Privacy Policy — PMUmanager

Ultimo aggiornamento: 26 maggio 2026 — versione 1.0

1. Titolare del trattamento

Il titolare del trattamento dei dati personali raccolti attraverso la piattaforma PMUmanager (di seguito «Piattaforma») è:

WitUp Ltd
71-75 Shelton Street, Covent Garden
London, WC2H 9JQ, United Kingdom
Company Registration Number: 16572774
Sito: pmumanager.com
Email: hub@witup.ai

2. Tipologie di dati raccolti

PMUmanager raccoglie le seguenti categorie di dati personali:

  • Dati account operatore: nome, cognome, email, password (crittografata), numero di telefono, partita IVA, codice fiscale, dati attività professionale (indirizzo studio, qualifiche, certificazioni).
  • Dati clienti finali (caricati dall'operatore): nome, cognome, telefono, email, data di nascita, indirizzo, anamnesi sanitaria (Art. 9 GDPR), foto trattamenti, consensi firmati, storico appuntamenti.
  • Dati WhatsApp Business: numero di telefono Business connesso, ID account WhatsApp Business, nome visualizzato, metadati messaggi (mittente, destinatario, timestamp, status delivery).
  • Dati di pagamento: Stripe Customer ID, status abbonamento, fatture emesse (IVA inclusa). I dati di carta di credito non transitano mai sui nostri server (PCI-DSS Stripe).
  • Dati di navigazione: indirizzo IP, tipo di browser, pagine visitate, log di accesso, cookie tecnici e analitici.
  • Dati AI e voce: query inviate al modulo PMU AI, trascrizioni IRIS Voice (se attivato), prompt e risposte LLM (anonimizzati per training).

3. Finalità del trattamento

  • Erogazione del servizio gestionale PMU (agenda, CRM clienti, anamnesi, consensi, fatturazione).
  • Invio di notifiche relative agli appuntamenti dei clienti finali (conferma, promemoria, cancellazione) tramite email, SMS e WhatsApp.
  • Comunicazioni marketing dirette agli operatori (newsletter, aggiornamenti prodotto) — previo consenso revocabile.
  • Adempimento obblighi fiscali, contabili e di legge.
  • Analisi aggregate anonime per miglioramento del servizio.
  • Sicurezza della piattaforma e prevenzione frodi (legittimo interesse).

4. Base giuridica del trattamento

  • Esecuzione di un contratto (Art. 6.1.b GDPR): erogazione del servizio agli operatori abbonati.
  • Consenso esplicito (Art. 6.1.a + 9.2.a GDPR): per dati sanitari (anamnesi clienti finali) e marketing.
  • Legittimo interesse (Art. 6.1.f GDPR): sicurezza, prevenzione frodi, miglioramento del servizio.
  • Obbligo legale (Art. 6.1.c GDPR): obblighi fiscali, contabili, antiriciclaggio.

5. Periodo di conservazione

  • Dati account operatore attivo: per tutta la durata del rapporto contrattuale.
  • Dati account dopo disattivazione: 12 mesi (per backup e recupero), poi cancellazione definitiva (salvo richiesta anticipata di cancellazione, vedi sezione 9).
  • Dati clienti finali: gestiti dall'operatore titolare; PMUmanager li conserva per il tempo previsto dall'operatore o fino a cessazione contratto.
  • Fatture e dati fiscali: 10 anni (art. 2220 c.c. + obblighi fiscali).
  • Log di accesso e sicurezza: 12 mesi.
  • Messaggi WhatsApp: secondo retention policy Meta (vedi WhatsApp Business Policy).

6. Destinatari dei dati e responsabili esterni

I dati personali possono essere condivisi con i seguenti responsabili esterni del trattamento (Art. 28 GDPR), tutti vincolati da specifici accordi DPA:

  • Meta Platforms Ireland Ltd: invio messaggi WhatsApp Cloud API (sede Dublino, Irlanda).
  • Supabase Inc.: infrastruttura database, autenticazione, storage (data center EU - Francoforte).
  • Vercel Inc.: hosting applicazione web (data center EU/USA con SCC).
  • Stripe Payments Europe Ltd: elaborazione pagamenti e abbonamenti (sede Dublino).
  • Resend Inc.: invio email transazionali e marketing.
  • OpenAI / Google / Anthropic: provider LLM per modulo PMU AI (chiamate API anonimizzate, no training data).
  • Autorità pubbliche, esclusivamente nei casi previsti dalla legge.

Nessun dato viene venduto a terzi per finalità commerciali.

7. Trasferimento dati extra-UE

WitUp Ltd è una società di diritto inglese. Il Regno Unito beneficia della Decisione di Adeguatezza della Commissione Europea (Art. 45 GDPR) — i trasferimenti UK-UE non richiedono garanzie ulteriori.

I fornitori di servizi USA (Vercel, Stripe, Resend, OpenAI, Anthropic) operano sotto le Standard Contractual Clauses (SCC) approvate dalla Commissione Europea (Decisione 2021/914) e/o sotto il EU-US Data Privacy Framework. Meta Platforms Ireland Ltd è soggetto al GDPR direttamente in quanto stabilito in UE.

8. Diritti dell'interessato

In conformità al GDPR (Art. 15-22), hai il diritto di:

  • Accesso (Art. 15): ottenere copia dei tuoi dati personali.
  • Rettifica (Art. 16): correggere dati inesatti o incompleti.
  • Cancellazione (Art. 17, «diritto all'oblio»): richiedere la cancellazione dei tuoi dati. Vai a /data-deletion per inviare richiesta.
  • Limitazione (Art. 18): limitare il trattamento in determinati casi.
  • Portabilità (Art. 20): ricevere i tuoi dati in formato strutturato e leggibile.
  • Opposizione (Art. 21): opporti al trattamento per legittimo interesse o marketing.
  • Revoca del consenso (Art. 7.3): in qualsiasi momento, senza pregiudicare la liceità del trattamento precedente.
  • Reclamo all'autorità di controllo (Art. 77): Garante per la protezione dei dati personali (IT) o Information Commissioner's Office (UK).

Per esercitare i tuoi diritti, scrivi a hub@witup.ai oppure usa il form di cancellazione dati su /data-deletion. Risponderemo entro 30 giorni (Art. 12.3 GDPR).

9. Trattamento dati sanitari (Art. 9 GDPR) — PMU/Estetica

I dati di anamnesi medica raccolti dagli operatori PMU per i propri clienti finali (allergie, condizioni dermatologiche, patologie, controindicazioni ai trattamenti) costituiscono dati relativi alla salute ai sensi dell'Art. 9 GDPR (categoria speciale).

Base giuridica: consenso esplicito del cliente finale ai sensi dell'Art. 9.2.a GDPR, raccolto e firmato digitalmente prima di ogni trattamento.

Ruoli ai sensi del GDPR:

  • L'Operatore PMU (utente PMUmanager) è titolare autonomo del trattamento dei dati dei propri clienti finali — determina finalità e mezzi, raccoglie i consensi, è responsabile del rispetto del GDPR verso i propri clienti.
  • WitUp Ltd / PMUmanager agisce come responsabile del trattamento ai sensi dell'Art. 28 GDPR, limitatamente al trattamento dati eseguito sulla Piattaforma per conto dell'Operatore (storage, comunicazioni con clienti, automazioni).

DPA (Data Processing Agreement) Art. 28 GDPR — un accordo dettagliato che disciplina il rapporto titolare-responsabile è disponibile su richiesta scrivendo a hub@witup.ai. Tale DPA è parte integrante delle Condizioni di Servizio per gli operatori abbonati ai piani Plus e VIP.

I dati sanitari sono protetti da crittografia a riposo e in transito, accessibili solo all'operatore titolare (e ai membri del team con permessi RLS) e al cliente finale stesso.

10. Dati Meta Platforms (Facebook, Instagram, WhatsApp)

PMUmanager si integra con le piattaforme Meta tramite Facebook Login for Business, Instagram Graph API e WhatsApp Business Platform. L'operatore collega volontariamente i PROPRI account business per pubblicare contenuti e comunicare con i propri clienti.

Dati ricevuti da Meta (solo per gli account che l'operatore collega):

  • Facebook: elenco delle Pagine di cui l'operatore è amministratore, ID e nome Pagina, token di accesso, metriche base di engagement.
  • Instagram: profilo Instagram Business collegato (ID, username, immagine profilo), per pubblicare post e (in futuro) gestire i messaggi diretti.
  • WhatsApp Business: numero Business, nome visualizzato, ID account WhatsApp Business (WABA), metadati messaggi (mittente, destinatario, timestamp, status delivery).

Finalità: pubblicare sui canali social dell'operatore i contenuti creati nell'app (foto trattamenti con consenso, didascalie) e inviare ai clienti finali comunicazioni WhatsApp (promemoria, conferme, follow-up). Retention: i token sono conservati cifrati finché l'operatore non disconnette l'account; i contatti dei clienti seguono la retention dell'anagrafica (sez. 5).

Revoca: l'operatore può disconnettere in qualsiasi momento ciascun account dalla sezione Marketing dell'app, revocare i permessi su facebook.com/settings, oppure richiedere la cancellazione dei dati su /data-deletion.

Quando un operatore connette il suo account WhatsApp Business via PMUmanager, raccogliamo: numero di telefono Business, nome visualizzato, ID account WhatsApp Business.

PMUmanager invia messaggi a clienti finali per conto dell'operatore (reminder appuntamenti, conferme, comunicazioni marketing previo consenso). I numeri dei clienti finali sono caricati dall'operatore nella propria anagrafica clienti.

PMUmanager non condivide dati con terzi diversi da Meta (necessari per il funzionamento di WhatsApp Cloud API). Tutti i messaggi sono soggetti alle WhatsApp Business Policy e alla WhatsApp Privacy Policy.

Responsabilità dell'operatore: l'operatore garantisce di avere il consenso esplicito dei clienti finali per l'invio di messaggi WhatsApp (Art. 130 D.Lgs. 196/2003 e linee guida Garante). Violazioni delle policy WhatsApp (spam, contenuti vietati) comportano la sospensione dell'account.

11. Cookie

Per informazioni dettagliate sull'uso dei cookie tecnici, analitici e di terze parti, consulta la Cookie Policy.

12. Modifiche alla presente informativa

WitUp Ltd si riserva il diritto di aggiornare la presente Privacy Policy in qualsiasi momento. Le modifiche sostanziali saranno notificate via email agli operatori registrati con almeno 30 giorni di preavviso. La data di «Ultimo aggiornamento» in cima a questa pagina indica la versione in vigore.

13. Contatti

Per domande relative al trattamento dei tuoi dati personali:

  • Email: hub@witup.ai
  • Posta ordinaria: WitUp Ltd, 71-75 Shelton Street, Covent Garden, London WC2H 9JQ, United Kingdom
Cookie PolicyCondizioni di ServizioCancella i miei dati