dati di pagamento: 10 anni per obblighi fiscali (art. 2220 c.c.).
• Audit log firme: 10 anni dalla firma per validità probatoria.

5. Destinatari

• Provider infrastruttura cloud (server europei o con clausole contrattuali standard).
• MongoDB Atlas / hosting database (con DPA in essere).
• Stripe Inc. per i pagamenti (Privacy Policy: stripe.com/privacy).
• Mai venduti o ceduti a terzi per finalità di marketing.

6. Trasferimenti extra-UE

Eventuali trasferimenti di dati al di fuori dell'Unione Europea avvengono esclusivamente verso paesi con decisione di adeguatezza della Commissione Europea o sulla base delle Clausole Contrattuali Standard (SCC).

7. Diritti dell'interessato

Hai diritto, in qualsiasi momento, a:

• Accesso (art. 15) — sapere quali dati abbiamo
• Rettifica (art. 16) — correggere dati inesatti
• Cancellazione (art. 17 — "diritto all'oblio") — direttamente da Impostazioni → Privacy → Elimina account
• Portabilità (art. 20) — scaricare tutti i tuoi dati in formato JSON da Impostazioni → Privacy → Scarica i miei dati
• Limitazione e opposizione (artt. 18, 21)
• Reclamo al Garante Privacy (www.garanteprivacy.it)

8. Sicurezza

• Connessioni cifrate HTTPS/TLS
• Password hashate con bcrypt (cost 12)
• Cookie di sessione httpOnly + SameSite
• Brute-force protection (5 tentativi → blocco 15 minuti)
• Token JWT con scadenza 1 ora (access) / 7 giorni (refresh)

9. Modifiche

Eventuali aggiornamenti a questa informativa saranno comunicati via email o tramite avviso in-app. La versione corrente è consultabile in fondo a questa pagina.