Informativa Privacy Clienti

La presente informativa è resa ai sensi degli articoli 13 e 14 del Regolamento (UE) 2016/679 (di seguito, «GDPR») e del Decreto Legislativo 30 giugno 2003 n. 196, come modificato dal Decreto Legislativo 10 agosto 2018 n. 101 (di seguito, «Codice Privacy»), in favore dei soggetti che, a qualsiasi titolo, accedono alla piattaforma sestosenso disponibile all'indirizzo «sestosenso.menu» (di seguito, il «Servizio») nella sua componente B2B, in qualità di titolari, gestori o collaboratori di strutture della ristorazione che impiegano il Servizio per la pubblicazione e gestione del menu digitale.

Il documento descrive le categorie di dati raccolti, le finalità del trattamento, le basi giuridiche, le modalità di conservazione e i diritti dell'Interessato, con riferimento ai trattamenti che il Titolare effettua nei confronti di account holder, gestori di ristorante, personale di sala e cucina, personale interno del Titolare e contatti commerciali (lead).

Per i trattamenti relativi ai Visitatori (i consumatori che fruiscono del menu digitale tramite scansione di codice QR) si rinvia all'informativa separata pubblicata alla pagina «/privacy-menu».

Titolare del trattamento è Andrea Pinaroli, persona fisica esercente attività imprenditoriale in forma di ditta individuale, P.IVA in regime forfettario, che eroga il servizio con il nome commerciale «sestosenso», con sede dell'attività in Via Giacomo Barzellotti, 15, 00136 Roma (RM), Italia, codice fiscale PNRNDR03H28H501T, partita IVA IT17297081006, indirizzo PEC andrea.pinaroli@pec.fiscozen.it.

Per qualsiasi richiesta, l'Interessato può rivolgersi al Titolare ai recapiti sopra indicati o all'indirizzo dedicato privacy@sestosenso.menu.

Si precisa che l'indirizzo di posta elettronica certificata andrea.pinaroli@pec.fiscozen.it è riservato esclusivamente alle comunicazioni provenienti da altri indirizzi PEC, conformemente alla configurazione del servizio PEC del Titolare e alla prassi di settore in materia di Posta Elettronica Certificata di cui al D.P.R. 11 febbraio 2005, n. 68; per l'esercizio dei diritti di cui agli articoli 15-22 del GDPR e per ogni richiesta in materia di protezione dei dati personali, l'Interessato che non disponga di un indirizzo PEC è invitato a utilizzare l'indirizzo di posta elettronica ordinaria privacy@sestosenso.menu.

Il Titolare non ha designato un Responsabile della Protezione dei Dati (DPO) ai sensi dell'art. 37 del GDPR, non ricorrendo i presupposti di obbligatorietà ivi previsti (valutazione di non obbligatorietà confermata internamente dal Titolare e soggetta a revisione periodica al variare del perimetro dei trattamenti).

Ai fini della presente informativa si intende per:

Titolare:

la persona fisica o giuridica indicata alla sezione 2 che determina le finalità e i mezzi del trattamento, ai sensi dell'art. 4, n. 7, del GDPR.

Interessato:

la persona fisica identificata o identificabile cui si riferiscono i dati, ai sensi dell'art. 4, n. 1, del GDPR.

Trattamento:

qualsiasi operazione applicata a dati personali, automatizzata o meno, ai sensi dell'art. 4, n. 2, del GDPR (raccolta, registrazione, conservazione, modifica, consultazione, comunicazione, cancellazione, ecc.).

Cliente:

la persona giuridica o ditta individuale che, in qualità di esercente l’attività di ristorazione, sottoscrive un abbonamento al Servizio.

Servizio:

la piattaforma software-as-a-service sestosenso, accessibile all’indirizzo «sestosenso.menu», per la gestione del menu digitale fruito dai consumatori tramite codice QR.

Sub-processore:

il responsabile del trattamento ulteriore di cui il Titolare si avvale ai sensi dell'art. 28, par. 2 e 4, del GDPR.

GDPR:

il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016.

Il Titolare tratta dati personali appartenenti alle seguenti categorie:

• titolari, soci, legali rappresentanti e amministratori di strutture della ristorazione che sottoscrivono il Servizio («owner»);
• gestori delegati e responsabili di reparto autorizzati dall'owner («manager»);
• personale di cucina e di sala con privilegi limitati («cucina»);
• personale interno del Titolare («company admin») incaricato di gestire la piattaforma, fornire supporto, condurre attività commerciali e di marketing;
• contatti commerciali («lead» o «prospect») il cui recapito è stato acquisito tramite prospezione commerciale, eventi, referral o compilazione di form;
• referenti del Cliente che interagiscono con il Titolare per assistenza, fatturazione, stampa di materiale promozionale (portamenu, QR card) o altre richieste commerciali.

Il Titolare tratta esclusivamente dati personali comuni. Non vengono trattate categorie particolari di dati personali ai sensi dell'art. 9 del GDPR, né dati relativi a condanne penali e reati ai sensi dell'art. 10 del GDPR.

Le categorie di dati trattati sono, in particolare, le seguenti:

5.1. Dati anagrafici e di contatto dell'account

Nome, cognome, indirizzo di posta elettronica, password (conservata esclusivamente in forma di hash crittografico bcrypt, mai in chiaro), recapito telefonico, eventuale autenticazione a due fattori (2FA) se attivata dall'Interessato, data e ora dell'ultimo accesso, preferenze di comunicazione (separatamente per comunicazioni marketing, aggiornamenti di prodotto, inviti del team).

5.2. Dati relativi al ristorante

Denominazione visualizzata, indirizzo postale, recapito telefonico, orari di apertura, fotografia profilo, prezzo del coperto, canale di acquisizione, codice cliente sul provider di pagamento («stripe_customer_id»), ruolo dell'account in relazione al ristorante (owner / manager / cucina) gestito tramite l'entità «AccountRestaurant».

5.3. Dati di fatturazione e abbonamento

Piano di abbonamento sottoscritto (tier: free / base / sommelier add-on / premium legacy), stato dell'abbonamento, prezzo mensile, identificativo dell'abbonamento sul provider di pagamento («stripe_subscription_id»), copia (snapshot) dei dati di fatturazione restituiti dal provider di pagamento («BillingInvoice» con stripe_invoice_id, importi, date di scadenza, esito).

5.4. Dati di comunicazione di servizio

Indirizzi email mittente e destinatario, identificativo dell'account, data di invio, categoria della comunicazione (transazionale, di sistema, di benvenuto), token e termini di scadenza relativi al ripristino della password («PasswordResetToken») e agli inviti del team. Il token di invito ai membri staff (modello StaffInvitationToken) è collegato all'Account dell'invitato tramite chiave esterna account_id. L'indirizzo email dell'invitato risiede nel record Account referenziato; il token contiene account_id, restaurant_id, ruolo di destinazione (role) e termini di scadenza. Sono altresì conservati i log degli invii email («EmailSendLog»).

5.5. Dati di marketing e CRM

Stato del lead nel funnel commerciale, note CRM compilate dal personale interno (campo libero), tag e segmenti di appartenenza, log delle attività e delle interazioni con il Titolare, sorgente dell'acquisizione, preferenze espresse circa comunicazioni marketing e aggiornamenti di prodotto.

I dati relativi ai contatti commerciali (lead) sono raccolti dal Titolare presso le seguenti fonti: (i) direttamente dall'Interessato tramite compilazione di moduli di contatto, calcolatrici di stima e simili strumenti pubblicati sul Sito; (ii) presso registri pubblici delle imprese (Camere di Commercio, partite IVA pubblicate); (iii) presso elenchi commerciali e referral di Clienti esistenti del Titolare; (iv) presso eventi di settore (fiere, conferenze, demo). Nessuno di tali dati proviene da categorie particolari di dati personali ai sensi dell'art. 9 del GDPR, né da fonti che ne facciano presumere la riservatezza. La presente disclosure soddisfa l'obbligo di cui all'art. 14, paragrafo 2, lettera f), del GDPR.

5.6. Dati di sicurezza e di sessione

Indirizzo IP del client: elaborato a livello infrastrutturale dai Responsabili del trattamento (cfr. §3 §6 dell'informativa Visitatori e §7) e non persistito a livello applicativo dal Titolare. Identificativo della sessione, token JWT di autenticazione (con scadenza breve), log applicativi degli eventi di sicurezza (login, logout, cambio password, attivazione 2FA, fallimenti di autenticazione).

5.7. Dati anti-abuso e anti-frode

Hash o forma anonimizzata di indirizzo email e/o numero di telefono («FunnelDedupSignal») utilizzati esclusivamente per identificare tentativi reiterati o coordinati di sfruttamento di promozioni, prove gratuite o riduzioni, nonché per prevenire la creazione di account multipli a scopo abusivo. Su cancellazione dell'Account il riferimento all'account viene rimosso (constraint ON DELETE SET NULL); il valore di hash resta in forma pseudonimizzata fino al naturale scadere del periodo di retention (12 mesi).

5.8. Dati relativi a richieste accessorie

Indirizzo di consegna, recapito telefonico e indirizzo email di contatto comunicati al fine di ricevere materiale fisico promozionale (stampe di QR code, portamenu, locandine) o servizi accessori richiesti dal Cliente.

5.9. Dati raccolti durante il funnel di acquisizione

Nelle fasi precedenti la creazione di un Account, il Titolare può raccogliere e conservare temporaneamente i seguenti dati, finalizzati a prevenire abusi, completare la procedura di onboarding e supportare comunicazioni successive:

• Codici OTP via SMS (modello OTPAttempt): numero di telefono in formato E.164, hash del codice OTP, contatori di tentativi falliti e timestamp di blocco. Finalità: verifica del numero telefonico in fase di registrazione e prevenzione di abusi automatizzati. Conservazione: TTL del codice (dieci minuti) e blocco temporaneo (quindici minuti); record cancellati o anonimizzati entro 24 ore.
• Upload temporanei (modello TempUpload): metadati e digest del contenuto di file caricati prima della creazione dell'Account (tipicamente immagini di menu o PDF). Finalità: deduplicazione e prevenzione di carichi duplicati. Conservazione: 24 ore.
• Stime calcolatore landing page (modello LeadCalculatorEstimate): input forniti dal potenziale Cliente alla calcolatrice di stima dei costi (numero di coperti, percentuale vino, ecc.), eventualmente collegati all'Account a registrazione avvenuta. Finalità: personalizzazione delle comunicazioni di onboarding e supporto commerciale. Base giuridica: legittimo interesse del Titolare ai sensi dell'art. 6, par. 1, lett. f), del GDPR; in caso di comunicazioni di marketing diretto verso prospect non clienti, consenso esplicito ai sensi dell'art. 6, par. 1, lett. a), del GDPR.
• Codici 2FA via email (modello TwoFactorCode): indirizzo email, codice di verifica, scopo della verifica e timestamp di scadenza. Finalità: autenticazione a due fattori. Conservazione: TTL del codice (quindici minuti).
• Registro disiscrizioni (modello EmailUnsubscribe): indirizzo email e timestamp di disiscrizione. Finalità: rispetto delle scelte di opt-out e mantenimento del registro delle disiscrizioni ai sensi del Regolamento (UE) 2016/679 e dell'art. 130 del D.Lgs. 196/2003. Conservazione: a tempo indeterminato (necessaria per garantire la persistenza dell'opt-out).

Ciascuna finalità di trattamento è ancorata a una specifica base giuridica ai sensi dell'art. 6 del GDPR, come di seguito dettagliato.

6.1. Erogazione del Servizio

I dati di cui alle sezioni 5.1, 5.2, 5.3, 5.4, 5.6 sono trattati per consentire registrazione, autenticazione e operatività del Cliente, sottoscrizione e gestione dell'abbonamento, pubblicazione del menu, gestione dei ruoli interni, invito di collaboratori, rinnovo automatico, fatturazione e comunicazioni di servizio inerenti al rapporto contrattuale.

Base giuridica: esecuzione del contratto o di misure precontrattuali, ai sensi dell'art. 6, par. 1, lett. b), del GDPR.

Natura del conferimento: il conferimento dei dati per le presenti finalità è necessario di natura contrattuale: il rifiuto di fornirli comporta l'impossibilità per il Titolare di concludere il contratto di abbonamento, di erogare il Servizio, di emettere i documenti contabili o di fornire assistenza. Il conferimento dei dati richiesti ai sensi del paragrafo 6.2 (obblighi fiscali e contabili) è invece di natura legale ai sensi dell'art. 2220 del Codice Civile e della normativa fiscale applicabile: il rifiuto compromette l'adempimento di obblighi di legge in capo al Titolare. Per ogni altra finalità di cui al presente paragrafo 6 il conferimento è facoltativo e l'eventuale rifiuto non pregiudica la fruizione del Servizio.

6.2. Obblighi fiscali, contabili e amministrativi

I dati di fatturazione (sezione 5.3) e i relativi documenti contabili sono trattati per l'adempimento degli obblighi di legge in materia tributaria e contabile.

Base giuridica: art. 6, par. 1, lett. c), del GDPR, in relazione all'art. 2220 del Codice Civile (conservazione delle scritture contabili) e alla normativa fiscale tempo per tempo vigente.

6.3. Sicurezza, prevenzione di frodi e abusi (FunnelDedupSignal)

I dati di cui alle sezioni 5.6 e 5.7 sono trattati per garantire la sicurezza della piattaforma, prevenire accessi non autorizzati, individuare tentativi di registrazione coordinata finalizzati allo sfruttamento abusivo di promozioni, gestire incidenti.

Base giuridica: legittimo interesse del Titolare, ai sensi dell'art. 6, par. 1, lett. f), del GDPR, alla tutela del patrimonio aziendale, alla continuità del Servizio e alla parità di trattamento dei Clienti onesti.

Test di bilanciamento (sintesi): l'interesse è proporzionato e necessario; i dati anti-abuso sono in forma di hash, non utilizzati per finalità diverse, conservati per il tempo strettamente necessario (cfr. sezione 10); l'impatto sull'Interessato è minimo, attesa l'assenza di profilazione personalizzata e l'anonimizzazione automatica entro 12 mesi.

6.4. Comunicazioni di servizio

L'invio di comunicazioni inerenti il Servizio (conferme di registrazione, notifiche di pagamento, avvisi di scadenza, avvisi di sicurezza, modifiche contrattuali) avviene in costanza del rapporto contrattuale e non richiede consenso ulteriore.

Base giuridica: art. 6, par. 1, lett. b), del GDPR.

6.5. Marketing diretto su servizi analoghi a Clienti esistenti (soft opt-in)

A favore dei Clienti già acquisiti, il Titolare può inviare via email comunicazioni promozionali su servizi propri analoghi, in conformità all'art. 130, comma 4, del Codice Privacy.

Base giuridica: art. 6, par. 1, lett. f), del GDPR, in combinato disposto con l'art. 130, comma 4, del Codice Privacy.

In ciascuna comunicazione l'Interessato è informato del diritto di opporsi senza oneri, in qualsiasi momento, tramite meccanismo di disiscrizione semplice (link unsubscribe conforme alla RFC 8058 «one-click unsubscribe»). A seguito dell'opposizione, l'invio cessa.

6.6. Marketing a prospect (consenso esplicito)

Nei confronti di soggetti non clienti, l'invio di comunicazioni promozionali avviene esclusivamente previa raccolta di un consenso libero, specifico, informato e inequivocabile.

Base giuridica: art. 6, par. 1, lett. a), del GDPR.

Il consenso è raccolto tramite azione affermativa esplicita (casella non preselezionata sul form di lead generation), è in qualsiasi momento revocabile con le modalità della sezione 13, e la revoca non pregiudica la liceità del trattamento effettuato prima della revoca.

L'informativa di cui agli articoli 13 e 14 del GDPR è messa a disposizione del lead all'atto del primo contatto commerciale e, in ogni caso, entro un mese dall'acquisizione del dato, ai sensi dell'articolo 14, paragrafo 3, del GDPR.

6.7. CRM e attività di lead nurturing

I dati di cui alla sezione 5.5 sono trattati per gestire la relazione commerciale, tracciare le interazioni, annotare informazioni di follow-up, segmentare il database per comunicazioni mirate (nei limiti dei consensi raccolti o del soft opt-in).

Base giuridica: legittimo interesse del Titolare alla gestione efficiente delle attività commerciali e di assistenza, ai sensi dell'art. 6, par. 1, lett. f), del GDPR.

Test di bilanciamento (sintesi): l'interesse del Titolare è proporzionato e necessario all'organizzazione interna e all'evasione di richieste dei Clienti; le note CRM sono accessibili al solo personale autorizzato e sono cancellate o anonimizzate al termine della relazione; l'impatto sull'Interessato è limitato dall'esistenza dei diritti di accesso (art. 15) e di opposizione (art. 21), esercitabili in qualsiasi momento ai sensi della sezione 11.

Il trattamento dei dati personali avviene mediante strumenti elettronici, con misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, ai sensi dell'art. 32 del GDPR.

In particolare, il Titolare adotta le seguenti misure:

• Cifratura in transito: tutte le comunicazioni tra browser/client e server avvengono esclusivamente tramite protocollo HTTPS con certificati TLS validi e aggiornati;
• Hashing delle password: le password degli account non sono mai conservate in chiaro, ma esclusivamente in forma di hash crittografico generato tramite algoritmo bcrypt con fattore di costo adeguato;
• Token di autenticazione a breve scadenza: le sessioni autenticate sono governate da token JWT con tempo di vita predefinito di 15 minuti; il rinnovo avviene tramite refresh token con rotazione, riducendo la finestra di esposizione in caso di compromissione;
• Autenticazione a due fattori (2FA): la piattaforma offre l'attivazione facoltativa del secondo fattore di autenticazione, fortemente consigliata agli owner e ai manager;
• Log degli accessi e degli eventi di sicurezza: il Titolare conserva log applicativi degli eventi rilevanti (login, logout, cambio password, attivazione/disattivazione 2FA, tentativi di autenticazione falliti) per il tempo necessario al monitoraggio e alla risposta agli incidenti;
• Controllo degli accessi e segregazione dei ruoli: l'accesso ai dati personali è limitato al personale autorizzato e configurato attraverso un sistema di ruoli per ristorante (owner, manager, cucina) e di un ruolo separato per il personale interno del Titolare (company admin);
• Backup e continuità operativa (business continuity): i dati sono oggetto di backup periodici presso il fornitore dell'infrastruttura di database, secondo politiche di retention definite contrattualmente;
• Sviluppo sicuro: il codice della piattaforma è oggetto di revisione interna e di aggiornamento regolare delle dipendenze software, con valutazione delle vulnerabilità note (CVE) sui componenti di terze parti.

Dichiarazione di trasparenza sui token JWT in localStorage. Il Titolare ritiene doveroso informare l'Interessato che, allo stato attuale, il token JWT di autenticazione è conservato nel «localStorage» del browser. Tale modalità, pur diffusa nelle moderne applicazioni web a singola pagina, presenta limitazioni note rispetto agli attacchi di «cross-site scripting» (XSS), che — in caso di compromissione dello script eseguito nella pagina — potrebbero consentire l'esfiltrazione del token.

Il Titolare mitiga tale rischio tramite sviluppo sicuro, controllo delle dipendenze, sanitizzazione dell'input e Content Security Policy restrittive ove applicabili, e si impegna a migrare in versione futura verso cookie con attributi «HttpOnly», «Secure» e «SameSite», che offrono un perimetro maggiore. La presente dichiarazione è resa in ossequio al principio di trasparenza ex art. 5, par. 1, lett. a), del GDPR.

Il personale autorizzato al trattamento opera sulla base di istruzioni scritte e riceve formazione adeguata in materia di protezione dei dati e sicurezza delle informazioni.

I dati personali possono essere comunicati, nell'ambito delle finalità di cui alla sezione 6, alle seguenti categorie di destinatari:

• personale autorizzato del Titolare (company admin), incluse le funzioni commerciali, di assistenza, di amministrazione e di sviluppo, nei limiti del principio della stretta necessità conoscitiva (cd. need-to-know);
• responsabili del trattamento esterni, nominati dal Titolare ai sensi dell'art. 28 del GDPR, che erogano componenti tecnologiche, infrastrutturali o di servizio (di seguito, «sub-processori»);
• consulenti professionali (commercialista, legale, consulente del lavoro) e revisori del Titolare, nei limiti necessari all'adempimento dei rispettivi incarichi;
• autorità giudiziarie, di vigilanza, di controllo e di pubblica sicurezza, in adempimento di obblighi di legge o su loro legittima richiesta.

L'elenco completo, aggiornato e puntuale dei sub-processori, comprensivo del tipo di servizio erogato, della sede di stabilimento, delle eventuali sub-localizzazioni dei dati e degli strumenti di trasferimento applicati, è pubblicato e mantenuto aggiornato alla pagina «/processori» del sito del Titolare. L'Interessato è invitato a consultare tale pagina per le informazioni di dettaglio.

I sub-processori attualmente attivi sono, in sintesi: Stripe Payments Europe Ltd (Irlanda, gruppo Stripe Inc. — Stati Uniti d'America) per la gestione dei pagamenti e della fatturazione; Resend Inc. (Stati Uniti d'America) per la consegna delle comunicazioni email; Render Services Inc. (regione attiva del database e dei container: Francoforte, Germania — SEE; sede della casa madre: Stati Uniti d'America) per il deployment e l'hosting del backend e del database PostgreSQL principale del Servizio; Supabase Inc. (regione attiva del progetto: Francoforte, Germania — SEE; sede della casa madre: Stati Uniti d'America) per lo storage delle immagini e dei contenuti multimediali dei menu; Vercel Inc. (Stati Uniti d'America) per il deployment e l'hosting del frontend; Cloudflare, Inc. (Stati Uniti d'America; storage di backup R2 in giurisdizione UE) per i backup cifrati offsite del database e delle immagini, di cui il sub-processore non detiene le chiavi di cifratura (cifratura lato client); Bird B.V. (Amsterdam, Paesi Bassi — SEE) per l'invio di SMS transazionali di verifica del numero di telefono (codice OTP) in fase di registrazione.

Sub-processori attivi su base di consenso, limitatamente alle pagine di marketing e istituzionali del sito (mai sulle pagine del menu digitale fruite dai consumatori): Meta Platforms Ireland Ltd (Dublino, Irlanda — SEE; gruppo Meta Platforms, Inc., Stati Uniti d'America) per il Meta Pixel e la Conversions API; Google Ireland Ltd (Dublino, Irlanda — SEE; gruppo Google LLC / Alphabet Inc., Stati Uniti d'America) per Google Ads gtag ed Enhanced Conversions. Tali strumenti operano esclusivamente previa raccolta del consenso dell'Interessato tramite il banner cookie e trattano identificativi del visitatore e cookie nonché, per la Conversions API e le Enhanced Conversions, dati di contatto (email e/o numero di telefono) in forma sottoposta ad hashing.

Sub-processori attivati esclusivamente nel caso in cui il Cliente opti per l'utilizzo della pipeline opzionale di estrazione automatica dei dati dal menu (OCR) e/o della funzione di traduzione automatica delle voci del menu: Lambda Labs Inc. (Stati Uniti d'America); OpenAI Ireland Ltd e OpenAI L.L.C. (Stati Uniti d'America); xAI Corp (Stati Uniti d'America).

Sub-processori pianificati ma non ancora attivati alla data di emissione della presente informativa: PostHog Inc. (Stati Uniti d'America). L'eventuale attivazione di tale sub-processore sarà preceduta dall'aggiornamento della presente informativa e della pagina «/processori».

Alcuni dei sub-processori indicati alla sezione 8 hanno sede o effettuano operazioni di trattamento in Paesi situati al di fuori dello Spazio Economico Europeo, in particolare negli Stati Uniti d'America.

Per ciascun trasferimento, il Titolare adotta strumenti di garanzia previsti dal Capo V del GDPR. Per tutti i sub-processori statunitensi attivi alla data della presente informativa, il fondamento giuridico del trasferimento è duplice (salvo verifica caso per caso della certificazione DPF di ciascun sub-processore, condotta dal Titolare prima della contrattualizzazione del rapporto con il Responsabile):

• Decisione di adeguatezza EU-US Data Privacy Framework: ai sensi della Decisione di esecuzione (UE) 2023/1795 della Commissione del 10 luglio 2023, confermata in sede giurisdizionale dal Tribunale dell'Unione europea con sentenza del 3 settembre 2025, causa T-553/23 (Latombe c. Commissione) (sentenza non definitiva: il ricorrente ha proposto impugnazione dinanzi alla Corte di Giustizia il 31 ottobre 2025; alla data di emissione della presente informativa la Decisione 2023/1795 resta in vigore), i trasferimenti verso destinatari statunitensi certificati nel quadro del «Data Privacy Framework» sono ammessi senza necessità di garanzie supplementari, in quanto la Commissione ha riconosciuto un livello di protezione sostanzialmente equivalente a quello garantito nell'Unione;
• Clausole Contrattuali Standard (SCC): in via prudenziale e in funzione sussidiaria — per coprire i casi in cui la certificazione DPF dovesse essere sospesa, revocata o non più applicabile al singolo trattamento — il Titolare ha stipulato con ciascun sub-processore statunitense le Clausole Contrattuali Standard di cui alla Decisione di esecuzione (UE) 2021/914 della Commissione del 4 giugno 2021, nei moduli applicabili.

Con specifico riferimento a Render Services Inc., che ospita il database PostgreSQL principale del Servizio e i container applicativi, la regione attiva è Francoforte (Germania), all'interno del SEE. La localizzazione primaria dei dati strutturati e dei dati personali degli Interessati conservati nel database è pertanto intra-SEE e non integra un trasferimento extra-SEE per la componente di database. Eventuali trattamenti residuali di supporto e amministrazione svolti dalla casa madre statunitense del sub-processore restano coperti, in via sussidiaria, dalle SCC 2021/914 e dalla certificazione DPF di Render Services Inc.

Con specifico riferimento a Supabase Inc., che fornisce esclusivamente lo storage delle immagini e dei contenuti multimediali dei menu, la regione di hosting del progetto del Titolare è Francoforte (Germania), all'interno del SEE. La localizzazione primaria di tali contenuti è pertanto intra-SEE e non integra un trasferimento extra-SEE per la componente di storage. Eventuali trattamenti residuali di supporto e amministrazione svolti dalla casa madre statunitense del sub-processore restano coperti, in via sussidiaria, dalle SCC 2021/914 e dalla certificazione DPF di Supabase Inc.

Con specifico riferimento a Cloudflare, Inc., che fornisce lo storage di backup offsite (object storage R2), il bucket dei backup è ubicato in giurisdizione UE. I backup del database e delle immagini sono cifrati lato client e il sub-processore non dispone delle relative chiavi di cifratura, trattando quindi esclusivamente dati cifrati non leggibili; per ogni trattamento residuale riconducibile alla casa madre statunitense restano invocabili, in via sussidiaria, la certificazione DPF e le SCC 2021/914.

L'Interessato può richiedere copia delle garanzie adottate scrivendo a «privacy@sestosenso.menu».

I dati personali sono conservati per il tempo strettamente necessario al perseguimento delle finalità per cui sono stati raccolti, nel rispetto del principio di limitazione della conservazione (art. 5, par. 1, lett. e), del GDPR), secondo i seguenti criteri:

• Account attivo: i dati dell'account e quelli relativi al ristorante (sezioni 5.1, 5.2, 5.6) sono conservati per tutta la durata del rapporto contrattuale e per ulteriori 24 mesi dalla sua cessazione, al fine di consentire una eventuale riattivazione su richiesta dell'Interessato e di gestire eventuali contestazioni;
• Dati contabili e fiscali (fatture, registri, lettere commerciali): conservati per 10 (dieci) anni decorrenti dalla data di emissione o ricezione per le fatture e la corrispondenza commerciale, ai sensi dell'art. 2220 del Codice Civile e della normativa fiscale applicabile.
• Token di reset password e di invito al team (sezione 5.4): sono conservati per il tempo di vita del token (TTL operativo) e per ulteriori 30 giorni a fini di tracciabilità e di gestione degli incidenti;
• FunnelDedupSignal (sezione 5.7): le forme di hash o pseudonimizzate sono mantenute per un massimo di 12 mesi dall'ultimo evento associato, decorso il quale sono oggetto di anonimizzazione automatica, in modo da escludere ogni possibilità di re-identificazione;
• EmailSendLog (sezione 5.4): i metadati di invio delle email sono conservati per 36 mesi a fini di tracciabilità della consegna, gestione dei reclami e adempimento di richieste di accesso;
• Dati di marketing trattati sulla base del consenso (sezione 5.5): sono conservati fino alla revoca del consenso da parte dell'Interessato, fatto salvo l'obbligo di conservare prova della liceità del trattamento per un congruo periodo successivo alla revoca;
• Log applicativi e di sicurezza (sezione 5.6): sono conservati per un massimo di 6 mesi, salvo necessità di conservazione ulteriore in caso di incidenti di sicurezza o di richieste delle autorità;
• Dati relativi a richieste accessorie (sezione 5.8): sono conservati per il tempo necessario all'evasione della richiesta, e successivamente nei limiti della normativa fiscale e civilistica applicabile.

Al termine del periodo di conservazione, i dati sono cancellati o anonimizzati in modo irreversibile, salvo i casi in cui una legge ne imponga la conservazione ulteriore.

L'Interessato ha il diritto di esercitare, nei confronti del Titolare, i diritti previsti dagli articoli da 15 a 22 del GDPR. In particolare:

• Diritto di accesso (art. 15): ottenere conferma che sia in corso un trattamento di dati che lo riguardano e accedere ai dati e alle informazioni di cui all'art. 15, par. 1, del GDPR (finalità, categorie, destinatari, periodi di conservazione, diritti, fonte, esistenza di processi decisionali automatizzati).
• Diritto di rettifica (art. 16): ottenere la rettifica dei dati inesatti e l'integrazione di quelli incompleti. Molte rettifiche sono eseguibili in autonomia tramite la sezione di gestione del profilo.
• Diritto alla cancellazione («diritto all'oblio», art. 17): ottenere la cancellazione dei dati nei casi previsti dall'art. 17, par. 1, del GDPR. La piattaforma mette a disposizione l'endpoint «DELETE /api/accounts/me» (cancellazione previa verifica della password) e «GET /api/accounts/me/deletion-check» per verificare anticipatamente l'eleggibilità. La cancellazione opera nei limiti degli obblighi di conservazione di legge (cfr. sezione 10).
• Diritto di limitazione (art. 18): ottenere la limitazione del trattamento nei casi previsti dall'art. 18, par. 1, del GDPR.
• Diritto alla portabilità (art. 20): ricevere in formato strutturato, di uso comune e leggibile da dispositivo automatico i dati forniti, e trasmetterli ad altro titolare, ove tecnicamente fattibile.
• Diritto di opposizione (art. 21): opporsi in qualsiasi momento, per motivi connessi alla propria situazione particolare, al trattamento fondato sul legittimo interesse (art. 6, par. 1, lett. f), GDPR). L'opposizione al marketing diretto è esercitabile in qualsiasi momento e senza motivazione: per il marketing via email tramite il link di disiscrizione (RFC 8058 «one-click unsubscribe»), che chiama gli endpoint «GET /api/email/unsubscribe» e «POST /api/email/unsubscribe»; per la gestione granulare delle preferenze, tramite «GET /api/email/preferences» e «POST /api/email/preferences».
• Diritto a non essere sottoposto a decisioni automatizzate (art. 22): cfr. sezione 14.
• Diritto di revoca del consenso (art. 7, par. 3): revocare in qualsiasi momento il consenso prestato, con le modalità della sezione 13. La revoca non pregiudica la liceità del trattamento effettuato prima della revoca.

L'Interessato può esercitare i diritti di cui alla sezione 11 inviando una comunicazione scritta al Titolare ai recapiti indicati alla sezione 2, in particolare all'indirizzo «privacy@sestosenso.menu».

Per i diritti che dispongono di un canale tecnico dedicato sulla piattaforma (cancellazione dell'account, gestione delle preferenze email, disiscrizione marketing), l'Interessato è invitato a privilegiare tali canali, che assicurano un'evasione immediata e tracciata della richiesta.

La richiesta è esaminata gratuitamente, salvo il caso in cui essa risulti manifestamente infondata o eccessiva, nel qual caso il Titolare potrà addebitare un contributo spese ragionevole o rifiutare di darvi seguito, ai sensi dell'art. 12, par. 5, del GDPR.

Il Titolare fornisce riscontro all'Interessato senza ingiustificato ritardo e, in ogni caso, entro un mese dal ricevimento della richiesta. Tale termine può essere prorogato di due mesi, ove necessario, tenuto conto della complessità e del numero delle richieste, ai sensi dell'art. 12, par. 3, del GDPR; in tal caso l'Interessato è informato della proroga e dei relativi motivi entro un mese dal ricevimento della richiesta.

Il Titolare potrà richiedere all'Interessato informazioni aggiuntive necessarie a confermarne l'identità, in caso di ragionevole dubbio, ai sensi dell'art. 12, par. 6, del GDPR.

L'Interessato ha il diritto di revocare in qualsiasi momento il consenso prestato per le finalità che lo richiedono (in particolare, marketing a prospect ex art. 6, par. 1, lett. a), del GDPR).

La revoca può essere esercitata, a scelta dell'Interessato:

• tramite il link di disiscrizione presente in ciascuna comunicazione marketing inviata via email (one-click unsubscribe conforme alla RFC 8058);
• tramite l'area di gestione delle preferenze di comunicazione disponibile nell'account autenticato;
• mediante richiesta scritta inviata a «privacy@sestosenso.menu».

La revoca produce effetto in tempi tecnici brevi e comporta l'immediata cessazione dell'invio di comunicazioni marketing all'indirizzo dell'Interessato. La revoca non pregiudica la liceità del trattamento effettuato sulla base del consenso prima della revoca stessa, né impedisce al Titolare di trattare i dati per finalità diverse fondate su altre basi giuridiche (es. esecuzione del contratto, adempimento di obblighi di legge).

Il Titolare non effettua decisioni interamente automatizzate, comprese quelle basate sulla profilazione, che producano effetti giuridici o che incidano in modo analogo significativo sull'Interessato, ai sensi dell'art. 22 del GDPR.

In particolare, le decisioni inerenti l'attivazione, la sospensione o la cessazione dell'abbonamento, la gestione di reclami e le decisioni commerciali sono sempre assunte da personale incaricato del Titolare, eventualmente supportato da indicatori automatici a fini di efficienza, ma in ogni caso con intervento umano significativo.

L'eventuale pipeline opzionale di estrazione automatica dei dati dal menu (OCR/AI), attivabile su scelta del Cliente per accelerare il caricamento iniziale del menu sulla piattaforma, opera esclusivamente su dati di prodotto del menu (descrizioni di pietanze, prezzi, allergeni) e non su dati personali degli Interessati, e non assume decisioni che incidano sui diritti degli Interessati.

A scanso di equivoci, le attività di segmentazione del database CRM di cui al paragrafo 6.7 sono manuali o basate su criteri statici predeterminati dal personale del Titolare e non integrano una profilazione automatizzata ai sensi dell'art. 4, n. 4, del GDPR; di conseguenza, anche con riferimento a tali attività, non si applica l'art. 22 del GDPR.

Fatto salvo ogni altro ricorso amministrativo o giurisdizionale, qualora l'Interessato ritenga che il trattamento dei propri dati personali violi il GDPR o la normativa nazionale applicabile, ha il diritto di proporre reclamo all'Autorità Garante per la protezione dei dati personali.

I recapiti dell'Autorità sono i seguenti:

• Sede: Piazza Venezia, 11 — 00187 Roma
• Email: protocollo@gpdp.it
• PEC: protocollo@pec.gpdp.it
• Telefono: +39 06 696771
• Sito web: www.garanteprivacy.it

L'Interessato può altresì adire l'autorità di controllo dello Stato membro in cui risiede abitualmente, in cui lavora o in cui si è verificata la presunta violazione, ai sensi dell'art. 77 del GDPR.

Il Titolare si riserva il diritto di modificare la presente informativa per adeguarla a sopravvenute modifiche normative o regolamentari, a indicazioni delle autorità di controllo, a evoluzioni del Servizio o dell'organizzazione interna.

Le modifiche all'informativa sono notificate ai Clienti via email all'indirizzo associato all'Account con almeno trenta (30) giorni di anticipo rispetto alla data di entrata in vigore, e tramite avviso visibile nell'area di amministrazione del Servizio. Le modifiche sostanzialmente sfavorevoli per il Cliente — ad esempio relative alle finalità del trattamento, ai destinatari dei dati, ai periodi di conservazione o ai trasferimenti extra-SEE — sono inoltre soggette al meccanismo di riaccettazione descritto in legal-implementation-spec.md § 3 (Versioning e riaccettazione). La data di ultima modifica e la versione vigente sono sempre indicate in calce alla presente informativa.

La versione vigente della presente informativa, unitamente alla data di ultimo aggiornamento, è indicata nell'intestazione della pagina («Ultimo aggiornamento»). Il riferimento di versione interno utilizzato dal Titolare per il meccanismo di riaccettazione è gestito tramite la chiave privacy_clienti di cui al file frontend/lib/legal-versions.ts (e relativo mirror backend), aggiornata in occasione di ogni modifica sostanziale al testo della presente informativa.