Informativa sulla Privacy

Ultimo aggiornamento: 28/11/2025

1. Introduzione

TablePlan rispetta la tua privacy e si impegna a proteggere i dati personali. Questa informativa descrive come raccogliamo, utilizziamo e proteggiamo le tue informazioni in conformità con il GDPR (Regolamento UE 2016/679).

2. Titolare del Trattamento

TablePlan
Email: privacy@tableplan.app

3. Dati Personali Raccolti

3.1 Dati Account

Email (identificativo univoco e contatto)
Nome completo
Numero di telefono
Password (hash bcrypt, mai in chiaro)

3.2 Dati Ristorante

Nome, indirizzo, timezone
Configurazione turni e coperti
Logo e immagini (opzionale)

3.3 Dati Clienti

Nome, email, telefono
Storico prenotazioni
Note personalizzate (allergie, preferenze)

3.4 Dati Tecnici

Indirizzo IP (rate limiting, solo hash)
User-Agent browser
Timestamp accessi (audit trail)
Credenziali email IMAP (criptate AES-256-GCM)

3.5 Dati Pagamento

Gestiti interamente da Stripe (PCI-DSS Level 1). Non conserviamo mai numeri di carta né CVV nei nostri server. Riceviamo solo: Stripe Customer ID, status abbonamento, ultime 4 cifre carta (per visualizzazione).

4. Finalità e Basi Legali del Trattamento

Finalità	Base Legale (GDPR)
Gestione account e autenticazione	Esecuzione contratto (Art. 6.1.b)
Sincronizzazione email prenotazioni	Esecuzione contratto (Art. 6.1.b)
Elaborazione pagamenti	Esecuzione contratto (Art. 6.1.b)
Sicurezza e prevenzione frodi	Legittimo interesse (Art. 6.1.f)
Audit logs e conformità legale	Obbligo legale (Art. 6.1.c)
Miglioramento servizio (analytics)	Legittimo interesse (Art. 6.1.f)
Supporto tecnico	Esecuzione contratto (Art. 6.1.b)

5. Condivisione Dati con Terze Parti

Condividiamo i tuoi dati solo con fornitori essenziali, tutti conformi GDPR:

Fornitore	Finalità	Ubicazione	Garanzie
Supabase	Database e autenticazione	UE (AWS eu-west-1)	DPA, ISO 27001
Stripe	Pagamenti	UE + USA	SCC, PCI-DSS Level 1
Vercel	Hosting applicazione	UE + USA	SCC, SOC 2 Type II
Sentry	Error tracking	USA	SCC, PII masking attivo
Upstash	Rate limiting	UE (AWS eu-west-1)	DPA

Non vendiamo né affittiamo i tuoi dati a terze parti.

6. Conservazione Dati

Account attivi: Per tutta la durata del contratto + 10 anni (obbligo fiscale italiano)

Dati pagamenti: 10 anni (obbligo fiscale)

Audit logs: 12 mesi (sicurezza e compliance)

Dati clienti ristorante: Fino a cancellazione manuale da parte tua

Account cancellati: Eliminazione entro 30 giorni (backup esclusi, eliminati dopo 90 giorni)

7. Misure di Sicurezza

Implementiamo misure di sicurezza tecniche e organizzative avanzate:

Crittografia in transito: TLS 1.3 obbligatorio (HTTPS)
Crittografia at-rest: AES-256-GCM per dati sensibili (credenziali IMAP)
Row Level Security (RLS): Isolamento dati multi-tenant a livello database
Rate Limiting: Protezione contro brute force e DoS (30 req/min API, 5 req/15min login)
HTTP Security Headers: CSP, HSTS, X-Frame-Options, Referrer-Policy
Authentication: JWT con httpOnly secure cookies, sessioni brevi
Audit Logs: Tracciamento accessi e modifiche critiche
Backup automatici: Giornalieri con retention 7 giorni
PII Masking: Log sanitizzati automaticamente (email, telefoni, password)

8. I Tuoi Diritti (GDPR Artt. 15-22)

Hai i seguenti diritti sui tuoi dati personali:

✓ Diritto di Accesso (Art. 15)

Ottenere copia dei tuoi dati e informazioni sul trattamento

✓ Diritto di Rettifica (Art. 16)

Correggere dati inesatti o incompleti (disponibile anche in /settings)

✓ Diritto alla Cancellazione (Art. 17)

"Diritto all'oblio" - eliminazione dati non più necessari

✓ Diritto di Limitazione (Art. 18)

Sospendere temporaneamente il trattamento

✓ Diritto alla Portabilità (Art. 20)

Ricevere i dati in formato JSON strutturato e trasferirli a terzi

✓ Diritto di Opposizione (Art. 21)

Opporti al trattamento basato su legittimo interesse

✓ Revoca Consenso (Art. 7.3)

Ritirare consenso in qualsiasi momento (non retroattivo)

✓ Reclamo al Garante (Art. 77)

Presentare reclamo all'Autorità Garante per la Protezione dei Dati Personali

Come esercitare i tuoi diritti:

Invia richiesta a privacy@tableplan.app
Risponderemo entro 30 giorni (GDPR Art. 12.3)

9. Cookie e Tecnologie di Tracciamento

Utilizziamo solo cookie tecnici essenziali per il funzionamento del servizio:

sb-access-token: JWT di autenticazione (httpOnly, secure, 1 ora)
sb-refresh-token: Token di refresh sessione (httpOnly, secure, 30 giorni)

Non utilizziamo: Cookie di profilazione, analytics di terze parti (Google Analytics), social media trackers, o pubblicità comportamentale.

Per dettagli completi, consulta la nostra Cookie Policy

10. Trasferimenti Internazionali

I dati sono principalmente conservati nell'UE (AWS eu-west-1 Irlanda). Per alcuni fornitori statunitensi (Stripe, Vercel, Sentry) applichiamo le seguenti garanzie GDPR:

Standard Contractual Clauses (SCC): Clausole contrattuali tipo UE (Art. 46.2.c)
Privacy Shield successors: Conformità a framework EU-US
Minimizzazione dati: Solo dati strettamente necessari trasferiti
Crittografia end-to-end: Dati sempre cifrati in transito e at-rest

11. Minori

Il servizio è rivolto a professionisti e aziende. Non trattiamo consapevolmente dati di minori di 16 anni. Se vieni a conoscenza di un account di un minore, contattaci immediatamente a privacy@tableplan.app

12. Modifiche alla Privacy Policy

Potremmo aggiornare questa informativa per riflettere cambiamenti normativi o operativi. Le modifiche sostanziali saranno comunicate via email con 30 giorni di preavviso. La data di ultimo aggiornamento è sempre visibile in cima alla pagina.

13. Autorità di Controllo

Autorità Garante per la Protezione dei Dati Personali
Piazza Venezia n. 11, 00187 Roma
Tel: +39 06.696771 | Fax: +39 06.69677.3785
Email: garante@gpdp.it
Sito: www.garanteprivacy.it

14. Contatti Privacy

Per domande sulla privacy o per esercitare i tuoi diritti GDPR:

TablePlan - Data Protection Officer

Email: privacy@tableplan.app
Tempo di risposta: entro 30 giorni (GDPR Art. 12.3)

Termini di Servizio Cookie Policy Torna alla Dashboard