Accordo sul trattamento dei dati

Il presente Accordo sul trattamento dei dati («DPA») è stipulato tra il ristoratore («Titolare») e DineEasy, gestito da Maxapp GmbH («Responsabile»), e costituisce parte integrante dei Termini di servizio. Disciplina il trattamento dei dati personali dei clienti che il Titolare raccoglie tramite il proprio menu pubblico sulla piattaforma DineEasy.

1. Parti

Responsabile: Maxapp GmbH, Birkenstrasse 49, 6343 Rotkreuz, Svizzera.

Titolare: la persona giuridica o fisica che registra un account DineEasy e gestisce uno o più menu pubblici di ristorante sulla piattaforma.

2. Ambito e ruoli

I clienti possono trasmettere dati personali tramite il menu pubblico – tipicamente un nome e, facoltativamente, numero di telefono, e-mail, riferimento al tavolo e dettagli dell’ordine. Per tali dati il Titolare è il titolare del trattamento e DineEasy è il responsabile del trattamento. DineEasy tratta i dati esclusivamente sulla base di istruzioni documentate del Titolare e solo per le finalità previste dai Termini di servizio: erogare il menu pubblico, registrare gli ordini, elaborare i pagamenti tramite Stripe Connect e fornire al Titolare la relativa telemetria operativa.

Per i dati di account del Titolare stesso (e-mail di accesso, impostazioni del ristorante, dati di fatturazione), DineEasy è il titolare del trattamento – vedi l’Informativa sulla privacy.

3. Istruzioni del Titolare

Le istruzioni del Titolare sono documentate nei Termini, nell’Informativa sulla privacy e nella configurazione che il Titolare imposta nella propria dashboard (ad esempio, se pubblicare un’e-mail di contatto, se attivare gli ordini, se attivare le traduzioni). DineEasy non tratta i dati dei clienti per altre finalità senza ulteriori istruzioni scritte.

Qualora DineEasy ritenga che un’istruzione violi la normativa applicabile in materia di protezione dei dati, ne informerà il Titolare senza indebito ritardo.

4. Riservatezza

DineEasy si assicura che tutto il personale autorizzato al trattamento dei dati personali sia vincolato da adeguati obblighi di riservatezza.

5. Misure di sicurezza

DineEasy adotta misure tecniche e organizzative (TOM) adeguate per proteggere i dati personali da trattamenti non autorizzati o illeciti, perdita accidentale, distruzione o danno. Le misure attuali includono:

• Crittografia in transito (TLS 1.2+) e a riposo (cifratura del disco gestita dal fornitore).
• Controllo degli accessi basato sui ruoli sull’infrastruttura di produzione, con impostazioni di privilegio minimo; le azioni amministrative sono auditate.
• Postgres Row-Level Security su ogni tabella legata al tenant; le chiavi service-role non sono mai esposte lato client.
• Stripe Connect direct charges – i dati di pagamento dei clienti non passano mai dalla nostra infrastruttura; vanno dal browser del cliente direttamente a Stripe.
• Verifica della firma webhook su ogni integrazione in entrata.
• Backup quotidiani con la retention predefinita dei fornitori.
• Scansione di segreti pre-commit a ogni commit (gitleaks).

6. Sub-responsabili

Il Titolare autorizza DineEasy a ricorrere ai seguenti sub-responsabili. L’aggiunta o sostituzione di un sub-responsabile sarà comunicata per iscritto con almeno 30 giorni di preavviso (tramite avviso in-prodotto, log di aggiornamento dell’Informativa sulla privacy o e-mail).

DineEasy stipula contratti scritti con ogni sub-responsabile, imponendo obblighi di protezione dei dati equivalenti a quelli del presente DPA.

7. Diritti degli interessati

DineEasy assiste il Titolare, tenendo conto della natura del trattamento e mediante misure tecniche e organizzative adeguate, nei limiti del possibile, ad adempiere all’obbligo di rispondere alle richieste degli interessati (accesso, rettifica, cancellazione, limitazione, portabilità, opposizione).

Se un cliente contatta direttamente DineEasy con una richiesta relativa a dati trattati per conto di un Titolare, lo reindirizziamo al Titolare e lo notifichiamo senza indebito ritardo.

8. Notifica di violazioni

DineEasy notifica al Titolare, senza indebito ritardo e in ogni caso entro 72 ore dalla presa di conoscenza, qualsiasi violazione di dati personali che riguardi i dati del Titolare, con dettagli sufficienti a consentire al Titolare di adempiere ai propri obblighi di notifica.

9. Audit

Su ragionevole richiesta scritta e non più di una volta per anno solare, DineEasy mette a disposizione le informazioni necessarie a dimostrare la conformità al presente DPA, ivi incluso l’elenco aggiornato dei sub-responsabili, una panoramica della sicurezza e, se disponibile, la sintesi del più recente penetration test svolto da terzi.

Audit in loco non sono generalmente disponibili data la natura del servizio; attestati e certificazioni indipendenti, ove disponibili, possono sostituirli.

10. Trasferimenti internazionali

DineEasy tratta i dati personali principalmente nell’UE e in Svizzera. I sub- responsabili situati al di fuori dell’UE/SEE sono coinvolti sulla base delle Clausole contrattuali tipo della Commissione europea e, se applicabile, delle disposizioni complementari dell’IFPDT svizzero.

11. Restituzione e cancellazione

Alla risoluzione dei Termini, il Titolare può esportare i propri dati dalla dashboard. Entro 30 giorni dalla risoluzione, DineEasy cancella o anonimizza tutti i dati personali trattati ai sensi del presente DPA, salvo dove la conservazione sia richiesta dalla normativa applicabile (ad esempio, registri di fatturazione ai sensi del diritto contabile svizzero).

12. Responsabilità

La responsabilità ai sensi del presente DPA è disciplinata dalla clausola di limitazione di responsabilità dei Termini di servizio.

13. Durata e risoluzione

Il presente DPA entra in vigore con l’accettazione dei Termini di servizio e resta in vigore finché DineEasy tratta dati personali per conto del Titolare.

14. Contatti

Domande sulla protezione dei dati e corrispondenza DPA: legal@dineeasy.app.