Accedi Inizia ora

Privacy Policy di Shelf

Ultimo aggiornamento: 12/03/2026

La presente Privacy Policy è redatta in conformità al Regolamento UE 2016/679 (GDPR) e al D.Lgs. 196/2003 (Codice Privacy) come modificato dal D.Lgs. 101/2018.

Titolare e Responsabile del Trattamento

Per i dati degli utenti registrati (account, abbonamento, fatturazione): Shelf agisce come Titolare del Trattamento ai sensi dell'Art. 4.7 GDPR. Shelf — Email: shelf@outlook.it

Per i dati gestiti tramite la piattaforma (dipendenti, fornitori, registrazioni operative): Shelf agisce come Responsabile del Trattamento (Data Processor) ai sensi dell'Art. 28 GDPR. Il ristoratore o titolare dell'attività che utilizza Shelf è il Titolare del Trattamento (Data Controller) per i dati dei propri dipendenti, lavoratori esterni, fornitori e clienti del ristorante.

1. Dati Raccolti

1.1 Categorie di soggetti interessati

La piattaforma tratta dati personali relativi alle seguenti categorie di soggetti:

Soggetto Dati principali
Utente registrato (titolare/gestore ristorante) Nome, cognome, email, credenziali, dati di pagamento (Stripe), foto profilo, preferenze, log di autenticazione
Dipendente del ristorante Profilo contrattuale, turni, presenze (timbrature), assenze, retribuzioni, documenti HR (crittografati), dati sanitari — certificati malattia (crittografati)
Lavoratore esterno (extra) Nome, cognome, costo giornaliero — il Titolare del Trattamento per questi dati è il ristoratore, non Shelf
Admin piattaforma Identità, credenziali, log attività, IP di login
Visitatore menu (anonimo) Hash IP pseudonimizzato, tipo dispositivo, pagina di provenienza — l'IP originale non viene mai memorizzato
Iscritto newsletter Email, nome, consenso (con timestamp e fonte), dati di tracking apertura/click
Fornitore Nome, Partita IVA, telefono, email, indirizzo
Rispondente sondaggio Email (opzionale), risposte — nessun indirizzo IP raccolto

1.2 Dati forniti dall'utente

  • Nome, cognome, indirizzo email e numero di telefono (registrazione)
  • Dati relativi all'attività ristorativa (gestione operativa): Partita IVA, Codice Fiscale, PEC, indirizzo sede
  • Dati di fatturazione e pagamento
  • Dati dei dipendenti: profili, turni, presenze, assenze, documenti HR, pagamenti
  • Dati dei fornitori: anagrafica, contatti, Partita IVA
  • Registrazioni HACCP: temperature, pulizie, tracciabilità, non conformità

1.3 Dati raccolti automaticamente

  • Dati tecnici di navigazione (tipo di browser, sistema operativo)
  • Cookie tecnici necessari al funzionamento della Piattaforma (vedi Cookie Policy)
  • Statistiche di visualizzazione dei menu: per i menu pubblici, raccogliamo in forma pseudonimizzata il tipo di dispositivo (mobile, tablet, desktop), la pagina di provenienza (referer) e un hash non reversibile dell'indirizzo IP. L'indirizzo IP originale non viene mai memorizzato; viene applicata una funzione di hash crittografico (SHA-256) con chiave segreta e rotazione giornaliera, rendendo il dato non riconducibile all'utente (pseudonimizzazione ai sensi dell'Art. 4.5 GDPR)
  • Log di autenticazione: per motivi di sicurezza, registriamo gli eventi di accesso (login, logout, tentativi falliti, reset password) con indirizzo IP, tipo di browser e timestamp

1.4 Dati raccolti nell'ambito del servizio newsletter

  • Tracking apertura email: le email newsletter contengono un pixel di tracciamento (immagine invisibile) che consente di rilevare se l'email è stata aperta. I dati raccolti sono: avvenuta apertura (sì/no) e timestamp dell'evento
  • Tracking click sui link: i link contenuti nelle email newsletter vengono reindirizzati attraverso il nostro sistema per rilevare i click. I dati raccolti sono: link cliccato e timestamp dell'evento
  • I dati di tracking sono associati all'indirizzo email dell'iscritto alla newsletter e vengono eliminati automaticamente dopo 12 mesi
  • L'iscritto può disiscriversi in qualsiasi momento tramite il link "Annulla iscrizione" presente in ogni email, il che interrompe automaticamente anche il tracking
  • Alla cancellazione dell'iscritto, tutti i dati di tracking vengono eliminati automaticamente (cancellazione a cascata)

1.5 Dati raccolti previo consenso esplicito

  • Notifiche push: previo consenso esplicito dell'utente tramite il browser, memorizziamo i dati tecnici necessari all'invio delle notifiche push (endpoint del servizio push e chiavi crittografiche VAPID). Questi dati non contengono informazioni personali identificative e vengono cancellati alla revoca del consenso, alla disattivazione delle notifiche o alla cancellazione dell'account. Il servizio di notifica è erogato tramite Firebase Cloud Messaging (Google)

1.6 Dati di categoria speciale (Art. 9 GDPR)

La piattaforma tratta dati relativi alla salute ai sensi dell'Art. 9 GDPR, limitatamente ai certificati di malattia dei dipendenti (codice certificato INPS, file certificato medico, note). Questi dati sono:

  • Trattati sulla base dell'Art. 9.2.b GDPR — trattamento necessario per assolvere obblighi in materia di diritto del lavoro e della sicurezza sociale
  • Protetti da crittografia a livello di colonna (AES-256-CBC): i dati sono cifrati nel database e leggibili solo dall'applicazione
  • Accessibili esclusivamente agli utenti con ruolo di amministratore o titolare del team
  • Protetti da soft delete (cancellazione logica reversibile) e isolamento multi-tenant (i dati di ogni ristorante sono separati)
  • Oggetto di una Valutazione d'Impatto sulla Protezione dei Dati (DPIA) ai sensi dell'Art. 35 GDPR, con esito di rischio residuo Basso

1.7 Dati NON raccolti

La piattaforma non raccoglie:

  • Dati di geolocalizzazione dei dipendenti (funzionalità rimossa)
  • Indirizzi IP dei rispondenti ai sondaggi (rimosso)
  • User-agent completo dei visitatori dei menu (solo tipo dispositivo)

2. Base Giuridica e Finalità del Trattamento

I dati personali sono trattati sulla base delle seguenti basi giuridiche (Art. 6 e Art. 9 GDPR):

Finalità Base giuridica
Erogazione del servizio e gestione account Esecuzione del contratto (Art. 6.1.b)
Gestione team, profili dipendenti, turni e presenze Esecuzione del contratto (Art. 6.1.b)
Gestione pagamenti dipendenti e modulo Flow Esecuzione del contratto (Art. 6.1.b)
Assistenza clienti Esecuzione del contratto (Art. 6.1.b)
Adempimenti fiscali e contabili (P.IVA, CF, fatturazione) Obbligo di legge (Art. 6.1.c)
Registrazioni HACCP e sicurezza alimentare Obbligo di legge (Art. 6.1.c) — Reg. CE 852/2004
Libro unico del lavoro (presenze) Obbligo di legge (Art. 6.1.c) — Art. 39 DL 112/2008
Newsletter e comunicazioni promozionali Consenso esplicito (Art. 6.1.a)
Notifiche push Consenso esplicito (Art. 6.1.a)
Partecipazione a sondaggi Consenso esplicito (Art. 6.1.a)
Comunicazioni di servizio (aggiornamenti, manutenzione) Legittimo interesse (Art. 6.1.f)
Statistiche aggregate di visualizzazione menu Legittimo interesse (Art. 6.1.f)
Tracking apertura e click nelle email newsletter Legittimo interesse (Art. 6.1.f) — miglioramento della qualità delle comunicazioni
Log di autenticazione e sicurezza Legittimo interesse (Art. 6.1.f)
Tracciamento lettura annunci interni Legittimo interesse (Art. 6.1.f)
Gestione certificati di malattia (dati sanitari) Obbligo di legge (Art. 6.1.c) + Art. 9.2.b GDPR

3. Moduli della Piattaforma

Shelf offre 4 moduli principali, ciascuno dei quali tratta specifiche categorie di dati:

  1. Menu — Gestione menu digitale, categorie, piatti, prezzi, allergeni, landing page. Statistiche visite pseudonimizzate (hash IP, tipo dispositivo)
  2. Flow — Chiusure giornaliere, fatture, spese, KPI finanziari, fornitori, costi del personale
  3. HACCP — Registrazioni sicurezza alimentare (temperature, pulizie, tracciabilità, ricezione merci), fornitori, non conformità, checklist. Dati conservati secondo normativa HACCP
  4. Dipendenti — Profili contrattuali, turni, presenze (timbrature), assenze, malattie (dati sanitari crittografati), pagamenti, documenti HR (crittografati su disco)

4. Condivisione dei Dati

Non vendiamo i dati personali degli utenti. I dati possono essere condivisi esclusivamente con:

  • Stripe Inc. (USA) — gestione pagamenti e abbonamenti, in qualità di Responsabile del trattamento (Art. 28 GDPR), con Clausole Contrattuali Standard (SCC). Solo ID cliente Stripe, tipo metodo pagamento e ultime 4 cifre della carta sono memorizzati localmente
  • Hetzner (Germania, UE) — hosting server. Nessun trasferimento extra-UE
  • Cloudflare (globale) — CDN e protezione DDoS, con SCC. Nessun dato personale identificabile viene distribuito tramite CDN
  • Firebase Cloud Messaging / Google (USA) — notifiche push, con SCC / decisione di adeguatezza (EU-US Data Privacy Framework). Solo endpoint tecnici e payload crittografato
  • DeepL (Germania, UE) — traduzione automatica menu. Nessun trasferimento extra-UE
  • Autorità competenti, quando richiesto dalla legge

5. Trasferimenti Extra-UE

I dati sono conservati su server Hetzner situati in Germania (Unione Europea).

I seguenti trasferimenti extra-UE avvengono con garanzie adeguate:

Destinatario Paese Dati trasferiti Garanzia
Stripe Inc. USA ID cliente, stato abbonamento Clausole Contrattuali Standard (SCC) + crittografia in transito + minimizzazione dati
Google/Firebase (FCM) USA Endpoint push, payload crittografato SCC / Decisione di adeguatezza (EU-US Data Privacy Framework)
Cloudflare Globale Contenuti statici (nessun dato personale) SCC

6. Periodo di Conservazione

Categoria Periodo di conservazione
Dati account utente Durata del rapporto contrattuale + 10 anni (obblighi fiscali, Art. 2220 c.c.)
Dati fiscali (P.IVA, Codice Fiscale) 10 anni (Art. 2220 c.c., DPR 600/73)
Registrazioni HACCP Minimo 2 anni, consigliato 5 (Reg. CE 852/2004). Configurabile dal titolare
Libro presenze e turni 5 anni (Art. 39 DL 112/2008)
Dati pagamento (Stripe) Durata contratto + 10 anni (obblighi contabili)
Documenti HR (buste paga, contratti) Durata rapporto + retention configurabile. Crittografati su disco
Dati sanitari (certificati malattia) Durata rapporto + 10 anni. Crittografati nel database
Statistiche menu (pseudonimizzate) 12 mesi. I dati aggregati (conteggi giornalieri) possono essere conservati più a lungo in forma completamente anonima
Token inviti team 60 minuti (scadenza automatica)
Notifiche push Fino a revoca del consenso o cancellazione account
Newsletter — iscrizione Fino a revoca del consenso (disiscrizione)
Newsletter — tracking (apertura, click) 12 mesi, poi eliminati automaticamente. La disiscrizione interrompe immediatamente il tracking
Log autenticazione (login, logout, reset password) 12 mesi
Log autenticazione (tentativi falliti — sicurezza) 24 mesi
Contatti commerciali 24 mesi
Tracciamento lettura annunci interni 24 mesi
Preferenze utenti inattivi 24 mesi dall'ultima attività
Dati modulo Dipendenti Configurabile dal titolare del ristorante
Dati modulo Flow Configurabile dal titolare del ristorante

La pulizia automatica dei dati oltre i periodi di retention viene eseguita tramite processi schedulati settimanali (domenica notte).

Alla cancellazione dell'account, tutti i dati vengono eliminati permanentemente tramite una procedura dedicata (vedi sezione 7 — Diritti dell'Interessato).

7. Diritti dell'Interessato

Ai sensi degli artt. 15-22 del GDPR, l'utente ha diritto di:

  • Accesso (Art. 15) — ottenere conferma del trattamento e copia dei propri dati. Il profilo è consultabile direttamente dall'utente. Su richiesta, è disponibile un export completo in formato strutturato (file ZIP con dati in formato JSON)
  • Rettifica (Art. 16) — correggere dati inesatti o incompleti, direttamente dal profilo utente
  • Cancellazione (Art. 17, "diritto all'oblio") — richiedere la cancellazione completa dei propri dati. La procedura include: eliminazione di tutti i file fisici (documenti HR, certificati), cancellazione delle sottoscrizioni e dei dati su Stripe, eliminazione di log, sessioni, token, dati del team e membership. I membri del team vengono notificati prima della cancellazione
  • Limitazione (Art. 18) — limitare il trattamento in determinati casi. Gestito su richiesta via email al supporto
  • Portabilità (Art. 20) — ricevere i propri dati in formato strutturato e leggibile da dispositivo automatico. L'export include: dati account, team, menu, HACCP, dipendenti, Flow, preferenze, log di autenticazione, newsletter — in formato ZIP con sezioni JSON
  • Opposizione (Art. 21) — opporsi al trattamento basato su legittimo interesse. Notifiche push: revocabili dalle impostazioni. Newsletter: disiscrizione con link in ogni email
  • Revoca del consenso (Art. 7.3) — revocare il consenso in qualsiasi momento, senza pregiudicare la liceità del trattamento precedente. Push: revocabile in qualsiasi momento. Newsletter: disiscrizione immediata con registrazione del timestamp

Per esercitare questi diritti, contattaci a shelf@outlook.it. Risponderemo entro 30 giorni ai sensi dell'Art. 12.3 GDPR.

Per i lavoratori esterni (extra): I lavoratori esterni i cui dati sono inseriti nel sistema turni non hanno un account sulla piattaforma. Il datore di lavoro (ristoratore), in qualità di Titolare del Trattamento, è responsabile di informarli sul trattamento dei loro dati e di gestire l'esercizio dei loro diritti. Shelf fornisce al ristoratore gli strumenti tecnici per la cancellazione e l'esportazione di tali dati.

8. Diritto di Reclamo

L'utente ha il diritto di proporre reclamo al Garante per la Protezione dei Dati Personali (www.garanteprivacy.it).

9. Sicurezza e Privacy by Design

Adottiamo misure di sicurezza tecniche e organizzative adeguate per proteggere i dati personali, in conformità all'Art. 32 GDPR e ai principi di Privacy by Design e by Default (Art. 25 GDPR):

Crittografia stratificata:

  • In transito: HTTPS/TLS obbligatorio su tutte le comunicazioni
  • A livello infrastruttura: disco server crittografato
  • A livello file: documenti HR (buste paga, contratti, certificati) crittografati individualmente sul disco (AES-256-CBC) prima dello storage
  • A livello colonna: dati sanitari (certificati di malattia) e PIN badge crittografati nel database (AES-256-CBC)

Pseudonimizzazione e minimizzazione:

  • Gli indirizzi IP dei visitatori dei menu vengono trasformati in hash crittografici non reversibili (SHA-256) con chiave segreta e rotazione giornaliera prima della memorizzazione — l'IP originale non viene mai memorizzato
  • Raccogliamo solo il tipo di dispositivo (mobile/tablet/desktop) anziché l'intero user-agent del browser
  • Gli indirizzi IP non vengono raccolti nelle risposte ai sondaggi
  • La piattaforma non raccoglie dati di geolocalizzazione dei dipendenti

Isolamento e controllo accessi:

  • Isolamento multi-tenant: tutti i dati sono rigorosamente isolati per ristorante/team a livello di database, con chiavi esterne a cascata. Nessun utente può accedere ai dati di un altro ristorante
  • Controllo accessi basato su ruoli: ogni servizio (Menu, HACCP, Dipendenti, Flow) ha ruoli e permessi separati. I dati retributivi e sanitari sono accessibili solo ai ruoli di amministratore e titolare
  • Soft delete: implementato su tutte le tabelle contenenti dati personali sensibili, per garantire la recuperabilità in caso di cancellazione accidentale e un audit trail verificabile

Gestione del ciclo di vita dei dati:

  • Retention automatizzata: processi schedulati settimanali per la pulizia automatica dei dati oltre i periodi di retention definiti
  • Cancellazione a cascata: alla chiusura dell'account, tutti i dati associati vengono eliminati automaticamente tramite chiavi esterne a cascata
  • Audit accessi: i download di documenti HR vengono registrati (senza conservare l'indirizzo IP) per garantire la tracciabilità degli accessi

Sondaggi anonimi: quando un sondaggio interno è configurato come anonimo, il voto viene registrato senza alcuna associazione all'identità dell'utente. La prevenzione del doppio voto utilizza un hash crittografico non reversibile.

10. Valutazione d'Impatto (DPIA)

Ai sensi dell'Art. 35 GDPR, è stata condotta una Valutazione d'Impatto sulla Protezione dei Dati (DPIA) per i trattamenti ad alto rischio:

  1. Trattamento di dati sanitari — certificati di malattia dei dipendenti (dati di categoria speciale Art. 9)
  2. Monitoraggio delle presenze dei dipendenti — timbrature e rilevazione anomalie

Entrambi i trattamenti sono stati valutati con rischio residuo Basso grazie alle misure di sicurezza implementate (crittografia, eliminazione geolocalizzazione, soft delete, isolamento multi-tenant, controllo accessi per ruolo). La DPIA viene riesaminata annualmente.

11. Modifiche alla Privacy Policy

Eventuali modifiche saranno pubblicate su questa pagina con la data di aggiornamento. Per modifiche sostanziali, invieremo una notifica via email con almeno 15 giorni di preavviso.

Contatti

Per qualsiasi domanda relativa al trattamento dei dati personali: Email: shelf@outlook.it