SBS

Informativa sulla Privacy

Versione 1.0 — pubblicata il 22 maggio 2026

1. Titolare del trattamento

Titolare del trattamento dei dati personali è SBS DI ILIASS CHEBBI & C. S.N.C., con sede legale in Via Vittorio Veneto, 54, 25015 Desenzano del Garda (BS), Italia, P.IVA IT04558920981, contattabile all'indirizzo email info@sbsdesenzano.it (di seguito, "Titolare").

1-bis. Responsabile della Protezione dei Dati (DPO)

Il Titolare non ha nominato un Responsabile della Protezione dei Dati (DPO/RPD), non rientrando nelle ipotesi di nomina obbligatoria previste dall'art. 37 GDPR (autorità pubblica, monitoraggio sistematico su larga scala di interessati, trattamento su larga scala di categorie particolari di dati). Per qualsiasi richiesta relativa al trattamento dei dati personali è possibile contattare direttamente il Titolare all'indirizzo info@sbsdesenzano.it.

2. Tipologie di dati trattati

  • Dati anagrafici e di contatto: nome, cognome, email, numero di telefono.
  • Dati di residenza: comune, CAP.
  • Dati di accesso: password (cifrata), provider OAuth (es. Google).
  • Dati delle prenotazioni: servizio richiesto, specialista, data, sede.
  • Eventuale foto profilo caricata volontariamente dall'utente.
  • Dati tecnici: indirizzo IP, user-agent, timestamp, raccolti per finalità di sicurezza e tracciamento consensi.

3. Finalità e basi giuridiche

  • Gestione prenotazioni e account — esecuzione di un contratto di cui l'interessato è parte o esecuzione di misure precontrattuali adottate su sua richiesta (art. 6, par. 1, lett. b, GDPR).
  • Adempimenti contabili, fiscali e amministrativi — adempimento di obblighi legali cui è soggetto il Titolare (art. 6, par. 1, lett. c, GDPR), in particolare in materia di tenuta delle scritture contabili e conservazione dei documenti rilevanti ai fini delle imposte sui redditi e dell'IVA.
  • Comunicazioni marketing diretto — consenso libero, specifico, informato e inequivocabile dell'interessato (art. 6, par. 1, lett. a, GDPR; art. 130 d.lgs. 196/2003 e ss.mm.ii.), revocabile in qualsiasi momento senza pregiudizio per il servizio.
  • Sicurezza dei sistemi, prevenzione frodi e gestione contenziosi — legittimo interesse del Titolare (art. 6, par. 1, lett. f, GDPR), bilanciato con i diritti e le libertà dell'interessato.

3-bis. Natura del conferimento e conseguenze del rifiuto

  • Dati di account e prenotazione: il conferimento è necessario per l'erogazione del servizio. Il mancato conferimento rende impossibile la creazione dell'account o il completamento della prenotazione.
  • Dati fiscali e contabili: il conferimento è obbligatorio ai sensi di legge. L'eventuale rifiuto comporta l'impossibilità di erogare il servizio.
  • Email per comunicazioni marketing: il conferimento e il relativo consenso sono facoltativi. Il rifiuto non incide in alcun modo sulla possibilità di utilizzare il servizio.

4. Periodo di conservazione

  • Dati account: fino alla richiesta di cancellazione da parte dell'interessato o alla cessazione del servizio.
  • Dati delle prenotazioni e documentazione contabile correlata: dieci anni dalla data del trattamento, in linea con i termini di conservazione delle scritture contabili previsti dalla normativa civilistica e fiscale italiana.
  • Foto profilo: fino alla rimozione da parte dell'utente o alla cancellazione dell'account.
  • Log tecnici di sicurezza: sei mesi, salvo esigenze di accertamento, esercizio o difesa di un diritto in sede giudiziaria.
  • Registrazione dei consensi (marketing inclusi): fino alla revoca da parte dell'interessato; successivamente, la registrazione del consenso e della sua eventuale revoca viene conservata per il tempo necessario al Titolare per dimostrare la corretta gestione del consenso ai sensi dell'art. 7, par. 1, GDPR e fino al decorso dei termini di prescrizione applicabili.

5. Destinatari e responsabili esterni

I dati personali possono essere comunicati ai seguenti soggetti, nominati responsabili del trattamento ai sensi dell'art. 28 GDPR, ciascuno per le finalità tecniche di propria competenza:

  • Infomaniak Network SA (Svizzera) — fornitore del servizio SMTP utilizzato per l'invio delle email transazionali. La Svizzera è oggetto di decisione di adeguatezza della Commissione Europea.
  • OVH SAS (Francia, UE) — fornitore di servizi di archiviazione su infrastruttura object storage compatibile S3, utilizzata per la conservazione dei file caricati dagli utenti (incluse le foto profilo).
  • Google Ireland Limited (Irlanda, UE) — fornitore del servizio di autenticazione OAuth, utilizzato solo se l'utente sceglie esplicitamente di accedere tramite il proprio account Google. Si veda la sezione 6 in merito ai trasferimenti verso gli Stati Uniti che possono derivare da tale scelta.
  • OpenStreetMap Foundation (Regno Unito, paese oggetto di decisione di adeguatezza della Commissione Europea) — fornitore dei tile cartografici visualizzati nella sezione mappe del sito. L'indirizzo IP del visitatore viene comunicato al server OSMF esclusivamente per finalità tecniche di routing.

6. Trasferimenti extra-UE

Il Titolare ha selezionato fornitori con sede all'interno dello Spazio Economico Europeo o in paesi oggetto di decisione di adeguatezza, al fine di ridurre al minimo i trasferimenti di dati personali al di fuori dell'Unione Europea.

L'unico flusso che può comportare un trasferimento verso un paese terzo non oggetto di decisione di adeguatezza si verifica nel caso in cui l'utente scelga liberamente l'autenticazione tramite Google: in tale ipotesi, parte dei dati può essere trattata anche da Google LLC negli Stati Uniti d'America. Il trasferimento è coperto, in via prevalente, dalla certificazione di Google al EU-U.S. Data Privacy Framework (decisione di adeguatezza della Commissione UE del 10 luglio 2023); ove la certificazione non sia applicabile, il trasferimento avviene sulla base delle Clausole Contrattuali Standard adottate dalla Commissione Europea ai sensi dell'art. 46, par. 2, lett. c, GDPR.

L'utente che preferisce non attivare tale flusso può registrarsi e accedere utilizzando email e password, evitando il ricorso all'autenticazione OAuth Google. Resta inteso che alcuni trasferimenti tecnici limitati possono comunque verificarsi nei confronti dei fornitori indicati nella sezione precedente, sempre all'interno di paesi UE o di paesi oggetto di adeguatezza.

6-bis. Assenza di decisioni automatizzate e profilazione

Il Titolare non effettua processi decisionali interamente automatizzati né attività di profilazione che producano effetti giuridici o incidano in modo significativo sull'interessato ai sensi dell'art. 22 GDPR.

7. Diritti dell'interessato

In qualunque momento è possibile esercitare i seguenti diritti, scrivendo a info@sbsdesenzano.it:

  • Accesso ai propri dati (art. 15 GDPR).
  • Rettifica dei dati inesatti (art. 16 GDPR).
  • Cancellazione dei dati (art. 17 GDPR).
  • Limitazione del trattamento (art. 18 GDPR).
  • Portabilità dei dati in formato strutturato (art. 20 GDPR).
  • Opposizione al trattamento per legittimo interesse o marketing (art. 21 GDPR).
  • Reclamo all'autorità di controllo: Garante per la Protezione dei Dati Personali (garanteprivacy.it).

8. Minori

I servizi della società dell'informazione offerti tramite il sito sono rivolti, in linea generale, a utenti di età superiore alla soglia prevista per il consenso autonomo dal diritto italiano. Ai sensi dell'art. 8 GDPR, come integrato dall'art. 2-quinquies del d.lgs. 196/2003, il consenso al trattamento dei dati personali dei minori connesso all'offerta diretta di servizi della società dell'informazione è valido se il minore ha compiuto i 14 anni. Per i minori al di sotto di tale soglia, il trattamento è lecito solo se e nella misura in cui il consenso sia prestato o autorizzato dal titolare della responsabilità genitoriale.

La prenotazione di un servizio per un minore deve essere effettuata da un soggetto maggiorenne titolare della responsabilità genitoriale o da un tutore legale. Qualora si rilevi che dati personali di minori sono stati conferiti senza una valida base giuridica, il Titolare provvederà alla loro tempestiva cancellazione.

9. Modifiche all'informativa

La presente informativa può essere aggiornata. La versione corrente, il numero e la data di pubblicazione sono indicate in cima al documento. Modifiche sostanziali saranno comunicate via email agli utenti registrati.