Privacy Policy (GDPR)

La presente informativa riguarda due categorie di interessati con ruoli diversi:

Se sei un Ristoratore (cliente B2B di MenuChat)

Il Titolare del trattamento dei tuoi dati e:

• MenuChat SRL

• Sede legale: Via del Francione 26, 50143 Firenze (FI)

• P.IVA: IT07521420484

• Legali rappresentanti: Marco Benvenuti, Federico Desantis

• Email: hello@menuchat.it

Se sei un Cliente Finale (avventore di un ristorante)

Il Titolare del trattamento dei tuoi dati e il Ristorante presso cui ti trovi. MenuChat SRL agisce come Responsabile del trattamento (Data Processor) per conto del Ristorante, fornendo la piattaforma tecnologica. Per informazioni specifiche sul trattamento dei tuoi dati, puoi rivolgerti direttamente al Ristorante o contattare MenuChat SRL all'indirizzo hello@menuchat.it.

MenuChat raccoglie le seguenti categorie di dati personali:

2.1 Dati dei Ristoratori (Clienti B2B)

• Dati di registrazione: email, password (crittografata)

• Dati del ristorante: nome, indirizzo, telefono, email, sito web

• Dati di localizzazione: coordinate GPS (se fornite da Google Places)

• Dati di pagamento: gestiti tramite Stripe (non conservati sui nostri server)

• Preferenze: lingua, timezone, preferenze di notifica email

2.2 Dati dei Clienti Finali (Avventori del Ristorante)

• Contatti WhatsApp: nome e numero di telefono (conservati solo per i contatti che hanno dato consenso esplicito; cancellati per chi rifiuta o non esprime il consenso)

• Consenso marketing: stato di opt-in/opt-out con data, fonte, indirizzo IP e user agent al momento del consenso

• Dati di navigazione: IP, user agent, lingua del browser

• Feedback recensioni: valutazione (1-5 stelle), testo del feedback, IP

2.3 Dati di Analytics (previo consenso)

• Session ID anonimo

• Tipo dispositivo (mobile/tablet/desktop)

• Eventi di interazione con il menu digitale

• Nota: i cookie analitici e di marketing vengono attivati solo previo consenso esplicito dell'utente tramite il banner cookie

I dati personali vengono trattati per le seguenti finalità:

3.1 Erogazione del Servizio

• Creazione e gestione account utente

• Generazione e hosting di menu digitali

• Invio messaggi WhatsApp automatizzati (richieste recensioni, campagne marketing)

3.2 Comunicazioni di Servizio

• Notifiche transazionali (promemoria, conferme)

• Report statistici (giornalieri, settimanali)

• Suggerimenti per campagne marketing

3.3 Indagini di Soddisfazione (legittimo interesse)

• Invio di una singola richiesta di recensione dopo la visita al ristorante

• Base giuridica: legittimo interesse del ristoratore nel contesto della relazione commerciale in corso (Art. 6(1)(f) GDPR)

• L'invio avviene solo nel contesto di una conversazione iniziata dal cliente

3.4 Marketing (previo consenso esplicito)

• Invio di offerte e promozioni via WhatsApp ai contatti che hanno dato consenso

• Il contenuto delle campagne e redatto dal ristoratore (o generato tramite AI su sua istruzione) e inviato a tutti i contatti con consenso, senza segmentazione comportamentale

• Il consenso per le comunicazioni marketing e distinto e separato dalla richiesta di recensione

**Nota sulla profilazione**: MenuChat NON effettua profilazione ai sensi dell'Art. 22 GDPR. Non vengono creati profili comportamentali, cluster di preferenze o analisi automatizzate dei gusti degli avventori. L'eventuale etichettatura dei contatti (tag) e effettuata manualmente dal ristoratore e non deriva da processi automatizzati di analisi comportamentale.

3.4 Miglioramento del Servizio

• Analytics aggregate per migliorare l'esperienza utente

• Analisi delle performance del menu digitale

Il trattamento dei dati si basa sulle seguenti basi giuridiche (Art. 6 GDPR):

• Esecuzione del contratto (Art. 6.1.b): per l'erogazione del servizio MenuChat ai ristoratori

• Consenso (Art. 6.1.a): per l'invio di comunicazioni di marketing (offerte, promozioni) ai clienti finali

• Legittimo interesse (Art. 6.1.f): per indagini di soddisfazione (richieste di recensione nel contesto della relazione commerciale), analytics aggregate e miglioramento del servizio

• Obbligo legale (Art. 6.1.c): per adempimenti fiscali e contabili

I dati personali possono essere comunicati a:

5.1 Fornitori di Servizi (Sub-responsabili)

• Twilio Inc. (USA): per l'invio di messaggi WhatsApp - server anche extra-UE con SCC

• Stripe Inc. (USA): per la gestione dei pagamenti - certificato PCI-DSS

• MongoDB Atlas (USA/UE): per l'hosting del database

• Resend (USA): per l'invio di email transazionali

• Meta Platforms (USA): per cookie di marketing (Meta Pixel), attivato solo previo consenso

• Vercel (USA): per l'hosting dell'applicazione frontend

5.2 Trasferimenti Extra-UE

Alcuni fornitori hanno sede negli Stati Uniti. I trasferimenti avvengono sulla base di:

• Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea

• Certificazioni di adeguatezza (es. Data Privacy Framework)

I dati personali vengono conservati per i seguenti periodi:

• Dati account ristoratore: per tutta la durata del contratto + 10 anni (obblighi fiscali)

• Dati contatti WhatsApp con consenso: fino a revoca consenso o cancellazione account ristoratore. Alla revoca, i dati vengono cancellati completamente

• Dati contatti WhatsApp senza consenso esplicito: cancellati immediatamente una volta inviata richiesta di customer satisfaction

• Dati analytics anonimi: 90 giorni (cancellazione automatica)

• Log di sistema: 30 giorni

Alla cessazione del contratto, i dati vengono conservati per 30 giorni per permettere eventuali riattivazioni, dopodiché vengono cancellati definitivamente.

Ai sensi degli Artt. 15-22 del GDPR, l'interessato ha diritto di:

• Accesso (Art. 15): ottenere conferma del trattamento e copia dei dati

• Rettifica (Art. 16): correggere dati inesatti o incompleti

• Cancellazione (Art. 17): richiedere la cancellazione dei dati ("diritto all'oblio")

• Limitazione (Art. 18): limitare il trattamento in determinati casi

• Portabilità (Art. 20): ricevere i dati in formato strutturato e trasferirli

• Opposizione (Art. 21): opporsi al trattamento per motivi legittimi

• Revoca del consenso: revocare in qualsiasi momento il consenso prestato

Per esercitare questi diritti, contattare: hello@menuchat.it

È inoltre possibile proporre reclamo all'Autorità Garante per la Protezione dei Dati Personali (www.garanteprivacy.it).

MenuChat adotta le seguenti misure tecniche e organizzative per proteggere i dati:

Misure Tecniche

• Crittografia delle password con algoritmo bcrypt + salt

• Crittografia dei dati in transito (HTTPS/TLS 1.3)

• Hash SHA-256 per i numeri di telefono

• Backup giornalieri crittografati

• Firewall e protezione DDoS

Misure Organizzative

• Accesso ai dati limitato al personale autorizzato

• Formazione sulla protezione dei dati

• Procedure di risposta agli incidenti di sicurezza

• Revisione periodica delle policy di sicurezza

MenuChat utilizza le seguenti tecnologie. Al primo accesso, un banner consente all'utente di scegliere quali categorie di cookie accettare.

Cookie Tecnici (necessari - sempre attivi)

• Cookie di sessione per l'autenticazione (NextAuth)

• Cookie di preferenze (lingua, tema, stato sidebar)

• Questi cookie sono necessari per il funzionamento del servizio e non richiedono consenso

Cookie Analitici (previo consenso)

• Session ID anonimo per analytics aggregate sul menu digitale

• Dati di interazione con il menu (click, scroll, tempo di visualizzazione)

Cookie di Marketing (previo consenso)

• Meta Pixel (Facebook): per misurare l'efficacia delle campagne pubblicitarie

• Questi cookie vengono attivati SOLO dopo il consenso esplicito dell'utente

Local Storage

• Token di autenticazione (JWT)

• Preferenze utente e consenso cookie

L'utente puo modificare le proprie preferenze in qualsiasi momento cancellando i dati del sito dal browser.

Il servizio di messaggistica WhatsApp è erogato tramite le API di Twilio e WhatsApp (Meta Platforms, Inc.).

10.1 Tipologie di Messaggi

• Messaggi transazionali (conferme, promemoria)

• Messaggi di marketing (solo con consenso esplicito)

10.2 Opt-out

I clienti finali possono in qualsiasi momento:

• Revocare il consenso marketing cliccando sul link di disiscrizione

• Rispondere "STOP" ai messaggi ricevuti

• Contattare il ristorante per richiedere la cancellazione

10.3 Responsabilità

• Il Ristoratore è Titolare del trattamento dei dati dei propri clienti

• MenuChat agisce come Responsabile del trattamento (Data Processor)

• Twilio agisce come Sub-responsabile

I pagamenti sono gestiti esclusivamente tramite Stripe, piattaforma certificata PCI-DSS Level 1.

• MenuChat NON conserva numeri di carta di credito sui propri server

• I dati di pagamento sono crittografati e gestiti interamente da Stripe

• Conserviamo solo riferimenti alle transazioni (ID transazione, importo, data)

Per informazioni sul trattamento dei dati da parte di Stripe, consultare: https://stripe.com/privacy

MenuChat è un servizio B2B destinato a ristoratori e non raccoglie intenzionalmente dati di minori di 16 anni.

Se venissimo a conoscenza di aver raccolto dati di un minore senza il consenso dei genitori, procederemo alla cancellazione immediata.

Il Titolare si riserva il diritto di modificare questa Privacy Policy in qualsiasi momento.

Le modifiche saranno comunicate tramite:

• Pubblicazione sulla piattaforma con data di aggiornamento

• Notifica via email per modifiche sostanziali

Si consiglia di consultare periodicamente questa pagina.