Informativa Privacy

01

Titolare del trattamento

Il Titolare del trattamento dei dati personali è:

DishFlow Italia S.r.l. Sede legale: Brescia, Italia P.IVA: 04679770984 Iscritta al Registro Imprese di Brescia

Email per la privacy privacy@dishflow.it

02

Categorie di dati raccolti

2.1 Dati forniti direttamente dall'utente

In fase di registrazione o utilizzo della Piattaforma, l'Utente fornisce volontariamente i seguenti dati:

Dati anagrafici: nome e cognome.
Dati di contatto: indirizzo email, numero di telefono.
Dati di accesso: indirizzo email e password cifrata (non leggibile da DishFlow).
Preferenze personali: cucine preferite, intolleranze alimentari dichiarate volontariamente.
Contenuti generati: recensioni, valutazioni, note di prenotazione.

2.2 Dati raccolti automaticamente

Durante la navigazione sulla Piattaforma vengono raccolti automaticamente:

Dati tecnici: indirizzo IP, tipo di browser, sistema operativo, versione dell'app.
Dati di utilizzo: pagine visitate, durata della sessione, clic, percorso di navigazione.
Dati di localizzazione: posizione approssimativa (solo se l'Utente autorizza l'accesso alla geolocalizzazione) per mostrare i ristoranti nelle vicinanze.
Cookie e tecnologie di tracciamento: descritti nella Cookie Policy separata.

2.3 Dati dei ristoratori (B2B)

Per i Ristoratori che sottoscrivono un Abbonamento, vengono raccolti anche:

Ragione sociale, partita IVA, codice fiscale.
Dati del rappresentante legale o del referente aziendale.
Dati di fatturazione e, tramite Stripe, dati di pagamento (non conservati direttamente da DishFlow).
Dati operativi del locale (orari, disponibilità, menu, immagini).

2.4 Dati sensibili

DishFlow non raccoglie deliberatamente dati appartenenti a categorie particolari ai sensi dell'art. 9 GDPR (dati sulla salute, origine etnica, opinioni politiche, ecc.). Le informazioni su allergie e intolleranze eventualmente fornite dall'Utente nelle note di prenotazione sono trattate esclusivamente per garantire la sicurezza alimentare e non vengono utilizzate per profilazione.

03

Finalità del trattamento e base giuridica

Finalità Base giuridica (art. 6 GDPR)

Creazione e gestione dell'account utente Esecuzione contratto

Gestione delle prenotazioni e notifiche WhatsApp/email Esecuzione contratto

Erogazione dei servizi di abbonamento ai Ristoratori Esecuzione contratto

Fatturazione e adempimenti fiscali Obbligo legale

Prevenzione frodi e sicurezza della piattaforma Interesse legittimo

Analisi aggregata per miglioramento del servizio Interesse legittimo

Invio newsletter e comunicazioni promozionali

Profilazione per raccomandazioni personalizzate (AI Pro/Elite)

Assistenza clienti e supporto tecnico Interesse legittimo

04

Modalità del trattamento

I dati personali sono trattati con strumenti informatici e telematici, adottando misure di sicurezza tecniche e organizzative adeguate a prevenire accessi non autorizzati, perdita, distruzione o divulgazione non consentita, in conformità all'art. 32 GDPR.

Le misure adottate includono, tra l'altro:

Crittografia delle password con algoritmi one-way (bcrypt).
Trasmissione dei dati tramite protocollo HTTPS/TLS.
Accesso ai dati limitato al personale autorizzato e formato.
Backup regolari con cifratura dei dati a riposo.
Monitoraggio continuo per rilevare accessi anomali o violazioni.

In caso di violazione dei dati personali (data breach) che possa comportare rischi per i diritti degli interessati, DishFlow provvederà alla notifica all'Autorità Garante entro 72 ore dalla scoperta, ai sensi dell'art. 33 GDPR, e comunicherà agli interessati coinvolti senza ingiustificato ritardo.

05

Condivisione e comunicazione dei dati

DishFlow non vende, non affitta e non cede i dati personali degli Utenti a terzi per finalità di marketing. I dati possono essere condivisi nelle seguenti circostanze:

5.1 Ristoranti Partner

In occasione di una prenotazione, DishFlow trasmette al Ristorante Partner i dati strettamente necessari alla gestione della stessa: nome dell'Utente, numero di telefono, data, orario, numero di coperti e note speciali. Il Ristorante Partner è tenuto a trattare tali dati esclusivamente per la gestione della prenotazione e non per finalità di marketing diretto.

5.2 Fornitori di servizi (Responsabili del trattamento)

DishFlow si avvale di fornitori terzi che trattano dati per conto della Società in qualità di Responsabili del trattamento ai sensi dell'art. 28 GDPR. Tra questi:

Stripe Inc. — elaborazione dei pagamenti. Privacy Policy: stripe.com/privacy
Amazon Web Services (AWS) — infrastruttura cloud e hosting. Certificato ISO 27001.
Twilio / WhatsApp Business API — invio di notifiche e messaggi.
Servizi di analytics anonimizzati — analisi aggregata del traffico.

5.3 Autorità competenti

DishFlow può comunicare i dati personali ad autorità giudiziarie, di polizia o amministrative qualora vi sia un obbligo legale in tal senso o su loro richiesta motivata.

06

Trasferimento di dati extra-UE

Alcuni fornitori di servizi utilizzati da DishFlow (in particolare AWS e Stripe) possono trattare dati in paesi al di fuori dello Spazio Economico Europeo. In tali casi, DishFlow garantisce che il trasferimento avvenga nel rispetto delle condizioni previste dal Capo V del GDPR, in particolare tramite:

Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea.
Trasferimento verso paesi con decisione di adeguatezza della Commissione Europea.
Certificazioni riconosciute (es. ISO 27001, SOC 2).

Per maggiori informazioni sui trasferimenti extra-UE, è possibile contattare DishFlow all'indirizzo privacy@dishflow.it.

07

Conservazione dei dati

I dati personali sono conservati per il tempo strettamente necessario alle finalità per cui sono stati raccolti, nel rispetto del principio di minimizzazione e limitazione della conservazione (art. 5, par. 1, lett. e GDPR).

Categoria di dati Periodo di conservazione

Dati dell'account utente Fino alla cancellazione dell'account + 30 giorni

Dati delle prenotazioni 3 anni dalla data della prenotazione

Dati di fatturazione (Ristoratori) 10 anni (obbligo fiscale D.P.R. 633/1972)

Log di accesso e sicurezza 12 mesi

Dati per newsletter (con consenso) Fino alla revoca del consenso

Dati AI (piani Pro/Elite) Durata del contratto + 6 mesi

Alla scadenza dei termini indicati, i dati vengono eliminati in modo sicuro o resi anonimi in modo irreversibile.

08

Diritti dell'interessato

Ai sensi degli articoli 15–22 del GDPR, ogni interessato ha il diritto di esercitare i seguenti diritti nei confronti di DishFlow:

Diritto di accesso

Ottenere conferma del trattamento e copia dei propri dati personali (art. 15).

Diritto di rettifica

Correggere dati inesatti o incompleti (art. 16).

Diritto alla cancellazione

Richiedere l'eliminazione dei dati ("diritto all'oblio") nei casi previsti dall'art. 17.

Diritto di limitazione

Limitare il trattamento in determinate circostanze (art. 18).

Diritto alla portabilità

Ricevere i propri dati in formato strutturato e leggibile da macchina (art. 20).

Diritto di opposizione

Opporsi al trattamento per interesse legittimo o per finalità di marketing (art. 21).

Revoca del consenso

Revocare in qualsiasi momento il consenso prestato, senza pregiudizio per i trattamenti precedenti (art. 7).

Diritto di reclamo

Proporre reclamo al Garante per la Protezione dei Dati Personali (garante.privacy.it).

Per esercitare i propri diritti è sufficiente inviare una richiesta scritta a privacy@dishflow.it. DishFlow risponderà entro 30 giorni dalla ricezione della richiesta, come previsto dall'art. 12 GDPR.

09

Cookie e tecnologie di tracciamento

La Piattaforma utilizza cookie e tecnologie simili per garantire il corretto funzionamento del servizio, analizzare l'utilizzo e personalizzare l'esperienza dell'Utente. Le tipologie di cookie utilizzati sono:

Cookie tecnici (necessari): indispensabili per il funzionamento della Piattaforma (gestione sessione, autenticazione). Non richiedono consenso.
Cookie analitici anonimizzati: utilizzati per analizzare il traffico in forma aggregata e anonima. Non richiedono consenso se correttamente anonimizzati.
Cookie di profilazione: utilizzati per personalizzare i contenuti e le raccomandazioni. Richiedono il consenso esplicito dell'Utente.

L'Utente può gestire le proprie preferenze sui cookie tramite il banner presente alla prima visita e successivamente attraverso le impostazioni del proprio browser o l'apposita sezione nell'area personale. Per informazioni dettagliate consultare la Cookie Policy.

10

Minori

La Piattaforma DishFlow non è destinata a persone di età inferiore ai 18 anni. DishFlow non raccoglie consapevolmente dati personali di minori. Qualora venissimo a conoscenza di aver raccolto inavvertitamente dati di un minore, provvederemo alla loro immediata eliminazione.

I genitori o i tutori legali che ritenessero che un minore abbia fornito dati personali a DishFlow sono invitati a contattarci immediatamente all'indirizzo privacy@dishflow.it.

11

Modifiche all'informativa

DishFlow si riserva il diritto di aggiornare la presente Informativa Privacy per adeguarla a nuovi requisiti normativi, cambiamenti nel trattamento dei dati o miglioramenti del servizio.

Le modifiche sostanziali verranno comunicate agli Utenti registrati tramite email con almeno 15 giorni di preavviso rispetto alla data di entrata in vigore. La data dell'ultimo aggiornamento è sempre indicata in cima al documento.

L'utilizzo continuato della Piattaforma dopo la data di entrata in vigore delle modifiche costituisce accettazione della nuova Informativa. In caso di disaccordo, l'Utente può eliminare il proprio account.

12

Contatti e Responsabile della Protezione dei Dati

Per qualsiasi domanda relativa al trattamento dei dati personali o per esercitare i propri diritti, è possibile contattare DishFlow tramite:

Email privacy privacy@dishflow.it

Autorità di controllo Garante Privacy — garante.privacy.it

DishFlow, considerata la natura e la portata del trattamento, valuterà la necessità di nominare un Responsabile della Protezione dei Dati (DPO) ai sensi dell'art. 37 GDPR. Eventuali aggiornamenti in merito saranno comunicati tramite questa pagina.