Informativa GDPR

Il Regolamento UE 2016/679 (GDPR) è in vigore dal 25 maggio 2018 e si applica a Koverti in quanto azienda con sede nell'Unione Europea che tratta dati personali di soggetti fisici. Nell'ambito del Servizio, Koverti assume due ruoli distinti: (a) Titolare del trattamento (Data Controller) per i dati personali degli utenti registrati (ristoratori), trattati per l'erogazione del servizio, la fatturazione e le comunicazioni; (b) Responsabile del trattamento (Data Processor) ai sensi dell'art. 28 GDPR per i dati degli ospiti dei ristoranti (dati di prenotazione, ordini, preferenze), trattati per conto e su istruzione del ristoratore cliente, che rimane Titolare autonomo. Il rapporto tra Koverti e il ristoratore cliente è regolato dal Data Processing Agreement (DPA) allegato ai Termini di Servizio, che descrive le istruzioni di trattamento, le misure di sicurezza adottate e le condizioni per l'utilizzo di sub-responsabili.

Koverti tratta i dati personali esclusivamente in presenza di una valida base giuridica ai sensi dell'art. 6 GDPR: (a) Esecuzione del contratto (art. 6.1.b): trattamento necessario per fornire il servizio sottoscritto, gestire l'account, inviare comunicazioni operative e supporto tecnico; (b) Obbligo legale (art. 6.1.c): conservazione di dati fiscali e contabili ai sensi della normativa italiana, risposta a richieste di autorità competenti; (c) Legittimo interesse (art. 6.1.f): sicurezza della piattaforma, prevenzione di frodi e abusi, analisi aggregate per il miglioramento del prodotto — previa verifica del bilanciamento degli interessi; (d) Consenso (art. 6.1.a): comunicazioni di marketing, newsletter, utilizzo di cookie non tecnici — il consenso può essere revocato in qualsiasi momento senza pregiudizio per i trattamenti precedenti. Per i dati appartenenti a categorie particolari (art. 9 GDPR), incluse eventuali note su allergie o condizioni di salute degli ospiti dei ristoranti, la base giuridica è il consenso esplicito dell'interessato (art. 9.2.a), che il ristoratore Titolare è responsabile di raccogliere.

In qualità di interessato, puoi esercitare in qualsiasi momento i seguenti diritti: Diritto di accesso (art. 15): ottenere conferma del trattamento e copia dei dati personali trattati, con informazioni su finalità, categorie di dati, destinatari, periodo di conservazione. Diritto di rettifica (art. 16): ottenere la correzione di dati inesatti o l'integrazione di dati incompleti. Diritto alla cancellazione / oblio (art. 17): ottenere la cancellazione dei dati, salvo che la conservazione sia necessaria per adempiere obblighi di legge o per l'accertamento di diritti in sede giudiziaria. Diritto di limitazione (art. 18): ottenere la sospensione del trattamento nei casi previsti dalla norma. Diritto alla portabilità (art. 20): ricevere i dati forniti in formato strutturato, leggibile da dispositivo automatico (es. JSON), e trasmetterli a un altro titolare. Diritto di opposizione (art. 21): opporsi al trattamento basato su legittimo interesse o finalità di marketing diretto. Diritto di non essere sottoposto a decisioni automatizzate (art. 22): non essere soggetto a decisioni basate esclusivamente su trattamento automatizzato che producano effetti giuridici significativi. Per esercitare i propri diritti: gdpr@koverti.com. Risposta entro 30 giorni (prorogabili a 90 in caso di complessità). È possibile proporre reclamo al Garante per la Protezione dei Dati Personali: www.garanteprivacy.it.

Koverti ha designato un Responsabile della Protezione dei Dati (Data Protection Officer — DPO) ai sensi dell'art. 37 GDPR. Il DPO è il punto di riferimento per tutte le questioni relative alla protezione dei dati personali, sia per gli interessati sia per il Garante Privacy. Il DPO è raggiungibile all'indirizzo: dpo@koverti.com. Il DPO opera in modo indipendente e riferisce direttamente al vertice aziendale. È responsabile di monitorare la conformità al GDPR, fornire consulenza interna, cooperare con l'autorità di controllo e fungere da punto di contatto per gli interessati. [NOTA PER L'AVVOCATO: verificare obbligo di nomina DPO per la tipologia di trattamenti effettuati — obbligatorio se trattamento su larga scala di categorie particolari o monitoraggio sistematico.]

I dati personali sono conservati su infrastrutture cloud all'interno dell'Unione Europea. Koverti si avvale dei seguenti sub-responsabili del trattamento che possono trattare dati personali al di fuori dello Spazio Economico Europeo: Supabase Inc. (database, autenticazione, storage) — dati conservati in data center UE; Stripe Inc. (pagamenti) — sede in Lussemburgo con trasferimenti verso USA coperti da Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea; Resend Inc. (email transazionali) — USA con SCC; Cloudflare Inc. (CDN e protezione DDoS) — USA con SCC e Binding Corporate Rules. Per tutti i trasferimenti di dati verso paesi terzi che non beneficiano di una decisione di adeguatezza della Commissione Europea, Koverti adotta le Clausole Contrattuali Standard (Standard Contractual Clauses — SCC) nella versione approvata dalla Commissione Europea con Decisione del 4 giugno 2021. L'elenco aggiornato dei sub-responsabili è disponibile alla pagina: /subprocessors. I clienti vengono notificati via email con 30 giorni di preavviso prima dell'aggiunta di nuovi sub-responsabili. [NOTA PER L'AVVOCATO: verificare region Supabase, aggiornare lista sub-responsabili, verificare SCC aggiornate.]

Koverti adotta misure tecniche e organizzative adeguate per proteggere i dati personali da accessi non autorizzati, perdita, distruzione o divulgazione accidentale, in conformità all'art. 32 GDPR. In caso di violazione dei dati personali (data breach), Koverti: (a) documenta internamente la violazione nel registro delle violazioni, incluse le circostanze, le conseguenze e le misure correttive adottate, come previsto dall'art. 33.5 GDPR; (b) valuta il rischio per i diritti e le libertà degli interessati; (c) notifica la violazione al Garante per la Protezione dei Dati Personali entro 72 ore dalla presa di conoscenza, qualora la violazione presenti un rischio per i diritti e le libertà degli interessati (art. 33 GDPR); (d) comunica la violazione agli interessati senza ingiustificato ritardo, qualora la violazione presenti un rischio elevato per i diritti e le libertà degli interessati (art. 34 GDPR). I clienti ristoratori vengono notificati tempestivamente qualora la violazione coinvolga dati degli ospiti del loro ristorante, al fine di consentire loro di adempiere ai propri obblighi in qualità di Titolari del trattamento.