Informativa sulla Privacy — Menu Digitale 6NFC

La presente Informativa sulla Privacy descrive le politiche della Società in materia di raccolta, utilizzo e divulgazione delle informazioni dell'Utente durante l'uso del Servizio, illustrando i relativi diritti privacy e le tutele previste dalla legge.

Il trattamento dei dati personali avviene in conformità al Regolamento (UE) 2016/679 ("GDPR"), al D.Lgs. 196/2003 (Codice Privacy) come modificato dal D.Lgs. 101/2018, e alle altre normative applicabili.

1. Titolare del Trattamento

Ragione sociale: Massimo Giorgi
P.IVA: 03437091204
Sede legale: Via Modigliani 1, 40060 Toscanella di Dozza (BO), Italia
Email: info@6nfc.it
Sito web: www.6nfc.it

Ruoli GDPR — Titolare e Responsabile del Trattamento

La Società svolge due ruoli distinti in base al contesto di trattamento:

Contesto	Ruolo della Società	Chi è il Titolare
Dati dei gestori (account, fatturazione, comunicazioni SaaS)	Titolare del Trattamento (art. 4 n. 7 GDPR)	La Società stessa
Dati dei clienti finali del ristorante (ordini, nome, contatti, indirizzo)	Responsabile del Trattamento (art. 4 n. 8 GDPR) — tratta i dati per conto del ristoratore	Il ristoratore (gestore del locale)

Il ristoratore, in qualità di Titolare del Trattamento per i propri clienti, è tenuto a informare questi ultimi delle proprie politiche privacy. La presente Informativa descrive il trattamento effettuato dalla Società nella sua veste di Titolare (gestori) e fornisce indicazioni generali sul trattamento come Responsabile (dati clienti finali).

La Società non ha un DPO (Data Protection Officer) obbligatorio ai sensi dell'art. 37 GDPR, in quanto non svolge trattamenti sistematici su larga scala di dati sensibili né monitora sistematicamente gli interessati. Per qualsiasi richiesta in materia di privacy scrivere all'indirizzo indicato nella sezione Contatti.

2. Interpretazione e Definizioni

Le parole con la lettera iniziale maiuscola hanno il significato definito nelle seguenti condizioni, valido sia al singolare che al plurale.

Account — account univoco creato per accedere al Servizio o a parti di esso.
Affiliato — entità che controlla, è controllata o è sotto comune controllo di una parte (titolarità ≥ 50% delle azioni con diritto di voto).
Applicazione — Menu Digitale 6NFC, il software fornito dalla Società.
Società — Massimo Giorgi, P.IVA 03437091204, con sede in Via Modigliani 1, 40060 Toscanella di Dozza (BO), Italia.
Cookie — piccoli file collocati sul Dispositivo da un sito web, contenenti dati di navigazione.
Paese — Italia.
Dispositivo — qualsiasi dispositivo in grado di accedere al Servizio (computer, cellulare, tablet).
Dati Personali — qualsiasi informazione riguardante una persona fisica identificata o identificabile (art. 4 GDPR).
Servizio — l'Applicazione, il Sito Web o entrambi.
Responsabile del Trattamento — persona fisica o giuridica che tratta i dati per conto della Società.
Dati di Utilizzo — dati raccolti automaticamente dall'uso del Servizio o dalla sua infrastruttura (es. durata di una visita).
Sito Web — Menu Digitale 6NFC, accessibile da www.6nfc.it.
Utente — la persona fisica o giuridica che accede o utilizza il Servizio.

3. Raccolta e Utilizzo dei Dati Personali

Dati dei Gestori del Servizio (Ristoratori)

I gestori che si registrano al servizio forniscono:

Indirizzo email
Nome e cognome
Numero di telefono
Indirizzo, provincia, CAP, città
Dati di fatturazione per la sottoscrizione del servizio

Dati dei Clienti del Menu Digitale (utenti finali)

I clienti del ristorante che usano il menu digitale tramite QR code, NFC o PWA possono fornire i seguenti dati, raccolti al momento dell'ordine:

Nome cliente: per associare l'ordine alla sessione e comunicare con il cliente durante la visita.
Numero di telefono: per comunicazioni operative sull'ordine (es. avviso di ritiro via SMS o WhatsApp), fornito volontariamente.
Indirizzo email: per l'invio di notifiche transazionali sullo stato dell'ordine (conferma, in preparazione, pronto al ritiro), fornito volontariamente.
Indirizzo di consegna (via, numero civico, CAP, città): solo per ordini con modalità consegna a domicilio, necessario per calcolare la distanza e il costo di consegna.

Tutti i dati dei clienti finali sono raccolti e conservati dal ristoratore (Titolare del Trattamento). La Società agisce come Responsabile del Trattamento per conto del ristoratore — vedi sezione 1.

Notifiche email automatiche ai clienti: il sistema invia automaticamente email transazionali al cliente (se ha fornito l'indirizzo email) per aggiornare lo stato dell'ordine: conferma ricezione ordine, ordine in preparazione, ordine pronto per il ritiro o la consegna. Queste comunicazioni sono strettamente operative e non costituiscono marketing.

Identificativo Univoco del Dispositivo (UUID)

Al primo accesso al menu digitale, l'Applicazione genera e salva nella memoria locale del browser (localStorage) un identificativo univoco anonimo del dispositivo (UUID).

Questo identificativo serve a:

Riconoscere il dispositivo nelle sessioni successive senza richiedere la creazione di un account
Memorizzare le preferenze dell'utente (tema, lingua)
Mantenere la coerenza della sessione di ordinazione

Il UUID è un codice alfanumerico generato localmente che non contiene informazioni personali identificative e non viene associato all'identità dell'utente. Può essere eliminato in qualsiasi momento svuotando i dati di navigazione del browser (localStorage).

Dati di Utilizzo

Raccolti automaticamente durante l'uso del Servizio: indirizzo IP, tipo e versione del browser, pagine visitate, data e ora della visita, tempo trascorso sulle pagine, identificativi univoci del dispositivo e altri dati diagnostici.

Tecnologie di Tracciamento e Cookie

Utilizziamo Cookie e tecnologie simili per monitorare l'attività e migliorare il Servizio. I Cookie si distinguono in Persistenti (rimangono offline) e di Sessione (eliminati alla chiusura del browser). Dove richiesto dalla legge, i cookie non essenziali vengono usati solo previo consenso, revocabile in qualsiasi momento.

Categoria	Tipo	Finalità
Necessari / Essenziali	Sessione	Autenticazione, sicurezza, funzionamento del Servizio
Accettazione Cookie Policy	Persistente	Memorizzazione del consenso ai cookie
Funzionalità	Persistente	Preferenze utente (lingua, tema, login)

4. Base Giuridica del Trattamento (art. 6 GDPR)

Finalità	Base Giuridica
Fornitura e manutenzione del Servizio	Art. 6(1)(b) — Esecuzione contratto
Gestione account gestore	Art. 6(1)(b) — Esecuzione contratto
Elaborazione pagamenti (Stripe)	Art. 6(1)(b) — Esecuzione contratto
UUID dispositivo cliente	Art. 6(1)(f) — Legittimo interesse (fornitura servizio)
Nome, telefono, email, indirizzo cliente (ordini menu)	Art. 6(1)(a) — Consenso (inserimento volontario al momento dell'ordine)
Email notifiche stato ordine (conferma, preparazione, pronto)	Art. 6(1)(b) — Esecuzione del servizio richiesto dall'utente
Indirizzo di consegna — geocodifica via OpenStreetMap	Art. 6(1)(b) — Necessario per calcolare distanza e costo consegna
Cookie analitici e non essenziali	Art. 6(1)(a) — Consenso
Cookie essenziali	Art. 6(1)(f) — Legittimo interesse
Comunicazioni di marketing	Art. 6(1)(a) — Consenso esplicito
Adempimento obblighi legali	Art. 6(1)(c) — Obbligo legale

5. Utilizzo dei Dati Personali

La Società può utilizzare i Dati Personali per:

Fornire e mantenere il Servizio, incluso il monitoraggio dell'utilizzo.
Gestire l'Account dell'Utente e le relative funzionalità.
Eseguire il contratto: sviluppo e adempimento del contratto di acquisto o abbonamento.
Contattare l'Utente tramite email, telefono, SMS o notifiche push per aggiornamenti, comunicazioni operative e di sicurezza.
Inviare notifiche transazionali ai clienti finali del ristorante: il sistema invia automaticamente email di aggiornamento stato ordine (ordine confermato, in preparazione, pronto al ritiro o alla consegna). Queste comunicazioni sono strettamente operative e non richiedono consenso marketing separato.
Inviare offerte e informazioni su servizi analoghi a quelli già acquistati, salvo opposizione.
Gestire le richieste dell'Utente.
Trasferimenti aziendali: in caso di fusione, acquisizione o vendita di asset.
Analisi e miglioramento: tendenze di utilizzo, valutazione delle campagne, miglioramento del Servizio.

6. Condivisione dei Dati Personali

Possiamo condividere i Dati Personali nei seguenti casi:

Con i Responsabili del Trattamento (vedi sezione dedicata).
Per trasferimenti aziendali: fusione, vendita di asset, finanziamento o acquisizione.
Con gli Affiliati: tenuti al rispetto della presente Informativa.
Con partner commerciali: per offrire determinati prodotti o servizi.
Con il consenso dell'Utente: per qualsiasi altra finalità previo consenso esplicito.

7. Responsabili del Trattamento Terzi

La Società si avvale dei seguenti responsabili del trattamento, con i quali ha stipulato accordi conformi al GDPR (DPA):

Fornitore	Finalità	Sede operativa / Server
Supabase Inc.	Database, autenticazione, Edge Functions, invio email transazionali	USA (server EU — Francoforte)
Stripe Inc. — Abbonamenti SaaS	Elaborazione pagamenti abbonamento 6NFC dei gestori	USA (server EU, certificato PCI-DSS Level 1)
Stripe Inc. — Stripe Connect	Elaborazione pagamenti con carta dei clienti finali del ristorante (ordini pickup/delivery)	USA (server EU, certificato PCI-DSS Level 1)
OpenStreetMap / Nominatim	Geocodifica dell'indirizzo di consegna per il calcolo della distanza (solo ordini delivery). L'indirizzo inserito dal cliente viene inviato ai server OSM per ottenere le coordinate geografiche.	Server distribuiti EU (osmfoundation.org)

Stripe — Abbonamenti SaaS (gestori)

I dati di pagamento (numero di carta, CVV) dei gestori non transitano sui nostri server. L'elaborazione avviene direttamente sull'infrastruttura Stripe certificata PCI-DSS Level 1. Conserviamo esclusivamente il Stripe Customer ID associato all'account del gestore.

Stripe Connect — Pagamenti clienti finali

Per accettare pagamenti con carta dai propri clienti, ogni ristoratore può collegare un proprio account Stripe tramite Stripe Connect. In questo caso il pagamento avviene direttamente tra il cliente finale e l'account Stripe del ristoratore. La Società non accede ai dati di carta del cliente finale; Stripe agisce come responsabile del trattamento sia per la Società sia per il ristoratore.

Supabase

I dati sono memorizzati su server Supabase nella regione Europa (Francoforte, Germania). L'eventuale trasferimento verso USA avviene tramite Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea.

OpenStreetMap / Nominatim

L'indirizzo di consegna inserito dal cliente viene trasmesso all'API pubblica Nominatim (OpenStreetMap Foundation) esclusivamente per ricavare le coordinate geografiche necessarie al calcolo della distanza dal locale. Non vengono trasmessi altri dati personali. OpenStreetMap Foundation ha sede nel Regno Unito; il trasferimento avviene tramite accordi adeguati post-Brexit.

8. Conservazione dei Dati Personali

Categoria di dado	Periodo massimo
Account gestore	Durata rapporto + 24 mesi dalla chiusura
Dati di supporto e corrispondenza	24 mesi dalla chiusura del ticket
Dati analitici e di utilizzo	24 mesi dalla raccolta
Log del server (IP, accessi)	24 mesi per sicurezza
Dati di fatturazione	10 anni (obbligo fiscale, D.P.R. 600/1973)
Nome, telefono, email, indirizzo cliente (ordini menu)	Sino alla cancellazione da parte del gestore del locale (Titolare del Trattamento per questi dati)
UUID dispositivo cliente	Sino alla cancellazione del localStorage da parte dell'utente (solo lato browser — non è conservato su server)

Possiamo conservare i dati oltre tali periodi per: obbligo di legge, difesa in giudizio, richiesta esplicita dell'Utente, o limitazioni tecniche (backup cifrati con eliminazione programmata). Alla scadenza dei periodi di conservazione, i Dati Personali vengono eliminati in modo sicuro o resi anonimi.

9. Trasferimento dei Dati Personali

I dati possono essere trasferiti e trattati al di fuori dello Spazio Economico Europeo (SEE). Il trasferimento verso paesi terzi avviene nel rispetto degli artt. 44–49 GDPR, in particolare tramite Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea o altri meccanismi di garanzia adeguati.

La Società adotta tutte le misure ragionevolmente necessarie per garantire che i dati siano trattati in modo sicuro e in conformità con la presente Informativa.

10. Cancellazione dei Dati Personali

L'Utente ha il diritto di richiedere la cancellazione dei propri Dati Personali:

Gestori: scrivere all'email info@6nfc.it per richiedere la cancellazione dell'account e dei dati associati.
Clienti finali del menu: non dispongono di un account diretto. I dati (nome, storico ordini) sono gestiti dal ristorante; per la cancellazione rivolgersi al gestore del locale.
UUID dispositivo: eliminabile in qualsiasi momento svuotando i dati del browser (localStorage / Cancella dati di navigazione).

Si noti che potremmo dover conservare determinate informazioni in presenza di obblighi legali o per difesa in giudizio.

11. Divulgazione dei Dati Personali

Operazioni Aziendali

In caso di fusione, acquisizione o vendita di asset, i Dati Personali potrebbero essere trasferiti. Forniremo comunicazione prima del trasferimento e prima che i dati siano soggetti a una diversa Informativa sulla Privacy.

Autorità Pubbliche

La Società potrebbe essere tenuta a divulgare i Dati Personali in risposta a richieste legittime di autorità pubbliche (es. tribunale, forze dell'ordine, Guardia di Finanza).

Altri Requisiti Legali

La Società può divulgare i Dati Personali in buona fede quando necessario per:

Adempiere a un obbligo di legge
Proteggere i diritti o la proprietà della Società
Prevenire o indagare eventuali illeciti connessi al Servizio
Proteggere la sicurezza degli Utenti o del pubblico
Difendersi da responsabilità legali

12. Sicurezza dei Dati Personali

La sicurezza dei Dati Personali è importante per noi. Adottiamo misure tecniche e organizzative adeguate per proteggere i dati da accesso non autorizzato, perdita, divulgazione o distruzione. Tuttavia, nessun metodo di trasmissione via Internet o di archiviazione elettronica è sicuro al 100% e non possiamo garantirne la sicurezza assoluta.

13. Sospensione del Servizio

Causa di Forza Maggiore

Il Servizio potrà essere sospeso, interrotto o limitato in caso di eventi di forza maggiore, inclusi a titolo esemplificativo e non esaustivo:

Interruzioni o guasti dei server o dell'infrastruttura informatica (propria o di fornitori terzi)
Interruzioni delle comunicazioni elettroniche o delle reti Internet
Interruzioni nell'erogazione dell'energia elettrica
Calamità naturali, eventi atmosferici eccezionali, pandemie
Provvedimenti delle autorità pubbliche o restrizioni normative
Qualsiasi altro evento imprevedibile, inevitabile e non imputabile alla Società

In tali casi la Società non sarà responsabile per i disservizi derivanti da tali eventi e si impegna a ripristinare il Servizio nel minor tempo possibile, informando i gestori sullo stato del ripristino ove tecnicamente possibile.

Sospensione per Mancato Pagamento

Il Servizio può essere sospeso in caso di mancato pagamento del canone di abbonamento entro i termini previsti dal contratto.

In caso di sospensione per mancato pagamento:

Il gestore riceverà un avviso preventivo via email prima della sospensione.
Il Servizio verrà riattivato entro 24 ore lavorative dal saldo integrale di quanto dovuto, inclusi eventuali interessi di mora.
I dati del ristorante (menu, ordini, configurazioni) saranno conservati per un massimo di 90 giorni dalla data di sospensione. Decorso tale termine senza regolarizzazione, la Società si riserva il diritto di procedere alla cancellazione definitiva e irreversibile dei dati.

Il gestore è invitato a contattare il servizio clienti in caso di difficoltà nei pagamenti, per valutare soluzioni alternative prima della sospensione.

14. Diritti dell'Interessato (GDPR, artt. 15–22)

In qualità di interessato, l'Utente ha i seguenti diritti:

Accesso (art. 15)

Ottenere conferma del trattamento e copia dei dati personali detenuti.

Rettifica (art. 16)

Correggere dati inesatti o incompleti.

Cancellazione (art. 17)

Richiedere la cancellazione dei dati ("diritto all'oblio").

Limitazione (art. 18)

Limitare il trattamento in determinati casi previsti dalla legge.

Portabilità (art. 20)

Ricevere i dati in formato strutturato e leggibile da macchina.

Opposizione (art. 21)

Opporsi al trattamento basato su legittimo interesse o per marketing diretto.

Revoca consenso (art. 7)

Revocare il consenso in qualsiasi momento, senza pregiudizio per la liceità del trattamento precedente.

Per esercitare questi diritti, scrivere a info@6nfc.it. La Società risponde entro 30 giorni dalla richiesta (art. 12 GDPR), prorogabili di ulteriori 60 giorni in caso di particolare complessità.

L'Utente ha altresì il diritto di proporre reclamo al Garante per la protezione dei dati personali:
www.garanteprivacy.it — Piazza Venezia 11, 00187 Roma

15. Privacy dei Minori

Il Servizio non si rivolge a soggetti di età inferiore ai 16 anni. Non raccogliamo consapevolmente dati da minori di 16 anni. Se sei un genitore o tutore e ritieni che tuo figlio ci abbia fornito dati personali, contattaci immediatamente. In tal caso adottiamo le misure necessarie per rimuovere le informazioni dai nostri sistemi.

16. Link ad Altri Siti Web

Il Servizio può contenere link a siti web non gestiti dalla Società. Cliccando su un link di terze parti, l'Utente verrà indirizzato al sito di quel terzo. Non abbiamo controllo né responsabilità per il contenuto, i prodotti o le politiche sulla privacy di siti di terze parti. Si consiglia di consultare l'informativa privacy di ogni sito visitato.

17. Modifiche alla presente Informativa

Potremmo aggiornare periodicamente la presente Informativa sulla Privacy. In caso di modifiche sostanziali, informeremo l'Utente tramite email e/o avviso prominente sul Servizio, prima che la modifica diventi effettiva, aggiornando la data "Ultimo aggiornamento" in cima alla pagina.

Si consiglia di consultare periodicamente la presente Informativa. Le modifiche diventano efficaci al momento della pubblicazione.

18. Contattaci

Per qualsiasi domanda sulla presente Informativa sulla Privacy o per esercitare i diritti GDPR:

Email: info@6nfc.it
Sito web: www.6nfc.it
Indirizzo: Via Modigliani 1, 40060 Toscanella di Dozza (BO), Italia