Eativia

Informativa sul trattamento dei dati personali

Versione 1.0.0 — ultimo aggiornamento: 6 maggio 2026

La presente informativa è resa, ai sensi degli articoli 13 e 14 del Regolamento (UE) 2016/679 («GDPR») e del D.Lgs. 196/2003 («Codice Privacy»), a tutti i soggetti che interagiscono con il servizio Eativia: in particolare, ai ristoratori che si registrano alla piattaforma, ai loro collaboratori, ai richiedenti demo e ai visitatori dei menu digitali pubblici (clienti finali dei ristoratori).

1. Titolare del trattamento

Titolare del trattamento è Marco Carletti(ditta individuale in regime forfettario), con sede in Via della Liberazione 25, 65032 Atri (TE), P.IVA 02191610670, non iscritto al REA, di seguito «Eativia».

  • Email: support@eativia.com
  • Responsabile della Protezione dei Dati (DPO): non designato — designazione non obbligatoria ai sensi dell'art. 37 GDPR per l'attuale dimensione del trattamento.

2. Categorie di dati trattati

2.1 Ristoratori e collaboratori (utenti registrati)

  • Dati anagrafici e di contatto: nome, cognome, indirizzo email, numero di telefono.
  • Credenziali di accesso: hash della password (algoritmo bcrypt, cost 12); per gli accessi tramite Google OAuth, identificativo dell'account Google e foto profilo.
  • Dati relativi all'attività di ristorazione: ragione sociale, ubicazione, descrizione, immagini caricate, contenuti del menu.
  • Dati di pagamento e fatturazione: gestiti integralmente da Stripe Payments Europe Ltd.; Eativia conserva soltanto identificatori tecnici (Stripe customer ID, subscription ID) e lo stato dell'abbonamento.
  • Log di consenso: data, versione del documento accettato, hash dell'indirizzo IP e user-agent al momento dell'accettazione (cfr. art. 7, par. 1, GDPR).

2.2 Richiedenti demo (utenti non ancora registrati)

Tramite il modulo di richiesta demo raccogliamo: nome, email, telefono, ragione sociale e ubicazione del ristorante, fonte di riferimento. Il consenso al trattamento e l'eventuale opt-in marketing vengono registrati con le stesse modalità del punto precedente.

2.3 Visitatori del menu pubblico (clienti finali del ristoratore)

  • Identificativo di sessione anonimo (UUID v4) generato lato client e memorizzato in sessionStorage solo previo consenso tramite cookie banner.
  • Tipo di dispositivo (mobile/tablet/desktop), sorgente di traffico (QR code o link web), referrer della pagina di provenienza.
  • Eventi di interazione con il menu: visualizzazioni di categorie, prodotti e offerte, ricerche, aggiunte al carrello virtuale.
  • Dati di feedback (facoltativi): valutazione 1-5 stelle ed eventuale messaggio testuale (max. 1.000 caratteri). Non sono richiesti email, telefono o nome. Insieme al feedback viene conservato l'hash SHA-256 dell'IP per finalità anti-spam.

Eativia non memorizza l'indirizzo IP in chiaro, non utilizza cookie pubblicitari né tecniche difingerprinting, e non condivide i dati dei visitatori con piattaforme di profilazione di terze parti.

3. Finalità e basi giuridiche

FinalitàBase giuridica
Erogazione del servizio (creazione account, gestione menu, pubblicazione, supporto).Esecuzione di un contratto — art. 6, par. 1, lett. b) GDPR.
Adempimenti contabili e fiscali (fatturazione tramite Stripe).Obbligo di legge — art. 6, par. 1, lett. c) GDPR.
Sicurezza informatica, prevenzione abusi, anti-spam.Legittimo interesse — art. 6, par. 1, lett. f) GDPR.
Statistiche aggregate sul menu (analytics anonime, attivate solo previo consenso).Consenso — art. 6, par. 1, lett. a) GDPR.
Comunicazioni commerciali e di marketing diretto a ristoratori e richiedenti demo.Consenso facoltativo, revocabile in qualsiasi momento.

4. Modalità del trattamento e tempi di conservazione

  • Account ristoratore: per tutta la durata del contratto e successivamente per 10 anni, ai sensi dell'art. 2220 c.c. (obblighi contabili).
  • Richieste demo non convertite: 24 mesi dalla ricezione, salvo conversione in account.
  • Eventi analytics grezzi: 30 giorni; successiva aggregazione anonima a tempo indeterminato.
  • Feedback dei clienti: conservati per la durata dell'abbonamento del ristoratore, eliminati entro 30 giorni dalla cessazione.
  • Log di consenso: 10 anni, ai sensi del principio di accountability (art. 5, par. 2 e art. 7, par. 1 GDPR).
  • Token di registrazione, reset password, verifica email: eliminati al primo utilizzo o entro 24-72 ore dalla scadenza.

5. Destinatari e responsabili esterni del trattamento

I dati vengono comunicati ai seguenti fornitori, ciascuno designato come responsabile del trattamento ex art. 28 GDPR sulla base di accordi DPA pubblicati dai rispettivi titolari:

  • Supabase, Inc. (sede legale: USA) — hosting database PostgreSQL, storage di file e RPC. I dati sono conservati nella regione eu-central-1 (Francoforte); poiché il fornitore è soggetto alla giurisdizione statunitense, eventuali accessi remoti dal personale di Supabase sono coperti dalle Standard Contractual Clauses approvate dalla Commissione UE.
  • Stripe Payments Europe, Ltd. (Irlanda) — gestione abbonamenti e pagamenti. Politica privacy: stripe.com/it/privacy.
  • Vercel, Inc. (USA) — hosting front-end e funzioni serverless; SCC come sopra.
  • Google Ireland, Ltd. (Irlanda) — autenticazione OAuth (solo se l'utente sceglie «Continua con Google»).
  • Resend, Inc. (USA) — invio di email transazionali (verifica email, recupero password, inviti collaboratori, notifiche di sistema). Trasferimento extra-UE coperto da Standard Contractual Clauses. Politica privacy: resend.com/legal/privacy-policy.

Lo stesso fornitore Resend, Inc. è utilizzato anche per l'invio di eventuali comunicazioni commerciali, limitatamente agli utenti che hanno prestato consenso opt-in al momento della registrazione o tramite preferenze account.

6. Trasferimenti extra-UE

Alcuni dei fornitori indicati hanno sede o infrastruttura negli Stati Uniti. I trasferimenti sono coperti dalle Standard Contractual Clauses (decisione di esecuzione UE 2021/914) e, ove applicabili, dal EU-US Data Privacy Framework. Misure supplementari: cifratura in transito (TLS 1.2+) e a riposo, minimizzazione dei dati, hashing degli identificatori sensibili.

7. Diritti dell'interessato

L'interessato può, in ogni momento, esercitare i diritti previsti dagli articoli 15-22 del GDPR: accesso, rettifica, cancellazione, limitazione, portabilità, opposizione e revoca del consenso. Le richieste vanno inviate a support@eativia.com e saranno evase entro 30 giorni. La revoca del consenso non pregiudica la liceità del trattamento svolto fino a quel momento.

8. Reclamo all'Autorità di controllo

È sempre possibile proporre reclamo al Garante per la protezione dei dati personali (www.garanteprivacy.it) o all'autorità dello Stato membro UE di residenza abituale, del luogo di lavoro o del luogo della presunta violazione.

9. Modifiche

La presente informativa può essere aggiornata. Le modifiche sostanziali saranno notificate via email agli utenti registrati; per i visitatori del menu pubblico, in caso di modifica della Cookie Policy verrà ripresentato il banner per acquisire un nuovo consenso. La versione corrente del documento è 1.0.0.