Informativa sulla Privacy

Ultimo aggiornamento: 19 maggio 2026

Versione 3.0

1. Titolare del Trattamento

Wholeding Ltd, 11 Triq Giovanni Ricasoli, KKR106 Kalkara, Malta è il titolare del trattamento responsabile dei tuoi dati personali. Per qualsiasi richiesta in materia di privacy, contattaci all'indirizzo privacy@wholeding.eu.

2. Dati Personali Che Raccogliamo

Raccogliamo le seguenti categorie di dati personali:

Dati dell'account: nome completo, indirizzo email, data di nascita (per la verifica dell'età), lingua preferita e fuso orario.

Dati professionali del terapeuta: biografia professionale, specializzazioni, lingue parlate, anni di esperienza, foto del profilo, prezzo delle sessioni, programma di disponibilità e credenziali professionali.

Dati di prenotazione e sessione: data/ora della sessione, durata, formato (es. individuale o di coppia), stato della prenotazione, motivi di cancellazione e cronologia delle riprogrammazioni.

Dati di pagamento: importi dei pagamenti, valuta e riferimenti della transazione. Non memorizziamo i dati della tua carta — questi vengono elaborati direttamente da Stripe e non raggiungono mai i nostri server.

Dati di comunicazione: invii dai moduli di contatto e registri di consegna email per le notifiche transazionali (conferme di prenotazione, promemoria delle sessioni).

Dati del quiz di abbinamento: le tue risposte al nostro quiz di abbinamento con il terapeuta sono raccolte in forma anonima. Non possiamo collegare le risposte del quiz alla tua identità. Questi dati vengono utilizzati esclusivamente per abbinarti a un terapeuta adatto e per migliorare l'esperienza di abbinamento.

Dati tecnici: token di sessione di autenticazione, indirizzo IP (per il monitoraggio della sicurezza) e informazioni sul browser (per la protezione dai bot).

Dati analitici e pubblicitari (con consenso): quando accetti i cookie analitici e pubblicitari, raccogliamo eventi di interazione pseudonimi (pagine visitate, clic su elementi chiave di call-to-action, cambi di lingua, metriche di prestazione come i Core Web Vitals) e dati di conversione (quale clic Google Ads ha portato a una prenotazione). Per i client autenticati, questi dati sono associati a un ID utente interno opaco; amministratori e terapeuti sono esclusi da questo tracciamento. Consulta la nostra Cookie Policy per l'elenco completo dei cookie e dei dettagli di configurazione.

Registri amministrativi e di sicurezza: manteniamo registri di audit interni che documentano le azioni degli amministratori (con indirizzo IP e timestamp) e registri di eventi di sicurezza (tentativi di autenticazione, attivazioni del rate limit e attività sospette). Questi registri proteggono la piattaforma e ci aiutano a indagare sugli incidenti.

Dati di terapeuti prospettici: se sei invitato a unirti come terapeuta, conserviamo temporaneamente il tuo nome, indirizzo email e credenziali professionali per un massimo di 24 ore al fine di elaborare l'invito.

3. Come e Perché Utilizziamo i Tuoi Dati

Trattiamo i tuoi dati personali per le seguenti finalità e basi giuridiche:

Erogazione del servizio (base giuridica: contratto, Art. 6(1)(b)): creazione e gestione del tuo account, abbinamento con i terapeuti, pianificazione e gestione delle prenotazioni, elaborazione dei pagamenti e fornitura dei link delle sessioni.

Comunicazione (base giuridica: contratto, Art. 6(1)(b)): invio di conferme di prenotazione, promemoria delle sessioni e notifiche dell'account. Si tratta di email transazionali necessarie per il servizio.

Verifica dell'età (base giuridica: obbligo legale, Art. 6(1)(c)): verificare che tu soddisfi il requisito di età minima per utilizzare la piattaforma.

Tenuta dei registri finanziari (base giuridica: obbligo legale, Art. 6(1)(c)): conservazione dei registri di pagamento come richiesto dalla normativa fiscale e finanziaria.

Sicurezza e prevenzione delle frodi (base giuridica: legittimo interesse, Art. 6(1)(f)): monitoraggio di attività sospette, registrazione delle azioni amministrative, registrazione degli eventi di sicurezza e utilizzo della protezione dai bot sui moduli.

Analisi e misurazione delle conversioni (base giuridica: consenso, Art. 6(1)(a)): misurare come i visitatori scoprono e utilizzano la piattaforma, valutare le prestazioni delle campagne marketing e del percorso di prenotazione, e guidare miglioramenti all'esperienza utente. Questo trattamento avviene solo dopo che hai prestato il consenso tramite il banner dei cookie; puoi revocare il consenso in qualsiasi momento con la stessa facilità.

Miglioramento della piattaforma (base giuridica: legittimo interesse, Art. 6(1)(f)): analisi dei dati anonimi del quiz e dei modelli di utilizzo aggregati per migliorare l'algoritmo di abbinamento e l'esperienza utente.

4. Responsabili del Trattamento Terzi

Condividiamo i dati personali con i seguenti responsabili del trattamento terzi di fiducia, ciascuno dei quali tratta i dati per nostro conto in base a un Accordo sul Trattamento dei Dati:

Supabase (hosting database e autenticazione) — ospita tutti i dati della piattaforma nell'UE (Francoforte). Riceve: tutti i dati dell'account, i dati di prenotazione e le credenziali di autenticazione.

Stripe (elaborazione pagamenti) — elabora i pagamenti e i versamenti ai terapeuti. Riceve: indirizzo email, importi dei pagamenti e ID di riferimento delle prenotazioni. I dati della carta sono gestiti direttamente dal modulo di pagamento sicuro di Stripe e non toccano mai i nostri server. Stripe conserva i dati delle transazioni per un minimo di 7 anni come richiesto dalla normativa finanziaria — questi dati non possono essere cancellati alla chiusura dell'account.

Google (Calendar e Meet) — quando un terapeuta collega il proprio Google Calendar, creiamo eventi nel calendario per le sessioni prenotate. Riceve: data/ora della sessione, indirizzi email dei partecipanti e un riferimento di prenotazione. I link Google Meet vengono generati per le sessioni video. Questa integrazione è facoltativa e richiede il consenso esplicito del terapeuta tramite la schermata di consenso OAuth di Google.

Google (Analytics e Ads) — con il tuo consenso, utilizziamo Google Analytics 4 (G-N8J2V47W6K) e Google Ads (AW-18159589539) per misurare l'utilizzo del sito, le prestazioni e l'efficacia delle campagne a pagamento. Riceve: eventi di interazione pseudonimi, percorsi delle pagine, lingua, dimensione dello schermo, posizione approssimativa derivata da IP anonimizzato, un ID utente interno opaco per i client autenticati e dati di conversione. Google Signals è disabilitato, quindi non viene effettuato alcun tracciamento cross-device o demografico basato sui profili Google autenticati. Consulta la nostra Cookie Policy per tutti i dettagli, inclusi i cookie impostati e i periodi di conservazione.

Resend (consegna email) — consegna le email transazionali per nostro conto. Riceve: indirizzo email del destinatario, nome e contenuto dell'email (dettagli della prenotazione, orari delle sessioni). Resend non conserva il contenuto delle email dopo la consegna. I registri di consegna vengono conservati per circa 30 giorni.

Cloudflare (protezione dai bot) — fornisce protezione CAPTCHA sui moduli di registrazione, accesso e contatto tramite Cloudflare Turnstile. È un'alternativa ai CAPTCHA tradizionali focalizzata sulla privacy che non utilizza cookie di tracciamento. Cloudflare può raccogliere indirizzo IP e dati di interazione del browser per verificare che tu sia un essere umano.

Vercel (pianificato: monitoraggio prestazioni web) — Attualmente non attivo. Abbiamo integrato l'infrastruttura per Vercel Analytics e Speed Insights, ma al momento non viene inviato alcun dato a Vercel. Quando questo servizio sarà abilitato in futuro, sarà opt-in tramite il nostro banner di consenso ai cookie, e aggiorneremo questa Informativa sulla Privacy prima dell'attivazione.

Non vendiamo i tuoi dati personali a terzi. I dati vengono condivisi solo come descritto sopra e solo nella misura necessaria a fornire i nostri servizi.

5. Trasferimenti Internazionali di Dati

I tuoi dati sono principalmente conservati nell'UE (Francoforte) tramite Supabase. Alcuni dei nostri responsabili del trattamento hanno sede negli Stati Uniti:

  • Stripe — protetto dalle Clausole Contrattuali Standard (SCC) dell'UE e dal EU-US Data Privacy Framework
  • Google (Calendar, Meet, Analytics, Ads) — protetto dalle SCC UE e dal EU-US Data Privacy Framework
  • Resend — protetto dalle SCC UE
  • Cloudflare — protetto dalle SCC UE e dal EU-US Data Privacy Framework

Questi meccanismi garantiscono che i tuoi dati ricevano un livello adeguato di protezione come richiesto dal Capo V del GDPR.

6. Conservazione dei Dati

Conserviamo i tuoi dati personali per i seguenti periodi:

  • Dati dell'account e del profilo: conservati per l'intera durata del tuo account. Cancellati quando richiedi l'eliminazione dell'account.
  • Dati di prenotazione e sessione: conservati per l'intera durata del tuo account. Cancellati quando l'account di una delle parti viene rimosso.
  • Riferimenti di pagamento: conservati fino a 10 anni dopo la transazione, come richiesto dalla normativa fiscale e finanziaria. Si applica anche dopo la cancellazione dell'account.
  • Registri di consegna email: eliminati automaticamente dopo 7 giorni.
  • Registri di sicurezza e audit: conservati per 1 anno nei nostri sistemi operativi, poi archiviati per ulteriori 2 anni prima della cancellazione (3 anni in totale).
  • Dati degli eventi webhook: privati del contenuto dettagliato dopo l'elaborazione ed eliminati automaticamente dopo 30 giorni.
  • Inviti per i terapeuti: validi per 24 ore, poi eliminati automaticamente.
  • Dati anonimi del quiz: conservati a tempo indeterminato per migliorare l'esperienza di abbinamento. Poiché questi dati sono anonimi, non possono essere collegati a te e non sono influenzati dalla cancellazione dell'account.
  • Dati eventi Google Analytics: conservati per 14 mesi da Google, dopodiché i dati a livello di evento vengono eliminati automaticamente. I report aggregati restano disponibili oltre tale periodo.
  • Dati di attribuzione Google Ads: i cookie _gcl_* scadono dopo 90 giorni, dopodiché non possono più essere utilizzati per attribuire una conversione a un clic.

Quando elimini il tuo account, tutti i dati personali collegati al tuo account vengono rimossi permanentemente dai nostri sistemi, salvo nei casi in cui abbiamo un obbligo legale di conservarli (es. registri finanziari) o nei casi in cui un responsabile del trattamento terzo conservi i dati in modo indipendente (es. registri delle transazioni Stripe).

7. Cookie e Tracciamento

Utilizziamo i seguenti cookie e tecnologie di tracciamento:

Strettamente necessari (nessun consenso richiesto):

  • Cookie di sessione di autenticazione — gestiti da Supabase per mantenerti connesso
  • Preferenza di consenso ai cookie — registra se hai accettato o rifiutato i cookie facoltativi

Protezione dai bot (legittimo interesse):

  • Cloudflare Turnstile — un CAPTCHA focalizzato sulla privacy che non imposta cookie di tracciamento. Utilizzato sui moduli di registrazione, accesso e contatto per prevenire abusi automatizzati.

Analitici e pubblicitari (con consenso):

  • Google Analytics 4 — misura l'utilizzo e le prestazioni del sito. Imposta i cookie _ga, _ga_N8J2V47W6K e (in alcune configurazioni) _gid.
  • Google Ads — misura l'efficacia delle campagne a pagamento. Imposta i cookie _gcl_au, _gcl_aw e _gcl_dc.

Un unico interruttore di consenso nel banner dei cookie copre sia gli analitici sia la pubblicità. Utilizziamo Google Consent Mode v2, quindi prima del consenso questi tag vengono caricati in una modalità limitata e senza cookie e non trasmettono dati di misurazione o pubblicitari. Puoi revocare il consenso in qualsiasi momento. Tutti i dettagli — inclusi i periodi di scadenza e la configurazione dei dati — sono nella nostra Cookie Policy.

8. I Tuoi Diritti ai Sensi del GDPR

In qualità di interessato nell'UE/SEE, hai i seguenti diritti ai sensi del GDPR:

  • Diritto di accesso (Art. 15): richiedere una copia di tutti i dati personali che deteniamo su di te.
  • Diritto di rettifica (Art. 16): correggere i dati personali inesatti. Puoi aggiornare le informazioni del tuo profilo direttamente nelle impostazioni dell'account.
  • Diritto alla cancellazione (Art. 17): richiedere la cancellazione dei tuoi dati personali. Nota che alcuni dati potrebbero essere conservati nei casi in cui abbiamo un obbligo legale (es. registri finanziari).
  • Diritto di limitazione (Art. 18): richiedere che limitiamo il trattamento dei tuoi dati in determinate circostanze.
  • Diritto alla portabilità dei dati (Art. 20): ricevere i tuoi dati personali in un formato strutturato e leggibile da una macchina.
  • Diritto di opposizione (Art. 21): opporti al trattamento basato sul legittimo interesse. Cesseremo il trattamento salvo che vi siano motivi legittimi cogenti.
  • Diritto di revoca del consenso (Art. 7(3)): quando il trattamento si basa sul consenso (come per i cookie analitici e pubblicitari), puoi revocare il consenso in qualsiasi momento, con la stessa facilità con cui è stato prestato, tramite il controllo delle preferenze sui cookie.

Come esercitare i tuoi diritti: invia la tua richiesta a privacy@wholeding.eu. Risponderemo entro 30 giorni. Potremmo chiederti di verificare la tua identità prima di elaborare la richiesta.

Diritto di reclamo: se non sei soddisfatto del modo in cui gestiamo i tuoi dati, hai il diritto di presentare un reclamo all'autorità di protezione dei dati locale. Per Malta, è l'Office of the Information and Data Protection Commissioner (IDPC) all'indirizzo idpc.org.mt.

9. Sicurezza dei Dati

Implementiamo misure tecniche e organizzative adeguate per proteggere i tuoi dati personali, tra cui:

  • Tutti i dati sono crittografati in transito (HTTPS/TLS) e a riposo
  • I token sensibili (es. token di aggiornamento OAuth di Google) sono crittografati a livello applicativo prima della memorizzazione
  • Le policy di row-level security limitano l'accesso al database ai soli utenti autorizzati
  • Le azioni amministrative sono registrate in un audit trail con timestamp e indirizzi IP
  • L'autenticazione utilizza il flusso PKCE OAuth e l'hashing delle password con bcrypt
  • La protezione dai bot previene gli abusi automatizzati di moduli e autenticazione

10. Decisioni Automatizzate

Il nostro quiz di abbinamento con il terapeuta utilizza le tue risposte per suggerire terapeuti adatti. Questo abbinamento è eseguito su dati anonimi e produce una raccomandazione non vincolante — sei libero di scegliere qualsiasi terapeuta disponibile. Non vengono prese decisioni automatizzate con effetti legali o similmente significativi nei tuoi confronti.

11. Privacy dei Minori

Wholeding non è destinato a persone di età inferiore ai 18 anni. Raccogliamo la data di nascita per verificare l'idoneità in base all'età. Se veniamo a conoscenza di aver raccolto dati personali da una persona di età inferiore ai 18 anni, adotteremo misure per cancellare tali dati prontamente.

12. Modifiche a Questa Informativa

Potremmo aggiornare questa Informativa sulla Privacy di tanto in tanto. Quando apportiamo modifiche sostanziali, ti informeremo aggiornando la data in cima a questa pagina e, se opportuno, via email. Ti incoraggiamo a consultare periodicamente questa pagina.

13. Contatti

Per qualsiasi domanda su questa Informativa sulla Privacy o per esercitare i tuoi diritti in materia di protezione dei dati, contattaci all'indirizzo:

Wholeding Ltd
11 Triq Giovanni Ricasoli
KKR106 Kalkara, Malta

Email: privacy@wholeding.eu

Utilizziamo i cookie per garantire il corretto funzionamento della piattaforma. Puoi scegliere quali cookie opzionali consentire. Informativa sulla Privacy e Cookie Policy.