Torna alla home

Accordo sul trattamento dei dati (DPA)

Accordo ai sensi dell'art. 28 del Regolamento UE 2016/679 (GDPR). Ultimo aggiornamento: giugno 2026.

1. Parti e ruoli

Il presente accordo è concluso tra il Ristoratore titolare dell'account Ordiqo (di seguito "Titolare") e Ordiqo (di seguito "Responsabile"). Il Titolare nomina il Responsabile per il trattamento dei dati personali dei propri clienti finali e collaboratori effettuato tramite la piattaforma Ordiqo. L'accettazione dei Termini di Servizio implica l'accettazione del presente DPA.

2. Oggetto, natura e finalità del trattamento

Il Responsabile tratta i dati esclusivamente per fornire al Titolare il servizio di menù digitale, gestione ordini, ruota premi, statistiche e funzioni connesse, secondo le istruzioni documentate nel contratto e nella configurazione effettuata dal Titolare tramite il pannello.

3. Categorie di interessati e di dati

  • Interessati: clienti finali del locale, partecipanti alla ruota premi, eventuali collaboratori del Titolare con accesso al pannello.
  • Dati: nome, telefono, email (se forniti), indirizzo di consegna, dettagli d'ordine, importi, dati di partecipazione a promozioni, log tecnici, indirizzo IP.
  • Esclusioni: il servizio non è destinato al trattamento di categorie particolari di dati (art. 9 GDPR) né di dati di minori.

4. Durata

Il trattamento ha la durata del contratto di servizio. Alla cessazione, il Responsabile cancella o restituisce i dati ai sensi dell'art. 28, par. 3, lett. g GDPR, salvo obblighi di conservazione di legge.

5. Obblighi del Responsabile

  • trattare i dati solo su istruzione documentata del Titolare;
  • garantire la riservatezza del personale autorizzato;
  • adottare misure tecniche e organizzative adeguate ex art. 32 GDPR;
  • assistere il Titolare nel riscontro alle richieste degli interessati (artt. 12-22 GDPR);
  • assistere il Titolare in materia di sicurezza, notifica di violazioni, DPIA e consultazione preventiva (artt. 32-36 GDPR);
  • notificare al Titolare ogni violazione di dati personali senza ingiustificato ritardo, comunque entro 72 ore dalla conoscenza;
  • mettere a disposizione le informazioni necessarie a dimostrare il rispetto degli obblighi e consentire audit con preavviso ragionevole.

6. Misure di sicurezza

  • cifratura dei dati in transito (TLS) e a riposo a livello di provider;
  • autenticazione e gestione degli accessi basata su ruoli;
  • Row-Level Security a livello di database per isolare i dati tra locali;
  • backup periodici e procedure di ripristino;
  • monitoraggio degli eventi di sicurezza e log;
  • separazione degli ambienti di sviluppo e produzione.

7. Sub-responsabili

Il Titolare autorizza in via generale l'uso dei seguenti sub-responsabili, vincolati da contratti che impongono obblighi di protezione dei dati equivalenti:

  • Lovable — hosting, infrastruttura applicativa e AI Gateway.
  • Supabase — database gestito, autenticazione e storage.
  • Stripe Payments Europe Ltd. — gestione pagamenti.
  • Google Ireland Ltd. / Google LLC — modello AI Gemini per elaborazione menù e foto, Google Maps, recensioni.
  • Provider di invio email transazionale e di monitoraggio errori.

Ogni variazione sostanziale sarà comunicata al Titolare con ragionevole preavviso, che potrà opporsi per motivi legittimi. In caso di opposizione che renda impossibile la prosecuzione del servizio, ciascuna parte potrà recedere dal contratto.

8. Trasferimenti extra-UE

Eventuali trasferimenti verso paesi terzi (in particolare verso Stripe e Google) avvengono sulla base di decisioni di adeguatezza o di Clausole Contrattuali Standard adottate dalla Commissione Europea, integrate dalle misure supplementari ritenute necessarie.

9. Diritti degli interessati

Le richieste degli interessati devono essere rivolte al Titolare. Il Responsabile, ricevuta segnalazione, fornirà tempestivamente al Titolare gli strumenti tecnici per dare seguito alla richiesta (accesso, rettifica, cancellazione, portabilità, limitazione, opposizione).

10. Responsabilità

Ciascuna parte risponde delle violazioni commesse nell'esercizio del proprio ruolo. La responsabilità complessiva del Responsabile è limitata come previsto nei Termini di Servizio, fermo restando quanto disposto dall'art. 82 GDPR.

11. Contatti

Per qualsiasi richiesta relativa al presente accordo: info@ordiqo.it.