Informativa sul trattamento dei dati personali relative agli avventori e utenti dell'applicativo di prenotazione
A.V.E. SAS di Andrea gazzera e c. (di seguito, il "Titolare del Trattamento" o il "Ristorante") in qualità di titolare del trattamento, informa ai sensi dell'Articolo 13 del Regolamento UE n. 2016/679 ("GDPR") e dalla normativa applicabile in materia di protezione dei dati personali rappresentata dal D.lgs. 196/2003, così come successivamente modificato dal D.lgs. 101/2018 e ss. mm. e ii. (di seguito, "Codice Privacy"), nonché da qualsiasi e ulteriore regolamentazione emanata dal Garante (*e.g.* provvedimenti, linee guida, autorizzazioni generali, *etc*.) (di seguito, "Normativa Privacy") che i dati forniti dagli avventori e utenti del Ristorante (l'"Interessato" o l'"Utente") tramite l'applicativo disponibile all'URL https://experience.menumal.com/book-rossorubinoenotecaristorante (la "Piattaforma"), indipendentemente dalle modalità e dallo strumento utilizzato, saranno trattati con le modalità e per le finalità seguenti.
Si precisa che la presente informativa è resa per la Piattaforma nel suo complesso, e non anche per altri siti, pagine o servizi *online* raggiungibili tramite *link* ipertestuali eventuali pubblicati o presenti sulla Piattaforma ma riferiti a risorse esterne al dominio del Ristorante, eventualmente consultati dall'Interessato.
1. Il Titolare del trattamento dei dati personali
Titolare del trattamento è A.V.E. SAS di Andrea gazzera e c. (P.IVA: 08160000017), con sede legale in Via Madama Cristina, 21, 10125 Torino TO, Italia.
Il Titolare del Trattamento mette a disposizione il seguente indirizzo di posta elettronica per ogni comunicazione: Info@rossorubino.net
Il Titolare del Trattamento potrà designare uno o più responsabili del trattamento dei dati personali ai sensi dell'articolo 28 del GDPR, che, per conto del Titolare del Trattamento, forniscono specifici servizi elaborativi o attività connesse, strumentali o di supporto adottando tutte quelle misure tecniche e organizzative adeguate a tutelare i diritti, le libertà e i legittimi interessi che sono riconosciuti per legge agli Interessati. In particolare, il Ristorante si avvale dei servizi di prenotazione e agenda forniti da Siligon S.r.l. attraverso la piattaforma "Menumal Experience", in qualità di Responsabile del trattamento dei dati personali debitamente nominato ai sensi dell'Articolo 28 del GDPR.
2. Description of processing
Il trattamento avrà ad oggetto singole operazioni, o un complesso di operazioni, dei seguenti dati personali forniti dall'Interessato in occasione della fruizione dei servizi resi dal Titolare del Trattamento, tramite la Piattaforma, come descritto nella seguente tabella (i "Dati Personali" o i "Dati"):
| Type | Purpose of Processing | Legal Basis | Retention Period |
|---|---|---|---|
Dati di prenotazione dell'Utente: Dati comuni: nome, cognome, e-mail, numero di telefono, data e ora della prenotazione, ricorrenza manifestata per la prenotazione, dati di pagamento, eventuali ulteriori dati forniti volontariamente dall'utente (es: preferenze alimentari etc.). Dati appartenenti a categorie particolari, tra cui dati relativi alla salute (allergie e intollerante alimentari; disabilità motorie per l'accessibilità al ristorante etc.) ed eventuali ulteriori dati forniti volontariamente dall'Utente. | Elaborare e dare seguito alla richiesta di prenotazione dell'Utente in occasione di compilazione del form di prenotazione presente sulla Piattaforma; inviare comunicazioni connesse ai servizi di prenotazione. | Esecuzione di un contratto di cui l'Interessato è parte o esecuzione di misure precontrattuali adottate su richiesta dello stesso (Articolo 6, paragrafo 1, lettera b) del GDPR) e, con riguardo ai dati particolari, consenso espresso dell'Interessato manifestato in fase di compilazione del form di prenotazione (Art. 9, par. 2, lett. a), del GDPR). L'Interessato potrà sempre revocare il consenso scrivendo agli indirizzi di contatto del Titolare del Trattamento. | Nel caso di conclusione della prenotazione i suoi Dati saranno conservati per dieci (10) anni decorrenti dalla data di consumazione presso il ristorante o, in caso di mancata presentazione o disdetta, dalla data di prenotazione. |
Con riguardo ai soli dati comuni, profilazione dell'Utente per finalità di marketing diretto con riguardo all'offerta di nuovi prodotti e servizi del Ristorante. | Legittimo interesse del Titolare del Trattamento (Articolo 6, paragrafo 1, lettera f) del GDPR), in ragione del Considerando 47 del GDPR. La informiamo che Lei non sarà sottoposto a nessuna decisione basata unicamente sul trattamento automatizzato dei Suoi dati personali, compresa la profilazione, che produca effetti giuridici che La riguardano o che incida in modo analogo significativamente sulla Sua persona. | Fino a dodici (12) mesi dalla raccolta. | |
Indirizzo E-mail e numero di telefono dell'Utente, fornito in fase di prenotazione sulla Piattaforma. | Attività di marketing diretto per la promozione dei prodotti e servizi del Ristorante. | Consenso espresso dell'Interessato (Articolo 6, paragrafo 1, lettera a) del GDPR). L'Interessato potrà revocare il consenso in qualsiasi momento tramite il link presente nelle comunicazioni o contattando il Titolare del Trattamento. | Fino a revoca del consenso e, in ogni caso, non oltre ventiquattro (24) mesi dalla raccolta. |
Dati relativi all'utilizzo della Piattaforma Indirizzi IP, data e ora di accesso, data e ora delle richieste effettuate | Erogare i servizi disponibili sulla Piattaforma; Elaborare e dare seguito alle richieste dell'Utente. | Esecuzione di un contratto di cui l'Interessato è parte o esecuzione di misure precontrattuali adottate su richiesta dello stesso (Articolo 6, paragrafo 1, lettera b) del GDPR). | Per il tempo necessario alla gestione della richiesta dell'Utente, non superiore a cinque (5) anni, salve eventuali necessità di accertamento da parte delle autorità competenti. |
Migliorare i servizi sulla base dell'experience degli Utenti; | Legittimo interesse del Titolare del Trattamento (Articolo 6, paragrafo 1, lettera f) del GDPR). | Per il tempo necessario alla gestione della richiesta dell'Utente, non superiore a cinque (5) anni, salve eventuali necessità di accertamento da parte delle autorità competenti. | |
Dati di navigazione dei visitatori della Piattaforma Informazioni sul dispositivo utilizzato (e.g. sistema di rete mobile, identificatori univoci del dispositivo), Impostazioni hardware e browser, indirizzo IP; Pagine web visitate, durata della visita, interazioni con la pagina (e.g. scorrimento, click ecc.), data e ora delle visite. | Monitoraggio del funzionamento del sito web anche ai fini del miglioramento della user experience e della sicurezza. | Legittimo interesse del Titolare del Trattamento (Articolo 6, paragrafo 1, lettera f) del GDPR). | Per un periodo di due (2) anni. |
Si precisa che, con riferimento ai dati di navigazione, le informazioni raccolte, pur non essendo destinate ad essere associate a soggetti identificati, per loro natura, se associate ad altri Dati detenuti da terzi (es. internet service provider), potrebbero permettere l'identificazione degli Interessati (es., indirizzi IP, nomi a dominio dei pc utilizzati, indirizzi URL delle risorse richieste, orario della richiesta, codice numerico relativo allo stato della risposta data dal server).
Essendo possibile un trattamento di dati personali, anche relativi alla salute, di terzi soggetti, quali Suoi familiari, amici, conoscenti e in generale commensali da Lei forniti al Ristorante in fase di prenotazione sulla Piattaforma, si evidenzia che rispetto a tale ipotesi Lei si pone come autonomo titolare del trattamento, assumendosi tutti gli obblighi e le responsabilità di legge. In tal senso, conferisce sul punto la più ampia manleva rispetto ad ogni contestazione, pretesa, richiesta di risarcimento del danno da trattamento, ecc. che dovesse pervenire al Ristorante da terzi soggetti – in particolare i Suoi commensali per cui effettua la prenotazione sulla Piattaforma - i cui dati personali, anche particolari, siano stati trattati attraverso la Piattaforma e da Lei forniti in violazione delle norme sulla tutela dei dati personali applicabili, e assicura che tale particolare ipotesi di trattamento si fonda su un'idonea base giuridica ai sensi dell'Articolo 6 del GDPR e, qualora fornisca dati relativi alla salute o altri dati appartenenti a particolari categorie, ai sensi dell'Articolo 9 del GDPR, che legittima il trattamento delle informazioni in questione.
3. Modalità del trattamento
Il trattamento dei Dati Personali:
1) è realizzato per mezzo delle operazioni indicate all'Articolo 4, co. 1, n. 2 del GDPR e precisamente: raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, raffronto, utilizzo, interconnessione, blocco, comunicazione, cancellazione e distruzione dei Dati;
2) è effettuato anche con l'ausilio di mezzi elettronici o comunque automatizzati;
3) è svolto anche mediante l'utilizzo di posta elettronica o di altre tecniche di comunicazione a distanza, tra cui telefono, messaggistica, messaggi di testo, chat in linea e social media.
4. Trasferimento dei Dati Personali
La gestione e la conservazione dei Dati avverranno nello Spazio Economico Europeo, su server di società terze incaricate e debitamente nominate quali responsabili del trattamento.
Il Titolare del Trattamento può fornire l'accesso alla Piattaforma e ai servizi ivi indicati anche in altri Paesi, nel qual caso il trasferimento dei Dati in tali Paesi è strettamente limitato all'effettiva necessità di esserne a conoscenza. Il Titolare del Trattamento adotterà le misure necessarie per proteggere i Dati Personali degli Utenti e impedire l'accesso non autorizzato.
I Dati Personali potrebbero essere trasferiti nei sistemi usati dal Titolare del Trattamento e/o di società terze incaricate e debitamente nominate quali Responsabili del trattamento anche al di fuori dell'Unione Europea.
Nel caso in cui tale trasferimento avvenga verso Paesi che non forniscono lo stesso livello di tutela previsto dal GDPR o dalla normativa applicabile, o in ogni caso un livello adeguato a tutela dei Dati Personali, il Titolare del Trattamento garantirà che ciascuno di tali soggetti destinatari assuma obblighi contrattuali specifici in conformità alle normative applicabili in materia di protezione di dati personali (compresa la sottoscrizione delle Clausole Contrattuali Standard "SCC" approvate dalla Commissione Europea) ovvero in mancanza di una decisione di adeguatezza ai sensi dell'articolo 45, paragrafo 3 GDPR, o di garanzie adeguate ai sensi dell'articolo 46 GDPR, comprese le norme vincolanti d'impresa, chiederà, ai sensi dell'art. 49 del GDPR, la possibilità di trasferire i Dati Personali verso un Paese Terzo previa acquisizione di specifico consenso da parte dell'Interessato. In ogni caso, l'Utente potrà richiedere maggiori informazioni in merito al trasferimento dei Dati Personali, scrivendo all'indirizzo e-mail Info@rossorubino.net.
5. Misure di sicurezza
Il Titolare del Trattamento ha adottato molteplici misure di sicurezza per proteggere i Dati contro il rischio di perdita, abuso o alterazione, coerentemente alle misure espresse nell'Articolo 32 del GDPR. Il trattamento viene effettuato mediante strumenti informatici e/o telematici, con modalità organizzative e con logiche strettamente correlate alle finalità indicate.
6. Conseguenze della mancata comunicazione dei Dati Personali
Ferma la facoltà dell'Interessato di fornire i Dati Personali al Titolare del Trattamento, il conferimento dei Dati Personali può essere:
1) obbligatorio ai fini dell'erogazione dei servizi accessibili tramite la Piattaforma e per finalità connesse all'adempimento di obblighi previsti dalle leggi e/o regolamenti applicabili, nonché da disposizioni impartite dalle competenti autorità/organi di vigilanza e/o controllo;
2) facoltativo con riferimento ai Dati forniti spontaneamente dell'Interessato e per le finalità di marketing e di profilazione.
L'eventuale rifiuto dell'Interessato di fornire i Dati Personali al Titolare del Trattamento, potrebbe comportare l'impossibilità per il Titolare del Trattamento di fornire i servizi richiesti.
7. Conservazione e cancellazione dei Dati
Il periodo di conservazione dei Dati Personali è indicato nella tabella al precedente punto 2.
Al termine del periodo di conservazione i Dati Personali saranno cancellati. Pertanto, allo spirare di tale termine il diritto di accesso, cancellazione, rettificazione ed il diritto alla portabilità dei Dati Personali non potranno più essere esercitati dall'Utente.
I Dati Personali saranno conservati a mezzo di archivi informatici, inclusi dispositivi portatili, adottando misure idonee a garantirne la sicurezza e a limitarne l'accesso esclusivamente al personale autorizzato dal Titolare del Trattamento e nello stretto ambito delle finalità sopra indicate.
8. Partner Terzi
Al fine di erogare alcuni servizi, il Titolare del Trattamento si potrebbe avvalere di partner terzi, che tratteranno i Dati Personali dell'Utente in qualità di titolari autonomi del trattamento, pertanto consigliamo di prendere visione delle informative sulla privacy di tali soggetti prima di fornire loro Dati Personali. Dette informative sono disponibili di seguito:
- Stripe: https://stripe.com/it/privacy.
9. A chi possiamo comunicare i Dati Personali
Per le finalità sopra indicate, i Dati Personali potranno essere resi accessibili o comunicati a:
1) dipendenti e collaboratori del Titolare del Trattamento, nella loro qualità di addetti autorizzati al trattamento, nell'ambito delle rispettive mansioni e in conformità alle istruzioni ricevute. Tali individui sono comunque soggetti agli obblighi di confidenzialità e riservatezza;
2) a terzi soggetti che svolgono attività in outsourcing per conto del Titolare del Trattamento la cui attività sia connessa, strumentale o di supporto a quella del Titolare del Trattamento (ad es. software gestionali);
3) a tutti quei soggetti pubblici e/o privati, persone fisiche e/o giuridiche (quali a titolo esemplificativo, studi di consulenza legale, amministrativa e fiscale, fondi o casse anche private di previdenza e assistenza, Uffici Giudiziari, Camere di Commercio), qualora la comunicazione risulti necessaria o funzionale al corretto adempimento degli obblighi contrattuali assunti, nonché degli obblighi derivanti dalla legge;
4) a tutti quei soggetti (ivi incluse le Pubbliche Autorità) che hanno accesso ai Dati Personali in forza di provvedimenti normativi o amministrativi;
In ogni caso, i Dati Personali raccolti non saranno oggetto di diffusione.
10. Diritti dell'Interessato
L'Interessato può esercitare i diritti previsti dal Capo III del GDPR nei limiti ed alle condizioni ivi previste ("Diritti dell'Interessato"):
1) accesso ai Dati (art. 15): l'Interessato ha il diritto di ottenere dal Titolare del Trattamento la conferma che sia o meno in corso un trattamento di Dati Personali che lo riguardano e, in tal caso, ottenere l'accesso ai Dati Personali in un formato elettronico di uso comune ed alcune informazioni sul trattamento (es. finalità, categorie di Dati trattati, destinatari, trasferimenti extra UE, attuazione di attività di profilazione, ecc.);
2) rettifica dei Dati (art. 16): l'Interessato ha il diritto di ottenere la rettifica dei Dati Personali inesatti che lo riguardano senza ingiustificato ritardo e/o l'integrazione dei Dati Personali incompleti, anche fornendo una dichiarazione integrativa;
3) cancellazione dei Dati o "diritto all'oblio" (art. 17): l'Interessato ha il diritto di ottenere dal Titolare del Trattamento la cancellazione dei Dati Personali che lo riguardano senza ingiustificato ritardo e il Titolare del Trattamento ha l'obbligo di cancellare senza ingiustificato ritardo i Dati Personali;
4) limitazione del trattamento (art. 18): l'Interessato ha il diritto di ottenere dal Titolare del Trattamento la limitazione del trattamento;
5) portabilità dei Dati (art. 20): l'Interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i Dati Personali che lo riguardano forniti ad un Titolare del Trattamento e ha il diritto di trasmettere tali Dati a un altro Titolare del Trattamento senza impedimenti da parte del Titolare del Trattamento cui li ha forniti;
6) processo decisionale automatizzato (art. 22): l'Interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che La riguardano o che incida in modo analogo significativamente sulla persona dell'Interessato, salvo che tale decisione: a) sia necessaria per l'esecuzione del mandato conferito dall'Interessato al Titolare; b) sia autorizzata dal diritto dell'Unione o dello Stato membro cui è soggetto il Titolare; c) si basi sul consenso esplicito dell'Interessato;
7) revoca del consenso (art. 7, par. 3): l'Interessato ha diritto di revocare il consenso prestato in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca.
11. Diritto di opposizione al trattamento
Ai sensi dell'Articolo 21, paragrafo 1 del GDPR l'Interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei Dati Personali che lo riguardano ai sensi dell'articolo 6, paragrafo 1, lettere e) o f) del GDPR, e cioè quando il trattamento ha come base giuridica l'esecuzione di un compito di interesse pubblico o il legittimo interesse del Titolare, compresa la profilazione sulla base di tali disposizioni, rivolgendosi ai contatti previsti al successivo Articolo 12.
12. Modalità di esercizio dei diritti
L'Interessato potrà in qualsiasi momento esercitare i diritti inviando:
1) una e-mail all'indirizzo: Info@rossorubino.net;
2) una raccomandata A/R a A.V.E. SAS di Andrea gazzera e c., Via Madama Cristina, 21, 10125 Torino TO, Italia.
Il Titolare del Trattamento si impegna a fornire all'Interessato le informazioni relative all'azione intrapresa riguardo a una richiesta di esercizio dei diritti senza ingiustificato ritardo e, comunque, al più tardi entro un termine di 30 (trenta) giorni dal ricevimento della richiesta stessa, estendibile fino a 3 (tre) mesi solo in casi di particolare complessità.
Le eventuali rettifiche o cancellazioni o limitazioni del trattamento effettuate su esplicita richiesta dell'Interessato, salvo ove ciò si riveli impossibile o implichi uno sforzo sproporzionato, saranno comunicate dal Titolare del Trattamento a ciascuno dei destinatari cui sono stati trasmessi i Dati Personali. Il Titolare del Trattamento potrà comunicare all'Interessato i riferimenti dei destinatari, qualora richiesto.
13. Diritto di reclamo
Gli Interessati che ritengono che il trattamento dei Dati Personali avvenga in violazione di quanto previsto dal GDPR hanno il diritto di proporre reclamo all'Autorità Garante per la Protezione dei Dati Personali: i) via e-mail, all'indirizzo garante@gpdp.it oppure urp@gpdp.it; ii) via fax al numero 06.696773785; oppure iii) via posta presso la sede legale sita in Roma (Italia), Piazza Venezia n. 11 – Cap 00187, o alternativamente mediante ricorso all'Autorità giudiziaria.
14. Responsabili e incaricati
L'elenco aggiornato dei responsabili e degli incaricati al trattamento è custodito presso la sede del Titolare del Trattamento.
15. Modifiche alla presente informativa
La presente informativa potrà essere, in qualsiasi momento, modificata e/o aggiornata. Qualora il Titolare del Trattamento intenda trattare i Dati Personali dell'Interessato per finalità diverse rispetto a quelle indicate nella presente Privacy Policy, si impegna a fornire, prima di tale ulteriore trattamento, adeguate informazioni in merito a tali diverse finalità e di effettuare tale ulteriore trattamento nel rispetto della normativa vigente, raccogliendo ove necessario lo specifico consenso dell'Interessato.