← Home

Informativa Privacy

Ultimo aggiornamento: 6 giugno 2026

Resa ai sensi degli artt. 13 e 14 del Regolamento UE 2016/679 (GDPR) e del D.Lgs 196/2003 come modificato dal D.Lgs 101/2018.

1. Titolare del trattamento

Il Titolare del trattamento è:

Mangiare A di Barani Stefano

P. IVA: IT01894110335

Email: info@mangiarea.it

PEC: stimostudios@pec.it

Non abbiamo nominato un Responsabile della Protezione dei Dati (DPO) — l'organizzazione non ricade nei casi obbligatori previsti dall'art. 37 GDPR. Il punto di contatto unico per quesiti privacy è l'indirizzo email sopra indicato.

2. Quali dati raccogliamo e come

A. Dati dei titolari/account proprietari del ristorante

Raccolti in fase di registrazione e durante l'uso:

  • Email (per login e comunicazioni)
  • Nome del ristorante, ragione sociale, P.IVA, indirizzo
  • Numero telefono di contatto (opzionale)
  • Dati di pagamento (gestiti dal provider, non da noi)
  • Log di accesso (IP, timestamp, user agent) per sicurezza

B. Dati dello staff (dipendenti del cliente)

Inseriti dal titolare per consentire l'uso operativo del software:

  • Nome e cognome (display name)
  • Ruolo aziendale (cameriere, chef, host, ecc.)
  • PIN di accesso (4 cifre, criptato in DB)
  • Storico operazioni firmate (chi ha fatto cosa quando)

Lo staff non ha un account autonomo: opera come "operatore" all'interno dell'account del titolare. Il titolare è co-titolare del trattamento per questi dati.

C. Dati dei clienti CRM (clienti finali del ristorante)

Inseriti dal titolare nel modulo CRM per gestire prenotazioni e fidelizzazione:

  • Nome, telefono, email
  • Allergie e intolleranze (categorie speciali ex art. 9 GDPR)
  • Compleanno (per auguri)
  • Storico visite, scontrino medio, piatti preferiti
  • Note del titolare

Il titolare del ristorante è il Titolare autonomo del trattamento per questi dati: noi siamo Responsabile esterno ex art. 28 GDPR. Il titolare deve raccogliere consenso dal cliente prima di inserirlo nel sistema, conservare l'informativa e gestire le richieste di esercizio diritti.

D. Dati operativi e tecnici

  • Cookie strettamente necessari (vedi Cookie Policy)
  • Log applicativi e di errore (per debug)
  • Metriche di utilizzo aggregate (non profilanti)

3. Finalità e base giuridica

Erogare il servizio SaaS (login, comande, KDS, HACCP)Esecuzione contratto (art. 6.1.b GDPR)
Adempiere obblighi normativi italiani (HACCP, fiscali, ambientali)Obbligo legale (art. 6.1.c GDPR)
Garantire sicurezza del sistema, prevenire abusiLegittimo interesse (art. 6.1.f GDPR)
Trattare allergie (dati art. 9)Compito di interesse pubblico — sicurezza alimentare (art. 9.2.i)
Inviare comunicazioni commerciali/newsletterConsenso esplicito (art. 6.1.a) — opt-in separato
Migliorare il prodotto con metriche aggregateLegittimo interesse (anonimizzate, non profilanti)

4. Periodo di conservazione

Account titolarePer tutta la durata del contratto + 12 mesi dopo cessazione
Dati staffPer tutta la durata del rapporto col titolare; rimossi su disattivazione dell'account
Dati CRM clienti finaliDefiniti dal titolare del ristorante (suo trattamento); noi conserviamo come Responsabile finché lui lo richiede
Log di accesso e sicurezza12 mesi (D.Lgs 196/2003 art. 132)
Dati fiscali (corrispettivi, scontrini)10 anni (art. 2220 c.c. e normativa fiscale)
Registri HACCP3-5 anni a seconda del tipo (linee guida Min. Salute)
Backup tecnici30 giorni di rolling retention su Supabase

5. A chi comunichiamo i tuoi dati (sub-processori)

Per erogare il servizio ci avvaliamo dei seguenti fornitori tecnici, tutti nominati Responsabili del trattamento ex art. 28 GDPR:

Vercel Inc.Hosting frontend + serverless functions. Region: Francoforte (DE)
Supabase Inc.Database PostgreSQL, Auth, Storage. Region: Francoforte (DE)
GitHub Inc.Versioning codice (no dati cliente)
Google LLC (Gemini API)Funzione MA Bot — assistente AI. Vedi §5-bis
Resend / SMTP (futuro)Invio email transazionali

Non condividiamo dati con terze parti per finalità di marketing. Non vendiamo, affittiamo o cediamo i tuoi dati.

5-bis. MA Bot — assistente AI

All'interno del sito è presente MA Bot, un assistente conversazionale (chatbot) che risponde a domande su come usare MA OS. Il servizio è erogato tramite l'API Google Gemini (Google LLC).

Quali dati passano a Google quando interagisci con MA Bot

  • Il testo della tua domanda
  • La cronologia della conversazione corrente (max 20 messaggi)
  • Contesto minimo: ruolo operativo (es. "cameriere"), nome del ristorante, pagina del sito corrente

Non inviamo a Google: dati dei tuoi clienti CRM, contenuti delle comande, dati fiscali, registri HACCP, email/password o altri dati operativi del software.

Trasferimento extra-UE

I dati delle conversazioni con MA Bot transitano per server di Google negli Stati Uniti. Google LLC aderisce all'EU-US Data Privacy Framework, con garanzie equivalenti previste dalla decisione di adeguatezza della Commissione UE del 10 luglio 2023, ed implementa Clausole Contrattuali Standard (SCC) ex art. 46 GDPR.

Uso dei dati per training del modello

Utilizziamo l'API Gemini nel piano gratuito (free tier). Secondo i Google Gemini API Additional Terms of Service, le query inviate sul tier gratuito possono essere utilizzate da Google per migliorare i propri prodotti e modelli di intelligenza artificiale.

Per questo motivo ti raccomandiamo di non includere dati personali sensibili (allergie nominali, nomi di clienti, dati fiscali) nelle tue domande a MA Bot. Le domande dovrebbero riguardare esclusivamente come usare il software.

Come disabilitare MA Bot

MA Bot è un servizio facoltativo. Se preferisci non usarlo:

  • Non aprire il riquadro chat (bolla rossa in basso a destra)
  • Le tue azioni ordinarie nel software non passano da MA Bot e quindi non transitano per Google
  • Per richiedere la rimozione del componente dalla tua interfaccia, scrivi a info@mangiarea.it

6. Trasferimenti fuori UE

I dati operativi (account, comande, HACCP, CRM clienti) sono ospitati interamente in data center europei (Vercel + Supabase, region Francoforte).

L'unica eccezione è il servizio MA Bot (vedi §5-bis), che invia il testo delle conversazioni a server di Google negli Stati Uniti. Per tutti gli altri dati nessun trasferimento extra-SEE.

7. I tuoi diritti

Hai diritto, ai sensi degli artt. 15-22 GDPR, di:

  • Accesso — ottenere conferma e copia dei tuoi dati
  • Rettifica — correggere dati inesatti o incompleti
  • Cancellazione ("oblio") — chiedere la cancellazione
  • Limitazione del trattamento
  • Portabilità — ricevere i tuoi dati in formato strutturato (JSON) tramite l'export integrato in Impostazioni
  • Opposizione al trattamento basato su legittimo interesse
  • Revoca del consenso dato per marketing o profilazione
  • Non subire decisioni automatizzate con effetti significativi

Per esercitare questi diritti scrivi a info@mangiarea.it. Rispondiamo entro 30 giorni (art. 12 GDPR).

8. Reclami al Garante

Se ritieni che il trattamento dei tuoi dati violi il GDPR, puoi proporre reclamo al Garante per la Protezione dei Dati Personali (garanteprivacy.it).

9. Sicurezza

Misure tecniche e organizzative adottate (art. 32 GDPR):

  • Cifratura in transito (TLS 1.3)
  • Cifratura at-rest del database Supabase
  • Row Level Security (RLS) PostgreSQL: ogni ristorante vede solo i propri dati
  • PIN operatore hashato in DB (no plain text)
  • Audit log delle operazioni (chi, cosa, quando)
  • Backup giornalieri automatici (30 giorni retention)
  • Aggiornamenti di sicurezza continui sulle dipendenze

10. Decisioni automatizzate e profilazione

Non utilizziamo decisioni automatizzate o profilazione che producano effetti giuridici o significativamente simili sulle persone (art. 22 GDPR).

L'unica componente AI presente è MA Bot (vedi §5-bis), un assistente conversazionale che risponde a domande su come usare il software. MA Bot:

  • è facoltativo (puoi non aprirlo)
  • non prende decisioni che ti riguardano
  • non profila gli utenti
  • non esegue azioni nel software al tuo posto
  • fornisce solo informazioni e link a pagine del sito

11. Minori

Il servizio MA OS non è rivolto a minori di 16 anni. Non raccogliamo consapevolmente dati di minori. Se sei un genitore e ritieni che tuo figlio ci abbia fornito dati personali, contattaci e provvederemo alla cancellazione.

12. Modifiche all'informativa

Possiamo aggiornare questa informativa per riflettere modifiche normative o operative. La data in cima alla pagina indica l'ultima revisione. Modifiche sostanziali ti saranno notificate via email o tramite avviso prominente all'interno del software.

Informativa Privacy · MA OS