Accedi Inizia ora

Privacy Policy di Shelf

Ultimo aggiornamento: 28/04/2026

La presente Privacy Policy è redatta in conformità al Regolamento UE 2016/679 (GDPR) e al D.Lgs. 196/2003 (Codice Privacy) come modificato dal D.Lgs. 101/2018.

Titolare e Responsabile del Trattamento

Per i dati degli utenti registrati (account, abbonamento, fatturazione): Shelf agisce come Titolare del Trattamento ai sensi dell'Art. 4.7 GDPR. Shelf — Email: privacy@shelfapp.it

Per i dati gestiti tramite la piattaforma (dipendenti, fornitori, registrazioni operative): Shelf agisce come Responsabile del Trattamento (Data Processor) ai sensi dell'Art. 28 GDPR. Il ristoratore o titolare dell'attività che utilizza Shelf è il Titolare del Trattamento (Data Controller) per i dati dei propri dipendenti, lavoratori esterni, fornitori e clienti del ristorante.

1. Dati Raccolti

1.1 Categorie di soggetti interessati

La piattaforma tratta dati personali relativi alle seguenti categorie di soggetti:

Soggetto Dati principali
Utente registrato (titolare/gestore ristorante) Nome, cognome, email, credenziali, dati di pagamento (Stripe), foto profilo, preferenze, log di autenticazione
Dipendente del ristorante Profilo contrattuale, turni, presenze (timbrature), assenze, retribuzioni, documenti HR (crittografati), dati sanitari — certificati malattia (crittografati)
Lavoratore esterno (extra) Nome, cognome, costo giornaliero — il Titolare del Trattamento per questi dati è il ristoratore, non Shelf
Admin piattaforma Identità, credenziali, log attività, IP di login
Visitatore menu (anonimo) Hash IP pseudonimizzato, tipo dispositivo, pagina di provenienza — l'IP originale non viene mai memorizzato
Iscritto newsletter Email, nome, consenso (con timestamp e fonte), dati di tracking apertura/click
Fornitore Nome, Partita IVA, telefono, email, indirizzo
Fornitore Marketplace Codice fornitore (supplier_code), dati aziendali (ragione sociale, P.IVA, logo), configurazione consegne (giorni, fasce orarie, zone), catalogo prodotti, storico prezzi, log transazionali ordini
Rispondente sondaggio Email (opzionale), risposte — nessun indirizzo IP raccolto

1.2 Dati forniti dall'utente

  • Nome, cognome, indirizzo email e numero di telefono (registrazione)
  • Dati relativi all'attività ristorativa (gestione operativa): Partita IVA, Codice Fiscale, PEC, indirizzo sede
  • Dati di fatturazione e pagamento
  • Dati dei dipendenti: profili, turni, presenze, assenze, documenti HR, pagamenti
  • Dati dei fornitori: anagrafica, contatti, Partita IVA
  • Registrazioni HACCP: temperature, pulizie, tracciabilità, non conformità

1.3 Dati raccolti automaticamente

  • Dati tecnici di navigazione (tipo di browser, sistema operativo)
  • Cookie tecnici necessari al funzionamento della Piattaforma (vedi Cookie Policy)
  • Statistiche di visualizzazione dei menu: per i menu pubblici, raccogliamo in forma pseudonimizzata il tipo di dispositivo (mobile, tablet, desktop), la pagina di provenienza (referer) e un hash non reversibile dell'indirizzo IP. L'indirizzo IP originale non viene mai memorizzato; viene applicata una funzione di hash crittografico (SHA-256) con chiave segreta e rotazione giornaliera, rendendo il dato non riconducibile all'utente (pseudonimizzazione ai sensi dell'Art. 4.5 GDPR)
  • Log di autenticazione: per motivi di sicurezza, registriamo gli eventi di accesso (login, logout, tentativi falliti, reset password) con indirizzo IP, tipo di browser e timestamp
  • Canali WebSocket Marketplace: per la comunicazione real-time degli ordini B2B, la piattaforma utilizza canali WebSocket privati autenticati (es. marketplace.team.{teamId}) tramite Laravel Reverb (infrastruttura self-hosted, UE). L'accesso ai canali è subordinato all'autenticazione dell'utente e all'appartenenza al team. Nessun dato viene trasmesso a servizi terzi per il broadcasting degli eventi Marketplace

1.4 Dati raccolti nell'ambito del servizio newsletter

  • Tracking apertura email: le email newsletter contengono un pixel di tracciamento (immagine invisibile) che consente di rilevare se l'email è stata aperta. I dati raccolti sono: avvenuta apertura (sì/no) e timestamp dell'evento
  • Tracking click sui link: i link contenuti nelle email newsletter vengono reindirizzati attraverso il nostro sistema per rilevare i click. I dati raccolti sono: link cliccato e timestamp dell'evento
  • I dati di tracking sono associati all'indirizzo email dell'iscritto alla newsletter e vengono eliminati automaticamente dopo 12 mesi
  • L'iscritto può disiscriversi in qualsiasi momento tramite il link "Annulla iscrizione" presente in ogni email, il che interrompe automaticamente anche il tracking
  • Alla cancellazione dell'iscritto, tutti i dati di tracking vengono eliminati automaticamente (cancellazione a cascata)

1.5 Dati raccolti previo consenso esplicito

  • Notifiche push: previo consenso esplicito dell'utente tramite il browser, memorizziamo i dati tecnici necessari all'invio delle notifiche push (endpoint del servizio push e chiavi crittografiche VAPID). Questi dati non contengono informazioni personali identificative e vengono cancellati alla revoca del consenso, alla disattivazione delle notifiche o alla cancellazione dell'account. Il servizio di notifica è erogato tramite Firebase Cloud Messaging (Google)

1.6 Dati di categoria speciale (Art. 9 GDPR)

La piattaforma tratta dati relativi alla salute ai sensi dell'Art. 9 GDPR, limitatamente ai certificati di malattia dei dipendenti (codice certificato INPS, file certificato medico, note). Questi dati sono:

  • Trattati sulla base dell'Art. 9.2.b GDPR — trattamento necessario per assolvere obblighi in materia di diritto del lavoro e della sicurezza sociale
  • Protetti da crittografia a livello di colonna (AES-256-CBC): i dati sono cifrati nel database e leggibili solo dall'applicazione
  • Accessibili esclusivamente agli utenti con ruolo di amministratore o titolare del team
  • Protetti da soft delete (cancellazione logica reversibile) e isolamento multi-tenant (i dati di ogni ristorante sono separati)
  • Oggetto di una Valutazione d'Impatto sulla Protezione dei Dati (DPIA) ai sensi dell'Art. 35 GDPR, con esito di rischio residuo Basso

1.7 Dati NON raccolti

La piattaforma non raccoglie:

  • Dati di geolocalizzazione dei dipendenti (funzionalità rimossa)
  • Indirizzi IP dei rispondenti ai sondaggi (rimosso)
  • User-agent completo dei visitatori dei menu (solo tipo dispositivo)

1.8 Verifica geografica in fase di registrazione

Esclusivamente al momento della creazione di un nuovo account, l'indirizzo IP del richiedente viene processato server-side allo scopo di determinare il paese di provenienza della richiesta e consentire la registrazione solo da territorio italiano. Nello specifico:

  • Trattamento in memoria: l'IP viene elaborato esclusivamente in memoria al momento della richiesta di registrazione. Il lookup avviene tramite il database locale MaxMind GeoLite2-Country, ospitato sui nostri server in Germania (UE). Nessun dato viene trasmesso a MaxMind o ad altri soggetti terzi durante il lookup
  • Nessuna persistenza: l'indirizzo IP non viene salvato in alcun database, file di log o altro sistema di storage. Una volta determinato il codice paese (ISO 3166-1 alpha-2), l'IP viene scartato
  • Finalità: limitare le registrazioni al territorio italiano, in coerenza con il bacino di utenza commerciale del servizio
  • Esito del controllo: se il paese rilevato non rientra tra quelli consentiti, la registrazione viene rifiutata. In caso di malfunzionamento del sistema GeoIP (database non disponibile, errore di lookup), la registrazione viene comunque consentita (politica di fail-open) per non penalizzare utenti legittimi
  • Eccezioni: gli utenti che accedono alla registrazione tramite un invito a un team esistente sono esentati dal controllo geografico, in quanto già implicitamente validati dal cliente che ha inoltrato l'invito
  • Base giuridica: legittimo interesse del Titolare ai sensi dell'Art. 6.1.f GDPR, consistente nell'erogare il servizio nei territori in cui è commercialmente disponibile e nel prevenire registrazioni fraudolente da paesi non serviti. Il bilanciamento con i diritti dell'interessato è garantito dalla minimizzazione assoluta (nessuna persistenza), dalla brevità del trattamento (in-memory, esecuzione singola) e dalla finalità limitata (decisione binaria sull'ammissibilità della registrazione)

2. Base Giuridica e Finalità del Trattamento

I dati personali sono trattati sulla base delle seguenti basi giuridiche (Art. 6 e Art. 9 GDPR):

Finalità Base giuridica
Erogazione del servizio e gestione account Esecuzione del contratto (Art. 6.1.b)
Gestione team, profili dipendenti, turni e presenze Esecuzione del contratto (Art. 6.1.b)
Gestione pagamenti dipendenti e modulo Flow Esecuzione del contratto (Art. 6.1.b)
Assistenza clienti Esecuzione del contratto (Art. 6.1.b)
Adempimenti fiscali e contabili (P.IVA, CF, fatturazione) Obbligo di legge (Art. 6.1.c)
Registrazioni HACCP e sicurezza alimentare Obbligo di legge (Art. 6.1.c) — Reg. CE 852/2004
Libro unico del lavoro (presenze) Obbligo di legge (Art. 6.1.c) — Art. 39 DL 112/2008
Newsletter e comunicazioni promozionali Consenso esplicito (Art. 6.1.a)
Notifiche push Consenso esplicito (Art. 6.1.a)
Partecipazione a sondaggi Consenso esplicito (Art. 6.1.a)
Comunicazioni di servizio (aggiornamenti, manutenzione) Legittimo interesse (Art. 6.1.f)
Statistiche aggregate di visualizzazione menu Legittimo interesse (Art. 6.1.f)
Verifica geografica IP in fase di registrazione (no persistenza) Legittimo interesse (Art. 6.1.f)
Tracking apertura e click nelle email newsletter Legittimo interesse (Art. 6.1.f) — miglioramento della qualità delle comunicazioni
Log di autenticazione e sicurezza Legittimo interesse (Art. 6.1.f)
Tracciamento lettura annunci interni Legittimo interesse (Art. 6.1.f)
Gestione ordini B2B e catalogo fornitori (Marketplace) Esecuzione del contratto (Art. 6.1.b)
Sincronizzazione automatica ordini Marketplace → spese Flow Esecuzione del contratto (Art. 6.1.b)
Storico prezzi e log stati ordine — audit trail immutabile (Marketplace) Legittimo interesse (Art. 6.1.f)
Gestione certificati di malattia (dati sanitari) Obbligo di legge (Art. 6.1.c) + Art. 9.2.b GDPR

3. Moduli della Piattaforma

Shelf offre 5 moduli principali, ciascuno dei quali tratta specifiche categorie di dati:

  1. Menu — Gestione menu digitale, categorie, piatti, prezzi, allergeni, landing page. Statistiche visite pseudonimizzate (hash IP, tipo dispositivo)
  2. Flow — Chiusure giornaliere, fatture, spese, KPI finanziari, fornitori, costi del personale
  3. HACCP — Registrazioni sicurezza alimentare (temperature, pulizie, tracciabilità, ricezione merci), fornitori, non conformità, checklist. Dati conservati secondo normativa HACCP
  4. Dipendenti — Profili contrattuali, turni, presenze (timbrature), assenze, malattie (dati sanitari crittografati), pagamenti, documenti HR (crittografati su disco)
  5. Marketplace — Modulo B2B per la gestione ordini fornitore-ristoratore. Include: connessioni fornitore-ristorante, catalogo prodotti con categorie e prezzi, carrello e checkout, ciclo di vita ordini (con log stati immutabile), fatture commerciali (crittografate su disco), storico prezzi (audit trail immutabile), annunci fornitore, integrazione automatica con il modulo Flow per la registrazione delle spese alla consegna. La comunicazione real-time degli eventi (ordini, fatture, aggiornamenti prodotti) avviene tramite canali WebSocket privati autenticati via Laravel Reverb

4. Condivisione dei Dati

Non vendiamo i dati personali degli utenti. I dati possono essere condivisi esclusivamente con:

  • Stripe Inc. (USA) — gestione pagamenti e abbonamenti, in qualità di Responsabile del trattamento (Art. 28 GDPR), con Clausole Contrattuali Standard (SCC). Solo ID cliente Stripe, tipo metodo pagamento e ultime 4 cifre della carta sono memorizzati localmente
  • Hetzner (Germania, UE) — hosting server e load balancer. Nessun trasferimento extra-UE
  • Firebase Cloud Messaging / Google (USA) — notifiche push, con SCC / decisione di adeguatezza (EU-US Data Privacy Framework). Solo endpoint tecnici e payload crittografato
  • DeepL (Germania, UE) — traduzione automatica menu. Nessun trasferimento extra-UE
  • Autorità competenti, quando richiesto dalla legge

5. Trasferimenti Extra-UE

I dati sono conservati su server Hetzner situati in Germania (Unione Europea).

I seguenti trasferimenti extra-UE avvengono con garanzie adeguate:

Destinatario Paese Dati trasferiti Garanzia
Stripe Inc. USA ID cliente, stato abbonamento Clausole Contrattuali Standard (SCC) + crittografia in transito + minimizzazione dati
Google/Firebase (FCM) USA Endpoint push, payload crittografato SCC / Decisione di adeguatezza (EU-US Data Privacy Framework)

6. Periodo di Conservazione

I periodi di conservazione di seguito indicati sono di due nature distinte, in funzione del ruolo che Shelf assume rispetto al singolo dato (vedi sezione "Titolare e Responsabile del Trattamento" all'inizio del documento):

  • Dati per i quali Shelf è Titolare del Trattamento (account, fatturazione, log tecnici, statistiche menu pseudonimizzate, dati di marketing): Shelf applica direttamente i periodi indicati e ne è giuridicamente responsabile.
  • Dati per i quali Shelf è Responsabile del Trattamento (registrazioni HACCP, dati dei dipendenti, documenti HR, certificati di malattia, dati Flow, dati Marketplace): Shelf agisce su istruzione del ristoratore, che è Titolare del Trattamento. Shelf non impone alcun periodo minimo di conservazione su questi dati e non si assume gli obblighi legali di archiviazione (Reg. CE 852/2004, Art. 39 DL 112/2008, Art. 2220 c.c., obblighi previdenziali e fiscali del datore di lavoro): tali obblighi gravano esclusivamente sul ristoratore in qualità di Titolare del Trattamento. I periodi indicati a fianco di queste categorie hanno valore puramente informativo, riferiscono la normativa vigente e suggeriscono al titolare il termine minimo entro cui dovrebbe configurare la retention nella piattaforma o, in alternativa, esportare e archiviare autonomamente i dati al di fuori di Shelf.
Categoria Ruolo di Shelf Periodo di conservazione
Dati account utente Titolare Durata del rapporto contrattuale + 10 anni (obblighi fiscali di Shelf, Art. 2220 c.c.)
Dati fiscali del cliente (P.IVA, Codice Fiscale, ragione sociale) usati da Shelf per emettere le proprie fatture Titolare 10 anni dall'emissione dell'ultima fattura (Art. 2220 c.c., DPR 600/73)
Dati pagamento Stripe (ID cliente, ultime 4 cifre) Titolare Durata contratto + 10 anni (obblighi contabili di Shelf)
Statistiche menu (pseudonimizzate, hash IP) Titolare 12 mesi. I dati aggregati possono essere conservati più a lungo in forma completamente anonima
Token inviti team Titolare 60 minuti (scadenza automatica)
Notifiche push Titolare Fino a revoca del consenso o cancellazione account
Newsletter — iscrizione Titolare Fino a revoca del consenso (disiscrizione)
Newsletter — tracking (apertura, click) Titolare 12 mesi, poi eliminati automaticamente. La disiscrizione interrompe immediatamente il tracking
Log autenticazione (login, logout, reset password) Titolare 12 mesi
Log autenticazione (tentativi falliti — sicurezza) Titolare 24 mesi
Contatti commerciali Titolare 24 mesi
Tracciamento lettura annunci interni Titolare 24 mesi
Preferenze utenti inattivi Titolare 24 mesi dall'ultima attività
Registrazioni HACCP Responsabile (Processor) Configurabile dal ristoratore. Riferimento normativo a carico del ristoratore: minimo 2 anni, raccomandato 5 (Reg. CE 852/2004). Shelf non impone alcun minimo
Libro presenze, turni e dati modulo Dipendenti Responsabile (Processor) Configurabile dal ristoratore. Riferimento normativo a carico del datore di lavoro: 5 anni per il libro unico del lavoro (Art. 39 DL 112/2008), 10 anni per le scritture contabili. Shelf non impone alcun minimo
Documenti HR (buste paga, contratti — crittografati su disco) Responsabile (Processor) Configurabile dal ristoratore. Riferimento normativo a carico del datore di lavoro: 5 anni per i prospetti paga (Art. 4 L. 4/1953), 10 anni per i contratti (Art. 2946 c.c.). Shelf non impone alcun minimo
Dati sanitari (certificati di malattia, crittografati a livello di colonna) Responsabile (Processor) Configurabile dal ristoratore. Riferimento normativo a carico del datore di lavoro: durata del rapporto e periodi di prescrizione applicabili. Shelf non impone alcun minimo
Dati modulo Flow (chiusure, spese, fatture passive, fornitori) Responsabile (Processor) Configurabile dal ristoratore. Riferimento normativo a carico del titolare dell'attività: 10 anni per le scritture contabili (Art. 2220 c.c.). Shelf non impone alcun minimo
Dati ordini e fatture Marketplace Responsabile (Processor) per ciascuna parte Configurabile dalla parte (ristoratore o fornitore). Riferimento normativo a carico delle parti: 10 anni per le fatture (Art. 2220 c.c.). Shelf non impone alcun minimo
Log stati ordine e storico prezzi Marketplace (audit trail tecnico) Titolare (per integrità del servizio) 24 mesi

La pulizia automatica dei dati oltre i periodi di retention configurati viene eseguita tramite processi schedulati settimanali (domenica notte).

6.1 Cancellazione dell'account: distinzione tra eliminazione e anonimizzazione

Alla cancellazione dell'account, dopo un periodo di grazia di 30 giorni durante il quale l'utente può annullare l'operazione tramite link email, viene applicata una procedura differenziata in funzione della natura dei dati:

  • Dati interni dell'utente e dei suoi locali (HACCP, dipendenti, turni, presenze, malattie, pagamenti, documenti HR, registrazioni Flow, menu, landing page, comunicazioni interne, carrello e catalogo Marketplace): eliminati definitivamente, inclusi i file fisici crittografati su disco (documenti HR, certificati medici, allegati, logo, foto profilo)
  • Dati Marketplace bilaterali (ordini, articoli ordine, fatture commerciali, log stati ordine, storico prezzi, connessioni fornitore-ristorante): preservati in formato leggibile dalla controparte (fornitore o ristoratore connesso), che continua ad averne titolo legittimo per finalità fiscali e contrattuali (Art. 6.1.b e Art. 6.1.c GDPR)
  • Identità dell'utente e dei suoi locali: anonimizzata in modo irreversibile. Nome, cognome, email, telefono, indirizzi, P.IVA, codice fiscale, ragione sociale, logo, codice fornitore, foto profilo, descrizione profilo, secret 2FA e dati di pagamento vengono azzerati o sostituiti con un identificativo non riconducibile alla persona (es. "Utente eliminato #ID", "Locale eliminato #ID", "Fornitore eliminato #ID"). L'email originale viene sostituita con un valore generato casualmente sul dominio interno @deleted.shelfmenu.invalid
  • Cliente Stripe: il customer viene cancellato e le eventuali sottoscrizioni attive vengono interrotte
  • Sessioni, token API, log autenticazione, palette colori personali, domini personalizzati, statistiche di visita, notifiche push e dati del newsletter dell'utente: eliminati

L'anonimizzazione è permanente e non reversibile: l'account anonimizzato non può più accedere alla piattaforma e l'identità originale non può essere ricostruita dai dati residui. I record marketplace conservati riportano esclusivamente il placeholder anonimizzato in luogo del nome originale.

Nel caso in cui l'utente possieda più locali (multi-locale), l'anonimizzazione viene applicata a tutti i locali posseduti e ai relativi dipendenti, in un'unica operazione consistente.

Importante — obblighi di conservazione del ristoratore: Shelf opera come Responsabile del Trattamento (Processor) sui dati operativi (HACCP, dipendenti, turni, presenze, malattie, documenti HR, Flow, Marketplace). Gli obblighi legali di conservazione di tali dati (es. 5 anni per il libro unico del lavoro, 10 anni per buste paga e scritture contabili, 2-5 anni per le registrazioni HACCP) sono a carico esclusivo del ristoratore in qualità di Titolare del Trattamento. Prima di richiedere la cancellazione dell'account, il ristoratore deve quindi scaricare l'export completo dei propri dati (sezione 7, diritto di Portabilità) e archiviarlo autonomamente per il tempo richiesto dalla normativa applicabile. Shelf, al termine del periodo di grazia di 30 giorni, eliminerà definitivamente i dati operativi senza assumersi alcuna responsabilità per il loro mantenimento successivo.

7. Diritti dell'Interessato

Ai sensi degli artt. 15-22 del GDPR, l'utente ha diritto di:

  • Accesso (Art. 15) — ottenere conferma del trattamento e copia dei propri dati. Il profilo è consultabile direttamente dall'utente. Su richiesta, è disponibile un export completo in formato strutturato (file ZIP con dati in formato JSON)
  • Rettifica (Art. 16) — correggere dati inesatti o incompleti, direttamente dal profilo utente
  • Cancellazione (Art. 17, "diritto all'oblio") — richiedere la cancellazione dei propri dati. La procedura prevede un periodo di grazia di 30 giorni durante il quale l'operazione può essere annullata tramite link email. Trascorso il periodo di grazia, vengono applicate cancellazione e anonimizzazione differenziate (vedi sezione 6.1): eliminazione completa dei dati interni e dei file fisici (documenti HR crittografati, certificati medici, allegati, logo, foto profilo), cancellazione del cliente Stripe e di sottoscrizioni/sessioni/token/log, anonimizzazione irreversibile dell'identità dell'utente e dei locali posseduti, conservazione dei record marketplace bilaterali in formato leggibile dalla controparte. I membri dei locali vengono notificati prima dell'avvio della procedura
  • Limitazione (Art. 18) — limitare il trattamento in determinati casi. Gestito su richiesta via email al supporto
  • Portabilità (Art. 20) — ricevere i propri dati in formato strutturato e leggibile da dispositivo automatico. L'export è generato come archivio ZIP organizzato gerarchicamente: i dati a livello utente (anagrafica, sede legale, abbonamento, palette colori, domini personalizzati, foto profilo) sono contenuti in profilo.json e nella cartella file/profilo/; i dati di ogni locale posseduto sono raccolti in una sottocartella dedicata locali/locale_NNN_<slug>/ contenente le sezioni JSON info, menu, haccp, dipendenti, flow, marketplace, comunicazioni e i relativi file allegati (foto menu, media landing page, immagini prodotti, documenti HR decriptati, certificati di malattia decriptati)
  • Opposizione (Art. 21) — opporsi al trattamento basato su legittimo interesse. Notifiche push: revocabili dalle impostazioni. Newsletter: disiscrizione con link in ogni email
  • Revoca del consenso (Art. 7.3) — revocare il consenso in qualsiasi momento, senza pregiudicare la liceità del trattamento precedente. Push: revocabile in qualsiasi momento. Newsletter: disiscrizione immediata con registrazione del timestamp

Per esercitare questi diritti, contattaci a privacy@shelfapp.it. Risponderemo entro 30 giorni ai sensi dell'Art. 12.3 GDPR.

Per i lavoratori esterni (extra): I lavoratori esterni i cui dati sono inseriti nel sistema turni non hanno un account sulla piattaforma. Il datore di lavoro (ristoratore), in qualità di Titolare del Trattamento, è responsabile di informarli sul trattamento dei loro dati e di gestire l'esercizio dei loro diritti. Shelf fornisce al ristoratore gli strumenti tecnici per la cancellazione e l'esportazione di tali dati.

8. Diritto di Reclamo

L'utente ha il diritto di proporre reclamo al Garante per la Protezione dei Dati Personali (www.garanteprivacy.it).

9. Sicurezza e Privacy by Design

Adottiamo misure di sicurezza tecniche e organizzative adeguate per proteggere i dati personali, in conformità all'Art. 32 GDPR e ai principi di Privacy by Design e by Default (Art. 25 GDPR):

Crittografia stratificata:

  • In transito: HTTPS/TLS obbligatorio su tutte le comunicazioni
  • A livello infrastruttura: disco server crittografato
  • A livello file: documenti HR (buste paga, contratti, certificati) e fatture commerciali Marketplace (invoice PDF) crittografati individualmente sul disco (AES-256-CBC) prima dello storage, su dischi dedicati e separati
  • A livello colonna: dati sanitari (certificati di malattia) e PIN badge crittografati nel database (AES-256-CBC)

Pseudonimizzazione e minimizzazione:

  • Gli indirizzi IP dei visitatori dei menu vengono trasformati in hash crittografici non reversibili (SHA-256) con chiave segreta e rotazione giornaliera prima della memorizzazione — l'IP originale non viene mai memorizzato
  • Raccogliamo solo il tipo di dispositivo (mobile/tablet/desktop) anziché l'intero user-agent del browser
  • Gli indirizzi IP non vengono raccolti nelle risposte ai sondaggi
  • La piattaforma non raccoglie dati di geolocalizzazione dei dipendenti

Isolamento e controllo accessi:

  • Isolamento multi-tenant: tutti i dati sono rigorosamente isolati per ristorante/team a livello di database, con chiavi esterne a cascata. Nessun utente può accedere ai dati di un altro ristorante
  • Controllo accessi basato su ruoli: ogni servizio (Menu, HACCP, Dipendenti, Flow, Marketplace) ha ruoli e permessi separati. I dati retributivi e sanitari sono accessibili solo ai ruoli di amministratore e titolare
  • Soft delete: implementato su tutte le tabelle contenenti dati personali sensibili, per garantire la recuperabilità in caso di cancellazione accidentale e un audit trail verificabile
  • Audit trail immutabile (Marketplace): i log degli stati degli ordini (MpOrderStatusLog) e lo storico delle variazioni di prezzo (MpProductPriceLog) sono registri di sola scrittura — non è possibile modificare o cancellare le voci una volta create, garantendo l'integrità e la tracciabilità delle transazioni B2B

Gestione del ciclo di vita dei dati:

  • Retention automatizzata: processi schedulati settimanali per la pulizia automatica dei dati oltre i periodi di retention definiti
  • Cancellazione e anonimizzazione differenziate: alla chiusura dell'account, dopo il periodo di grazia di 30 giorni, i dati interni e i file fisici dell'utente e dei suoi locali vengono eliminati definitivamente, mentre l'identità dell'utente e dei locali e i record marketplace bilaterali vengono anonimizzati in modo irreversibile per garantire alla controparte commerciale la consultazione dei propri storici (vedi sezione 6.1)
  • Audit accessi: i download di documenti HR vengono registrati (senza conservare l'indirizzo IP) per garantire la tracciabilità degli accessi

Sondaggi anonimi: quando un sondaggio interno è configurato come anonimo, il voto viene registrato senza alcuna associazione all'identità dell'utente. La prevenzione del doppio voto utilizza un hash crittografico non reversibile.

10. Valutazione d'Impatto (DPIA)

Ai sensi dell'Art. 35 GDPR, è stata condotta una Valutazione d'Impatto sulla Protezione dei Dati (DPIA) per i trattamenti ad alto rischio:

  1. Trattamento di dati sanitari — certificati di malattia dei dipendenti (dati di categoria speciale Art. 9)
  2. Monitoraggio delle presenze dei dipendenti — timbrature e rilevazione anomalie

Entrambi i trattamenti sono stati valutati con rischio residuo Basso grazie alle misure di sicurezza implementate (crittografia, eliminazione geolocalizzazione, soft delete, isolamento multi-tenant, controllo accessi per ruolo). La DPIA viene riesaminata annualmente.

11. Modifiche alla Privacy Policy

Eventuali modifiche saranno pubblicate su questa pagina con la data di aggiornamento. Per modifiche sostanziali, invieremo una notifica via email con almeno 15 giorni di preavviso.

Contatti

Per qualsiasi domanda relativa al trattamento dei dati personali: Email: privacy@shelfapp.it

Shelf

Installa Shelf come App

Nessun download dallo store. Shelf funziona direttamente dal browser come un'app nativa, su qualsiasi dispositivo.

1
Apri in Safari

Visita shelfapp.it con Safari sul tuo iPhone o iPad.

2
Tocca Condividi

Tocca l'icona (quadrato con freccia) nella barra in basso.

3
Aggiungi a Home

Scorri e tocca "Aggiungi a Home", poi conferma con "Aggiungi".

Accesso rapido
Notifiche push
Schermo intero
Sempre aggiornata