Axiomenu
← Torna alla homepage

Privacy Policy

Informativa ai sensi dell'art. 13 del Regolamento UE 2016/679 (GDPR) — Ultimo aggiornamento: [DATA]

1. Titolare del trattamento

Il Titolare del trattamento dei dati personali è:

[NOME AZIENDA]

Sede legale: [INDIRIZZO COMPLETO]

P.IVA: [PARTITA IVA]

Email privacy: [[email protected]]

2. Dati personali raccolti

Durante la registrazione e l'utilizzo del Servizio raccogliamo le seguenti categorie di dati:

  • Dati identificativi: nome e cognome (facoltativi), indirizzo email (obbligatorio).
  • Dati di contatto: numero di telefono (facoltativo).
  • Dati di accesso: password (conservata in forma cifrata con bcrypt), token di sessione.
  • Dati di navigazione: indirizzo IP, user agent, log di accesso.
  • Dati di pagamento: elaborati direttamente da PayPal e Stripe (non conserviamo dati di carte di credito).
  • Dati di utilizzo: menu creati, ordini, prenotazioni, immagini caricate.
  • Dati di consenso GDPR: timestamp e versione dell'accettazione dei Termini e della Privacy.

3. Finalità e base giuridica del trattamento

FinalitàBase giuridica
Creazione e gestione accountEsecuzione del contratto (art. 6(1)(b) GDPR)
Erogazione del Servizio (menu, ordini, prenotazioni)Esecuzione del contratto (art. 6(1)(b) GDPR)
Elaborazione pagamenti e fatturazioneEsecuzione del contratto + obbligo legale (art. 6(1)(b)(c) GDPR)
Sicurezza del sistema (prevenzione frodi, log)Legittimo interesse (art. 6(1)(f) GDPR)
Invio email transazionali (conferme, notifiche)Esecuzione del contratto (art. 6(1)(b) GDPR)
Adempimenti fiscali e contabiliObbligo legale (art. 6(1)(c) GDPR)
Tracciamento consenso GDPR (audit)Obbligo legale + legittimo interesse (art. 6(1)(c)(f) GDPR)

4. Destinatari dei dati

I dati personali possono essere comunicati alle seguenti categorie di destinatari, che agiscono in qualità di Responsabili del trattamento (art. 28 GDPR):

  • PayPal (Europe) S.à r.l. et Cie, S.C.A. — elaborazione pagamenti.
  • Stripe, Inc. — elaborazione pagamenti con carta di credito.
  • Resend, Inc. — invio email transazionali.
  • Provider di hosting — infrastruttura cloud per l'erogazione del Servizio.

I dati non vengono venduti né ceduti a terzi per finalità di marketing.

5. Trasferimenti extra-UE

Alcuni dei nostri fornitori (PayPal, Stripe, Resend) hanno sede negli Stati Uniti e potrebbero trasferire i dati al di fuori dello Spazio Economico Europeo. Tali trasferimenti avvengono nel rispetto del GDPR, in particolare mediante:

  • Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea (art. 46(2)(c) GDPR).
  • Garanzie appropriate richieste ai fornitori ai sensi dell'art. 46 GDPR.

6. Periodo di conservazione

  • Dati account: per tutta la durata del rapporto contrattuale e per 5 anni successivi alla chiusura dell'account.
  • Dati fiscali e di fatturazione: 10 anni ai sensi delle norme contabili e fiscali italiane.
  • Log di accesso e sicurezza: 12 mesi.
  • Dati di consenso GDPR: per tutta la durata dell'account e per 5 anni successivi.

7. Diritti dell'interessato

Ai sensi degli artt. 15-22 del GDPR, l'interessato ha il diritto di:

  • Accesso (art. 15): ottenere conferma del trattamento e copia dei dati.
  • Rettifica (art. 16): correggere dati inesatti o incompleti.
  • Cancellazione (art. 17): richiedere la cancellazione dei dati ("diritto all'oblio"), ove applicabile.
  • Limitazione (art. 18): richiedere la limitazione del trattamento in determinati casi.
  • Portabilità (art. 20): ricevere i propri dati in formato strutturato e leggibile da macchina.
  • Opposizione (art. 21): opporsi al trattamento basato sul legittimo interesse.
  • Revoca del consenso: ove il trattamento sia basato sul consenso, revocarlo in qualsiasi momento.

Per esercitare i propri diritti, contattare il Titolare all'indirizzo [[email protected]]. Il Titolare risponderà entro 30 giorni dalla ricezione della richiesta.

L'interessato ha inoltre il diritto di proporre reclamo all'Autorità di controllo italiana (Garante per la protezione dei dati personali — www.garanteprivacy.it).

8. Cookie e tecnologie di tracciamento

Il Servizio utilizza esclusivamente cookie tecnici necessari al funzionamento:

  • Cookie di sessione / autenticazione: HttpOnly, necessari per mantenere la sessione autenticata.
  • Cookie CSRF: protezione contro attacchi Cross-Site Request Forgery.

Non utilizziamo cookie di profilazione, cookie di tracciamento di terze parti né strumenti di analytics che raccolgano dati personali senza consenso.

9. Sicurezza dei dati

Il Fornitore adotta misure tecniche e organizzative adeguate per proteggere i dati personali da accesso non autorizzato, perdita, alterazione o divulgazione. In particolare:

  • Comunicazioni cifrate via TLS/HTTPS.
  • Password memorizzate in forma hash con bcrypt (salt 10 round).
  • Autenticazione a due fattori (MFA) disponibile per gli account ristoratore.
  • Blocco automatico dell'account dopo tentativi di accesso falliti.
  • Accesso ai dati limitato al personale autorizzato.

10. Modifiche alla Privacy Policy

Il Titolare si riserva il diritto di aggiornare la presente informativa. Modifiche sostanziali saranno notificate via email. La data di ultimo aggiornamento è indicata in cima al documento.