Come trattiamo i dati personali nell'ambito del servizio AurelTable, ai sensi del Regolamento UE 2016/679 (GDPR).
Il Titolare del trattamento è NB Studio di Nico Boccia, impresa individuale.
| Ragione sociale | NB Studio di Nico Boccia (impresa individuale) |
|---|---|
| P.IVA | 03154820645 |
| REA | AV-302763 |
| Sede legale | Via Torre 21, 83048 Montella (AV), Italia |
| PEC | [email protected] |
| Email per i diritti privacy | [email protected] |
| Email operativa | [email protected] |
Non è nominato un Responsabile della Protezione dei Dati (DPO), non essendo obbligatorio per la natura e dimensione del trattamento. Per qualsiasi richiesta in materia di privacy puoi scrivere a [email protected].
Raccolti tramite il modulo di iscrizione e durante l'uso del servizio: nome, cognome, ruolo, ragione sociale, email di login, telefono, cellulare, WhatsApp, PEC, P.IVA, codice fiscale, codice SDI, indirizzo del locale, indirizzo di fatturazione, password (conservata solo in forma cifrata/hash, mai in chiaro).
Menu, descrizioni e foto dei piatti, allergeni, prezzi, orari, logo e contenuti che il ristoratore pubblica.
Raccolti tramite il ristorante e per suo conto: per le prenotazioni (nome, telefono, WhatsApp, email, numero di ospiti, note), per gli ordini d'asporto/consegna (nome, telefono, email, indirizzo di consegna, articoli ordinati).
Log tecnici, statistiche di utilizzo (visualizzazioni pagina, tipo di dispositivo, lingua), indirizzo IP (usato per sicurezza e anti-abuso) e cookie (vedi la Cookie Policy).
| Finalità | Base giuridica (GDPR) |
|---|---|
| Fornire e gestire il servizio (account, menu, prenotazioni, ordini) | Esecuzione del contratto — art. 6.1.b |
| Fatturazione e adempimenti fiscali/contabili | Obbligo legale — art. 6.1.c |
| Trattamento dei dati dei clienti finali (prenotazioni/ordini) | Per conto del ristorante (siamo Responsabili — vedi sez. 4) |
| Statistiche e analytics | Consenso (cookie) / legittimo interesse — art. 6.1.a / 6.1.f |
| Comunicazioni di marketing | Consenso — art. 6.1.a |
| Sicurezza, prevenzione abusi e frodi | Legittimo interesse — art. 6.1.f |
È importante capire questa distinzione:
Di conseguenza, se sei un cliente finale (hai prenotato un tavolo o fatto un ordine) e vuoi esercitare i tuoi diritti su quei dati, il riferimento principale è il ristorante presso cui hai prenotato/ordinato; noi lo assistiamo come Responsabili.
Non vendiamo i dati a nessuno. Per far funzionare il servizio ci affidiamo a fornitori tecnologici selezionati, che agiscono come responsabili/sub-responsabili e trattano i dati solo per erogarci i loro servizi:
| Fornitore | Servizio | Ubicazione | Garanzia |
|---|---|---|---|
| Supabase (Supabase, Inc.) | Database e autenticazione. I dati sono ospitati su infrastruttura Amazon Web Services nella regione di Londra (eu-west-2). | Dati: Regno Unito (Londra). Società: extra-UE (Singapore). | Adeguatezza UK + Clausole Contrattuali Standard (SCC) |
| Amazon Web Services (AWS) | Infrastruttura cloud (server e archiviazione) su cui opera Supabase | Società: USA. Dati nella regione di Londra (UK). | SCC + adeguatezza UK |
| Cloudflare | Hosting, CDN, protezione anti-bot (Turnstile) e archiviazione delle immagini (Cloudflare R2) | USA | Clausole Contrattuali Standard (SCC) |
| Stripe | Pagamenti abbonamenti e caparre | USA / Irlanda | SCC |
| Resend | Invio email transazionali | USA | SCC |
| OpenAI | Lettura menu (OCR), assistente AI, traduzioni | USA | SCC |
I dati possono inoltre essere comunicati ad autorità pubbliche o consulenti (es. commercialista) quando previsto dalla legge.
I dati del database sono fisicamente ospitati nel Regno Unito (regione di Londra, su infrastruttura Amazon Web Services), Paese per cui la Commissione Europea ha adottato una decisione di adeguatezza. Alcuni fornitori hanno tuttavia sede al di fuori dell'Unione Europea — Supabase (Singapore) e Amazon Web Services, Cloudflare, Stripe, Resend, OpenAI (Stati Uniti): per questi il trasferimento è regolato dalle Clausole Contrattuali Standard approvate dalla Commissione Europea e/o da meccanismi equivalenti.
| Tipo di dato | Conservazione |
|---|---|
| Account ristoratore e configurazione del menu | Per tutta la durata del contratto; cancellati entro 30 giorni dalla disdetta |
| Dati di fatturazione e documenti fiscali | 10 anni (obbligo di legge fiscale) |
| Prenotazioni e ordini dei clienti finali | 12 mesi dalla data, poi cancellati |
| Statistiche di visualizzazione delle pagine | 90 giorni |
| Log tecnici di sicurezza | Massimo 12 mesi |
In qualsiasi momento puoi esercitare i diritti previsti dagli artt. 15–22 del GDPR:
Per esercitare questi diritti scrivi a [email protected]. Risponderemo entro 30 giorni. Se sei un cliente finale, ricordati che per prenotazioni/ordini il Titolare è il ristorante (vedi sez. 4).
Adottiamo misure tecniche e organizzative adeguate: cifratura delle connessioni (HTTPS), password conservate con algoritmo di hashing robusto, isolamento dei dati tra ristoranti diversi (multi-tenant), accesso ai dati solo tramite procedure controllate, protezioni anti-abuso e anti-bot. Nessun sistema è sicuro al 100%, ma lavoriamo costantemente per proteggere i dati.
Possiamo aggiornare questa informativa nel tempo. La versione vigente è sempre questa pagina, con la data di "ultimo aggiornamento" in alto. In caso di modifiche sostanziali ne daremo avviso adeguato.
