Eatable logo

Privacy Policy

Informativa sul trattamento dei dati personali

Ultimo aggiornamento: 26 aprile 2026

La presente informativa descrive come la piattaforma Eatable (di seguito anche «Piattaforma» o «Servizio») tratta i dati personali degli utenti, ai sensi degli articoli 13 e 14 del Regolamento (UE) 2016/679 («GDPR») e del D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018 («Codice Privacy»).

1. Titolare del trattamento

Il titolare del trattamento dei dati personali raccolti tramite la Piattaforma in qualità di titolare autonomo è:

  • Ragione sociale: AI LATERALE S.R.L.S.
  • Sede legale: Via Udine 6, Battipaglia (SA) - 84091
  • P.IVA / C.F.: 06420830652
  • PEC: ailaterale@pec.it
  • Email privacy: ailaterale@gmail.com
  • Responsabile della Protezione dei Dati (DPO): AI Laterale SRLS

2. Doppio ruolo: titolare e responsabile del trattamento

Eatable è una piattaforma multi-tenant che ospita più ristoranti («Tenant»), ciascuno con la propria pagina pubblica e configurazione. In funzione del flusso di dati, Eatable opera con due ruoli distinti:

  • Titolare autonomo per i dati relativi alla gestione della Piattaforma, agli account dello staff dei Tenant, agli account dei clienti finali registrati nell'area /account, ai log di sicurezza, antifrode e funzionamento del Servizio, alla fatturazione degli abbonamenti SaaS dei Tenant.
  • Responsabile del trattamento ex art. 28 GDPR per i dati che i singoli Ristoranti raccolgono, tramite la Piattaforma, sui propri clienti (anagrafiche CRM, prenotazioni, ordini al tavolo o delivery, lista d'attesa, reclami). In tali casi titolare del trattamento è il singolo Ristorante; Eatable agisce su sua istruzione sulla base di un Accordo sul trattamento dei dati (DPA).

3. Categorie di dati trattati

3.1 Dati degli account staff e amministratori dei Tenant

  • Nome, cognome, email, telefono, ruolo, riferimento al Tenant.
  • Credenziali di accesso (password memorizzata in forma di hash).
  • Log di accesso, indirizzo IP, user-agent, data e ora dell'attività.

3.2 Dati degli account clienti finali

  • Email, nome, cognome, password (hash), telefono.
  • Indirizzi di consegna, preferenze, lingua.
  • Storico ordini, prenotazioni, reclami e valutazioni.
  • Dati di gestione dell'account: token di verifica email, reset password, sessione.

3.3 Dati di pagamento

La Piattaforma non memorizza i dati delle carte di pagamento. Le transazioni sono gestite direttamente dai fornitori esterni Stripe e PayPal, che operano in qualità di titolari autonomi del trattamento dei dati di pagamento e sono certificati PCI-DSS. Eatable conserva esclusivamente identificativi tecnici della transazione (es. ID intent, stato, importo) necessari alla riconciliazione e alla fatturazione.

3.4 Dati di prenotazioni e ordini

  • Data, ora, numero di coperti, eventuali note, allergie e preferenze comunicate dall'utente.
  • Dettaglio degli articoli ordinati, importo, modalità di consegna o ritiro.
  • Per le sessioni delivery effettuate come ospite (senza account), un cookie firmato di sessione consente all'utente di rivedere i propri ordini sul sito del Ristorante.

3.5 Dati tecnici

  • Indirizzo IP, identificativi del dispositivo, log di sistema e di errore, dati di telemetria minimi al funzionamento e alla sicurezza.

4. Finalità e basi giuridiche del trattamento

  • Esecuzione del contratto (art. 6.1.b GDPR): erogazione del Servizio, gestione dell'account, esecuzione di ordini e prenotazioni, gestione dell'abbonamento SaaS dei Tenant, comunicazioni di servizio.
  • Obbligo di legge (art. 6.1.c GDPR): adempimenti fiscali, contabili e antifrode; risposta a richieste delle autorità competenti.
  • Legittimo interesse (art. 6.1.f GDPR): sicurezza della Piattaforma, prevenzione di abusi e frodi, miglioramento del Servizio attraverso analisi aggregate e anonime, gestione dei reclami.
  • Consenso (art. 6.1.a GDPR): invio di comunicazioni di marketing diretto, profilazione di marketing, cookie non tecnici. Il consenso è revocabile in qualsiasi momento senza pregiudicare la liceità del trattamento basato sul consenso prestato precedentemente.

5. Destinatari dei dati e responsabili esterni

Per erogare il Servizio, Eatable si avvale di fornitori esterni («sub-responsabili» o «sub-processor») nominati responsabili del trattamento ex art. 28 GDPR, vincolati da contratti scritti che impongono adeguate garanzie. Le categorie principali sono:

  • Hosting applicativo (Next.js): Vercel Inc. — regione Washington, D.C., USA (East) - us-east-1. Meccanismo di trasferimento: SCC + DPF.
  • Database PostgreSQL: Neon, LLC. (a Databricks Company) — AWS US East 1 (N. Virginia). Meccanismo: intra-SEE.
  • Storage di file e immagini: Vercel Blob (Vercel Inc.).
  • Pagamenti: Stripe Payments Europe Ltd. e PayPal (Europe) S.à r.l. et Cie, S.C.A., titolari autonomi del trattamento dei dati di pagamento.
  • Email transazionali: Resend (Resend, Inc.) per le notifiche di servizio e di account.
  • I singoli Ristoranti (Tenant): ricevono i dati dei propri clienti per gestire ordini, prenotazioni e CRM, in qualità di titolari autonomi del trattamento.
  • Consulenti, commercialisti, legali, autorità giudiziarie e di vigilanza, ove richiesto da obblighi di legge.

L'elenco aggiornato dei sub-responsabili è disponibile su richiesta scritta all'indirizzo ailaterale@gmail.com.

6. Trasferimenti di dati extra-SEE

Quando i dati vengono trasferiti al di fuori dello Spazio Economico Europeo (es. fornitori statunitensi come Vercel, Stripe, PayPal o Resend), Eatable garantisce un adeguato livello di protezione tramite uno dei seguenti meccanismi previsti dal Capo V del GDPR:

  • decisioni di adeguatezza della Commissione europea (es. EU-US Data Privacy Framework per i fornitori certificati);
  • Clausole Contrattuali Standard (SCC) approvate dalla Commissione europea, integrate da misure tecniche e organizzative supplementari ove necessario;
  • norme vincolanti d'impresa o altri strumenti previsti dagli artt. 46 e 47 GDPR.

7. Periodi di conservazione

  • Account staff: per la durata del rapporto con il Tenant; dopo la disattivazione, i dati di profilo sono cancellati o anonimizzati entro 90 giorni, salvo diversi obblighi legali.
  • Account cliente finale: fino alla richiesta di cancellazione da parte dell'utente; account inattivi da oltre 36 mesi possono essere cancellati o anonimizzati previa notifica.
  • Ordini, prenotazioni, fatture: 10 anni ai sensi dell'art. 2220 c.c. e della normativa fiscale; dopo tale termine, sono cancellati o anonimizzati.
  • Log di sicurezza e accesso: tipicamente fino a 12 mesi, salvo specifiche esigenze di indagine su incidenti.
  • Cookie: secondo quanto indicato nella Cookie Policy.
  • Dati trattati come responsabile per conto di un Ristorante: secondo le istruzioni e i tempi indicati dal Ristorante stesso; al termine del rapporto contrattuale con il Tenant, Eatable cancella o restituisce i dati come da DPA.

8. Diritti dell'interessato

Ai sensi degli articoli 15-22 GDPR, l'interessato ha diritto di:

  • accedere ai propri dati personali (art. 15);
  • ottenere la rettifica di dati inesatti (art. 16);
  • ottenere la cancellazione («diritto all'oblio») nei casi previsti (art. 17);
  • chiedere la limitazione del trattamento (art. 18);
  • ricevere i propri dati in formato strutturato e portabile (art. 20);
  • opporsi al trattamento basato su legittimo interesse o per finalità di marketing (art. 21);
  • non essere sottoposto a decisioni automatizzate che producano effetti giuridici significativi (art. 22);
  • revocare in qualsiasi momento il consenso prestato.

Le richieste vanno inviate a ailaterale@gmail.com. Per i dati trattati da Eatable in qualità di responsabile per conto di un Ristorante, l'interessato può rivolgersi direttamente al Ristorante; Eatable presterà la cooperazione necessaria.

L'interessato ha inoltre il diritto di proporre reclamo all'Autorità di controllo competente, in Italia il Garante per la protezione dei dati personali (www.garanteprivacy.it).

9. Sicurezza e isolamento multi-tenant

Eatable adotta misure tecniche e organizzative adeguate ai sensi dell'art. 32 GDPR, tra cui: cifratura in transito (TLS) e a riposo per i dati sensibili; hashing delle password; controllo degli accessi basato su ruoli; rate limiting; logging degli eventi rilevanti; backup periodici; ambienti separati per sviluppo, staging e produzione.

L'architettura della Piattaforma garantisce isolamento dei dati per Tenant tramite schemi PostgreSQL dedicati, Row-Level Security e client di accesso al database con contesto di Tenant verificato a livello applicativo. Ogni Tenant accede esclusivamente ai propri dati.

10. Cookie

La Piattaforma utilizza cookie tecnici necessari al funzionamento (sessione, autenticazione, preferenze, sicurezza) e, previo consenso, cookie analitici e di marketing. Per il dettaglio si rimanda alla Cookie Policy disponibile sul sito.

11. Modifiche all'informativa

Eatable può aggiornare la presente informativa per riflettere modifiche normative, organizzative o di servizio. La versione vigente è sempre pubblicata sulla Piattaforma; in caso di modifiche sostanziali, gli utenti registrati saranno informati con preavviso ragionevole tramite email o avviso in-app.

12. Contatti

Torna alla home