Home / Legale
Informativa ex art. 13 GDPR

Privacy & GDPR

Informativa sul trattamento dei dati personali resa ai sensi degli articoli 13 e 14 del Regolamento (UE) 2016/679 (GDPR) e del D.Lgs. 30 giugno 2003, n. 196 come modificato dal D.Lgs. 10 agosto 2018, n. 101.

GDPR
Conforme
Reg. UE 2016/679
Versione
1.0
In vigore dal
18 maggio 2026
Territorio dati
Unione Europea
Autorità
Garante Privacy
Sezione 1

Titolare del trattamento

Ai sensi dell'art. 13, par. 1, lett. a) GDPR, il Titolare del trattamento dei dati personali raccolti tramite la piattaforma PagoIO è:

Contitolarità del trattamento

Per quanto riguarda i dati degli utenti finali (i clienti che si iscrivono alla lista d'attesa di un ristorante), il ristoratore Cliente di PagoIO assume la qualifica di Titolare autonomo del trattamento, mentre PagoIO opera come Responsabile del trattamento ai sensi dell'art. 28 GDPR, sulla base di apposito accordo (DPA).

Sezione 2

Responsabile della protezione dei dati (DPO)

Non sussistendo i requisiti obbligatori di cui all'art. 37 GDPR (assenza di trattamenti su larga scala di categorie particolari di dati, assenza di monitoraggio sistematico), PagoIO non ha proceduto alla nomina formale di un Data Protection Officer.

Il Titolare ha tuttavia istituito un Referente Privacy interno, contattabile all'indirizzo privacy@pagoio.online, dedicato alla gestione delle richieste degli interessati e dei rapporti con l'Autorità di controllo.

Sezione 3

Tipologie di dati personali trattati

PagoIO tratta esclusivamente le categorie di dati strettamente necessarie all'erogazione del Servizio, in applicazione del principio di minimizzazione di cui all'art. 5, par. 1, lett. c) GDPR:

Categoria di interessato Dati raccolti
Cliente (ristoratore) Nome, cognome, e-mail, password (hash), nome del ristorante, P.IVA, indirizzo, dati di fatturazione, log di accesso, indirizzo IP.
Utente finale (cliente del ristorante) Nome, numero di telefono WhatsApp, numero di persone del gruppo, orario di iscrizione alla lista.
Visitatore del sito Indirizzo IP, user-agent, dati di navigazione strettamente tecnici.

Categorie particolari di dati (art. 9 GDPR): nessun dato sensibile (orientamento sessuale, opinioni politiche, dati sanitari, biometrici, ecc.) viene raccolto né richiesto.

Dati relativi a condanne penali (art. 10 GDPR): nessuno.

Sezione 4

Base giuridica del trattamento

Il trattamento è fondato sulle seguenti basi giuridiche, individuate all'art. 6 GDPR:

  • Art. 6, par. 1, lett. b) GDPResecuzione del contratto: per la fornitura del Servizio al Cliente registrato, la gestione dell'account e l'erogazione delle funzionalità di waitlist;
  • Art. 6, par. 1, lett. c) GDPRobblighi di legge: per gli adempimenti fiscali (D.P.R. 633/1972, D.Lgs. 127/2015), contabili (Codice Civile artt. 2214 e ss.) e per la conservazione documentale obbligatoria;
  • Art. 6, par. 1, lett. f) GDPRlegittimo interesse: per le finalità di sicurezza della piattaforma (prevenzione frodi, log degli accessi), nonché per la difesa in giudizio dei diritti del Titolare;
  • Art. 6, par. 1, lett. a) GDPRconsenso: laddove esplicitamente richiesto (es. comunicazioni promozionali, qualora attivate).

Per i dati degli utenti finali raccolti tramite la lista d'attesa, la base giuridica primaria è il legittimo interesse del ristoratore alla gestione del flusso clienti, integrato dal consenso implicito manifestato attraverso la compilazione spontanea del modulo di iscrizione.

Sezione 5

Finalità del trattamento

I dati personali vengono trattati esclusivamente per le seguenti finalità:

  1. Erogazione del Servizio: creazione account, autenticazione, gestione della lista d'attesa, generazione dei QR code, invio delle notifiche WhatsApp;
  2. Fatturazione e adempimenti fiscali: emissione fatture elettroniche, trasmissione al SdI, conservazione documentale ai sensi del D.M. 17 giugno 2014;
  3. Assistenza clienti: risposta a richieste di supporto, gestione dei reclami;
  4. Sicurezza informatica: rilevamento di attività anomale, prevenzione di accessi non autorizzati, conservazione log di sistema;
  5. Adempimenti di legge: risposta a richieste delle autorità competenti.

Nessuna profilazione, nessuna pubblicità comportamentale, nessuna vendita di dati a terzi.

Sezione 6

Periodo di conservazione dei dati

I dati personali sono conservati per il tempo strettamente necessario al perseguimento delle finalità per cui sono stati raccolti, nel rispetto del principio di limitazione della conservazione (art. 5, par. 1, lett. e) GDPR):

Categoria di dati Periodo di conservazione
Dati account Cliente Per tutta la durata del contratto + 30 giorni per consentire eventuale ripensamento
Dati di fatturazione 10 anni (art. 2220 c.c.)
Dati utenti finali (lista d'attesa attiva) Fino alla rimozione dalla lista (accomodato / annullato)
Dati utenti finali (archivio storico) Per tutta la durata del contratto del ristoratore, salvo richiesta di cancellazione
Log tecnici e di sicurezza 6 mesi (Provv. Garante 27 novembre 2008)
Comunicazioni di assistenza 2 anni dalla chiusura della richiesta

Alla scadenza dei periodi indicati i dati vengono cancellati in modo sicuro o resi anonimi in via irreversibile.

Sezione 7

Destinatari e categorie di destinatari

I dati personali possono essere comunicati alle seguenti categorie di destinatari, debitamente nominati Responsabili del trattamento ai sensi dell'art. 28 GDPR:

  • Fornitori di servizi cloud e hosting (datacenter europei conformi GDPR);
  • Polar.sh — fornitore di servizi di pagamento (PSD2/SCA);
  • Resend — fornitore di servizi di posta elettronica transazionale;
  • Supabase — fornitore dell'infrastruttura database e autenticazione, server UE;
  • Meta Platforms Ireland Ltd. — solo per l'invio dei messaggi WhatsApp avviati manualmente dal Cliente (link wa.me);
  • Consulenti legali, fiscali e contabili — per gli adempimenti obbligatori;
  • Autorità giudiziarie e di pubblica sicurezza — su legittima richiesta.

L'elenco aggiornato dei Responsabili del trattamento è disponibile su richiesta scritta all'indirizzo privacy@pagoio.online.

I dati personali non vengono diffusi.

Sezione 8

Trasferimento di dati al di fuori dell'UE

L'infrastruttura tecnica di PagoIO è interamente localizzata in territorio dell'Unione Europea (datacenter di Francoforte, Germania). Pertanto, in via ordinaria, nessun trasferimento di dati personali avviene al di fuori del SEE.

Eventuali trasferimenti extra-UE che dovessero rendersi necessari (es. nel caso di richieste di supporto a fornitori con sedi negli Stati Uniti) avvengono esclusivamente in presenza di adeguate garanzie, in conformità al Capo V del GDPR:

  • decisioni di adeguatezza della Commissione UE (art. 45 GDPR), quale ad esempio il Data Privacy Framework UE-USA;
  • Clausole Contrattuali Standard (Standard Contractual Clauses) approvate dalla Commissione UE ai sensi dell'art. 46 GDPR;
  • misure supplementari tecniche e organizzative conformi alle linee guida EDPB.
Sezione 9

Diritti dell'interessato

In qualità di interessato, ai sensi degli articoli da 15 a 22 del GDPR, ti riconosciamo i seguenti diritti:

  • Diritto di accesso (art. 15) — ottenere conferma dell'esistenza di un trattamento e copia dei dati;
  • Diritto di rettifica (art. 16) — correggere dati inesatti o integrare dati incompleti;
  • Diritto alla cancellazione o "diritto all'oblio" (art. 17) — ottenere la cancellazione dei dati, nei casi previsti;
  • Diritto di limitazione del trattamento (art. 18);
  • Diritto alla portabilità (art. 20) — ricevere i dati in formato strutturato, di uso comune e leggibile da dispositivo automatico, o farli trasmettere ad altro titolare;
  • Diritto di opposizione (art. 21) — opporsi al trattamento per motivi connessi alla situazione particolare, ovvero, in qualsiasi momento, al trattamento per finalità di marketing;
  • Diritto di non essere sottoposto a decisioni automatizzate (art. 22);
  • Diritto di revocare il consenso in qualsiasi momento, senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca.
Sezione 10

Come esercitare i tuoi diritti

Per esercitare i diritti di cui alla sezione precedente, è sufficiente inviare una richiesta scritta a:

privacy@pagoio.online

La richiesta deve contenere:

  1. indicazione del diritto che si intende esercitare;
  2. elementi sufficienti a identificare l'interessato (nome, e-mail di registrazione);
  3. indirizzo a cui inviare la risposta.

Forniremo riscontro entro 30 giorni dal ricevimento, in conformità all'art. 12, par. 3 GDPR. Tale termine potrà essere prorogato di ulteriori due mesi qualora la richiesta risulti particolarmente complessa, dandone preventiva comunicazione all'interessato.

L'esercizio dei diritti è gratuito. Solo nel caso di richieste manifestamente infondate o eccessive, in particolare per il loro carattere ripetitivo, potrà essere richiesto un contributo ragionevole basato sui costi amministrativi sostenuti.

Sezione 11

Diritto di reclamo all'Autorità di controllo

Qualora ritieni che il trattamento dei tuoi dati personali violi il GDPR o la normativa nazionale applicabile, ai sensi dell'art. 77 GDPR hai il diritto di proporre reclamo all'Autorità di controllo dello Stato membro in cui risiedi abitualmente, lavori, o del luogo in cui si è verificata la presunta violazione.

In Italia l'Autorità competente è il:

Garante per la protezione dei dati personali
Piazza Venezia, 11 — 00187 Roma
Centralino: +39 06 696771
E-mail: protocollo@gpdp.it
PEC: protocollo@pec.gpdp.it
Sito web: www.garanteprivacy.it

Resta fermo il diritto di proporre ricorso giurisdizionale ai sensi dell'art. 79 GDPR e dell'art. 152 del Codice Privacy.

Sezione 12

Misure di sicurezza adottate

In conformità all'art. 32 GDPR ("Sicurezza del trattamento") e tenendo conto dello stato dell'arte, dei costi di attuazione, della natura, dell'oggetto, del contesto e delle finalità del trattamento, abbiamo implementato misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio:

Misure tecniche

  • cifratura dei dati in transito (TLS 1.3) e a riposo (AES-256);
  • hashing delle password tramite algoritmi resistenti (bcrypt);
  • backup automatici giornalieri con conservazione su volumi cifrati;
  • segregazione logica dei dati tra ristoranti (Row Level Security);
  • autenticazione tramite JWT con scadenza breve e refresh sicuro;
  • monitoraggio continuo degli accessi e dei log di sistema;
  • aggiornamenti di sicurezza tempestivi su tutta l'infrastruttura.

Misure organizzative

  • nomina formale dei Responsabili del trattamento ex art. 28 GDPR;
  • vincoli di riservatezza per il personale autorizzato;
  • procedure di gestione degli incidenti (Data Breach) con notifica al Garante entro 72 ore (art. 33 GDPR) e agli interessati ove richiesto (art. 34 GDPR);
  • policy interne di accesso ai dati basate sul principio del need to know;
  • formazione periodica del personale sulla protezione dei dati personali.
Sezione 13

Trattamento dei dati dei minori

Il Servizio è rivolto esclusivamente a operatori commerciali maggiorenni (titolari di P.IVA o legali rappresentanti). PagoIO non raccoglie consapevolmente dati personali di minori di anni quattordici (14), soglia stabilita dall'art. 2-quinquies del Codice Privacy come modificato dal D.Lgs. 101/2018, in deroga all'art. 8 GDPR che fissa il limite generale a 16 anni.

Qualora venissimo a conoscenza di aver raccolto inconsapevolmente dati personali di un minore di 14 anni senza il valido consenso del genitore o di chi ne esercita la responsabilità genitoriale, provvederemo tempestivamente alla cancellazione di tali dati.

Per quanto riguarda i dati degli utenti finali (clienti del ristorante), si presume che la registrazione alla lista d'attesa sia compiuta da soggetto maggiorenne o, in caso contrario, sotto la responsabilità di un adulto presente. Resta in capo al Cliente ristoratore la verifica della maggiore età ove rilevante.

Sezione 14

Processo decisionale automatizzato e profilazione

Ai sensi dell'art. 22 GDPR, ti informiamo che PagoIO non effettua alcun processo decisionale automatizzato, inclusa la profilazione, che produca effetti giuridici significativi o incida in modo analogo sull'interessato.

Il funzionamento della piattaforma è basato su semplici operazioni di archiviazione e visualizzazione dei dati inseriti, senza alcuna logica algoritmica di valutazione, previsione o classificazione delle persone.

Sezione 16

Modifiche alla presente informativa

La presente informativa può essere modificata o aggiornata in conseguenza di mutamenti normativi, di prassi del Garante o di evoluzioni del Servizio. Le modifiche saranno pubblicate su questa pagina e, ove sostanziali, comunicate al Cliente via e-mail con un preavviso ragionevole.

Si invita pertanto a consultare periodicamente la presente pagina. La data dell'ultimo aggiornamento è indicata in calce.

Sezione 17

Riferimenti normativi

La presente informativa è redatta in conformità ai seguenti atti normativi e provvedimenti:

  • Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (GDPR);
  • D.Lgs. 30 giugno 2003, n. 196 ("Codice in materia di protezione dei dati personali"), come modificato dal D.Lgs. 10 agosto 2018, n. 101;
  • Direttiva 2002/58/CE (ePrivacy) come modificata dalla Direttiva 2009/136/CE, recepita dall'art. 122 del Codice Privacy;
  • Provvedimento del Garante dell'8 maggio 2014 e Linee guida 10 giugno 2021 su cookie e altri strumenti di tracciamento;
  • Direttiva (UE) 2022/2555 (NIS2) in materia di sicurezza delle reti e dei sistemi informativi;
  • Regolamento (UE) 524/2013 sulla risoluzione delle controversie online dei consumatori (ODR);
  • Linee guida EDPB (European Data Protection Board) pubblicate sul sito edpb.europa.eu;
  • Codice Civile italiano, in particolare gli articoli relativi alla riservatezza e ai diritti della personalità.

Ultimo aggiornamento: 18 maggio 2026 · Per qualsiasi richiesta scrivere a privacy@pagoio.online · Versione in italiano facente fede.