Omiser Logo

Questo documento è disponibile in tedesco e inglese. La versione tedesca è quella giuridicamente vincolante.

Torna alla homepage

Informativa sulla privacy

Ultimo aggiornamento: Aprile 2026

Informativa sulla Privacy

Avviso: Questa pagina e' una traduzione. Per questioni legali fa fede la versione originale tedesca. Il titolare del trattamento Zentachain GmbH (operante con il marchio "Omiser") ha sede a Dortmund, Germania, ed e' soggetto al diritto tedesco e alla normativa europea sulla protezione dei dati (GDPR).

1. Titolare del trattamento

Titolare del trattamento ai sensi del Regolamento (UE) 2016/679 (Regolamento Generale sulla Protezione dei Dati, di seguito "GDPR"), del D.Lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito "Codice Privacy"), come modificato dal D.Lgs. 10 agosto 2018, n. 101, e di ogni altra normativa applicabile in materia di protezione dei dati personali e':

Zentachain GmbH (operante con il marchio "Omiser") Dortmund, Germania

Registro delle imprese: Amtsgericht Charlottenburg (Berlino) Numero di registrazione: HRB 242677 B P.IVA: DE363535928

E-mail: office@omiser.com

(di seguito "Omiser", "noi" o "nostro/a/i/e")


2. Responsabile della protezione dei dati (DPO)

Un Responsabile della protezione dei dati sara' nominato non appena sussisteranno i presupposti di legge previsti dall'art. 37 del GDPR e dall'art. 28 del Codice Privacy — in particolare, qualora le attivita' principali del titolare consistano in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o nel trattamento su larga scala di categorie particolari di dati.

Qualora sia stato nominato un Responsabile della protezione dei dati, potra' essere contattato al seguente indirizzo:

E-mail: office@omiser.com


3. Panoramica dei trattamenti

3.1 Categorie di dati personali trattati

Trattiamo le seguenti categorie di dati personali:

  • Dati anagrafici (ad es. nomi, indirizzi, ragione sociale)
  • Dati di contatto (ad es. indirizzi e-mail, numeri di telefono)
  • Dati contrattuali (ad es. oggetto del contratto, durata, categoria cliente)
  • Dati di pagamento (ad es. coordinate bancarie, storico pagamenti — tramite fornitori di servizi di pagamento)
  • Dati di utilizzo (ad es. pagine visitate, orari di accesso, comportamento di navigazione)
  • Metadati/dati di comunicazione (ad es. indirizzi IP, informazioni sul dispositivo, tipo di browser)
  • Dati di contenuto (ad es. inserimenti nel modulo di contatto, contenuti dei messaggi)
  • Dati di autenticazione (ad es. password in forma di hash, token OAuth)

3.2 Categorie di interessati

  • Visitatori e utenti del nostro sito web (www.omiser.com)
  • Clienti commerciali (titolari di ristoranti e loro collaboratori)
  • Clienti finali dei ristoranti (nell'ambito del trattamento per conto del titolare)
  • Partner di comunicazione (modulo di contatto, e-mail)

3.3 Finalita' del trattamento

  • Fornitura e gestione del sito web e della piattaforma
  • Esecuzione delle prestazioni contrattuali (servizi SaaS B2B per ristoranti)
  • Trattamento dei dati degli ordini dei clienti finali per conto dei ristoranti
  • Comunicazione con i clienti e assistenza
  • Garanzia della sicurezza informatica e del funzionamento regolare
  • Analisi e ottimizzazione del sito web (solo previo consenso)
  • Marketing e pubblicita' (solo previo consenso)
  • Adempimento di obblighi di legge (ad es. obblighi di conservazione)

3.4 Ruoli della piattaforma e responsabilita'

Omiser gestisce una piattaforma SaaS B2B che mette a disposizione dei ristoranti un proprio shop online per gli ordini, un'app mobile e un dashboard di gestione. In tale contesto sussistono due distinti rapporti sotto il profilo della protezione dei dati:

  • Omiser quale Titolare del trattamento (art. 4, n. 7, GDPR): Per il trattamento dei dati personali dei visitatori del sito web e dei clienti commerciali (titolari di ristoranti), Omiser agisce in qualita' di Titolare del trattamento.
  • Omiser quale Responsabile del trattamento (art. 4, n. 8, e art. 28 GDPR): Per il trattamento dei dati personali dei clienti finali che effettuano ordini tramite lo shop online di un ristorante, il ristorante stesso agisce quale Titolare del trattamento. Omiser tratta tali dati esclusivamente per conto e su istruzione documentata del ristorante, sulla base di un contratto di nomina a responsabile del trattamento ai sensi dell'art. 28 GDPR.

4. Basi giuridiche del trattamento

Il trattamento dei dati personali avviene sempre sulla base di una valida base giuridica. In dettaglio, trovano applicazione le seguenti basi giuridiche:

  • Consenso (art. 6, par. 1, lett. a), GDPR; art. 122 Codice Privacy): Laddove raccogliamo il consenso dell'interessato al trattamento dei dati personali o all'accesso a informazioni memorizzate nel dispositivo terminale dell'utente (ad es. cookie, pixel di tracciamento), la base giuridica e' l'art. 6, par. 1, lett. a), GDPR, in combinato disposto con l'art. 122 del Codice Privacy. Il consenso e' revocabile in qualsiasi momento con effetto per il futuro.

  • Esecuzione del contratto e misure precontrattuali (art. 6, par. 1, lett. b), GDPR): Laddove il trattamento dei dati personali sia necessario per l'esecuzione di un contratto di cui l'interessato e' parte o per l'esecuzione di misure precontrattuali adottate su richiesta dello stesso, la base giuridica e' l'art. 6, par. 1, lett. b), GDPR.

  • Obbligo legale (art. 6, par. 1, lett. c), GDPR): Laddove il trattamento dei dati personali sia necessario per adempiere un obbligo legale al quale il titolare e' soggetto (ad es. obblighi di conservazione ai fini fiscali e contabili), la base giuridica e' l'art. 6, par. 1, lett. c), GDPR.

  • Legittimo interesse (art. 6, par. 1, lett. f), GDPR): Laddove il trattamento sia necessario per il perseguimento di un legittimo interesse del titolare o di terzi, e non prevalgano gli interessi, i diritti e le liberta' fondamentali dell'interessato, la base giuridica e' l'art. 6, par. 1, lett. f), GDPR. I nostri legittimi interessi risiedono in particolare nella fornitura e nel miglioramento della nostra piattaforma, nella garanzia della sicurezza informatica e nell'esercizio di diritti in sede giudiziaria.


5. Raccolta e trattamento dei dati personali

5.1 Visita del sito web (file di log del server)

Ad ogni accesso al nostro sito web, il nostro fornitore di hosting raccoglie e memorizza automaticamente informazioni nei cosiddetti file di log del server, che il Suo browser trasmette automaticamente. Si tratta di:

  • Indirizzo IP del dispositivo richiedente (eventualmente troncato)
  • Data e ora dell'accesso
  • Nome e URL del file richiesto
  • Volume di dati trasferiti
  • Notifica di accesso riuscito (codice di stato HTTP)
  • URL di provenienza (pagina visitata in precedenza)
  • Browser e sistema operativo utilizzati
  • Lingua e versione del software del browser
  • Nome del provider di accesso

Base giuridica: Art. 6, par. 1, lett. f), GDPR. Il nostro legittimo interesse consiste nel garantire il funzionamento regolare del sito web, nella difesa da attacchi e abusi nonche' nell'analisi degli errori.

Durata della conservazione: I file di log del server vengono cancellati automaticamente dopo un massimo di 30 giorni, salvo che una conservazione piu' lunga sia necessaria a fini probatori (ad es. in caso di incidenti di sicurezza).

Nessuna aggregazione: Non viene effettuata alcuna aggregazione di questi dati con altre fonti di dati. Non viene effettuata alcuna associazione a una persona determinata.

5.2 Registrazione come cliente ristoratore

Per l'utilizzo della nostra piattaforma SaaS e' necessaria una registrazione. In tale sede raccogliamo i seguenti dati:

  • Nome e cognome del titolare/amministratore
  • Indirizzo e-mail
  • Numero di telefono
  • Indirizzo dell'attivita' (via, numero civico, CAP, citta', Paese)
  • Ragione sociale (nome del ristorante o dell'impresa)
  • Dati fiscali (eventuale P.IVA)
  • Informazioni di pagamento (per i piani a pagamento — il trattamento avviene tramite fornitori di servizi di pagamento, cfr. Sezione 10)
  • Password (in caso di registrazione tramite e-mail — memorizzata esclusivamente come hash bcrypt)

La registrazione puo' avvenire nei seguenti modi:

  • Registrazione tramite e-mail: Creazione di un account con indirizzo e-mail e password scelta dall'utente.
  • Google OAuth: Accesso tramite il proprio account Google/Gmail. In tal caso riceviamo da Google il Suo nome, indirizzo e-mail e immagine del profilo. Non vengono trasmessi ulteriori dati (cfr. Sezione 9.1).
  • Apple Sign in: Accesso tramite il proprio Apple ID. In tal caso riceviamo da Apple il Suo nome e indirizzo e-mail. Apple offre la possibilita' di utilizzare un indirizzo di inoltro privato generato casualmente tramite la funzione "Nascondi la mia e-mail" (cfr. Sezione 9.2).

Base giuridica: Art. 6, par. 1, lett. b), GDPR (esecuzione del contratto di utilizzo o misure precontrattuali).

Durata della conservazione: I dati vengono conservati per la durata del rapporto contrattuale e cancellati dopo la cessazione del contratto, nel rispetto dei termini di conservazione previsti dalla legge (cfr. Sezione 15).

5.3 Trattamento dei dati dei clienti finali (trattamento per conto del titolare ai sensi dell'art. 28 GDPR)

I ristoranti che utilizzano la nostra piattaforma trattano attraverso il loro shop online e l'app mobile dati personali dei propri clienti finali. Tali dati comprendono in particolare:

  • Nome e indirizzo del cliente finale
  • Indirizzo e-mail e numero di telefono
  • Indirizzo di consegna/ritiro
  • Storico ordini e dettagli degli ordini
  • Informazioni di pagamento (trattate tramite fornitori di servizi di pagamento)
  • Dati di comunicazione (ad es. messaggi nell'ambito di un ordine)

Distribuzione dei ruoli ai fini della protezione dei dati:

  • Il ristorante e' il Titolare del trattamento (art. 4, n. 7, GDPR) dei dati dei clienti finali e determina le finalita' e i mezzi del trattamento.
  • Omiser e' il Responsabile del trattamento (art. 4, n. 8, GDPR) e tratta i dati dei clienti finali esclusivamente per conto e su istruzione documentata del ristorante.

Il trattamento avviene sulla base di un contratto di nomina a responsabile del trattamento ai sensi dell'art. 28 GDPR stipulato tra Omiser e il rispettivo ristorante. Tale contratto disciplina in particolare:

  • Oggetto e durata del trattamento
  • Natura e finalita' del trattamento
  • Categorie di dati personali e categorie di interessati
  • Obblighi e diritti del titolare
  • Misure tecniche e organizzative (art. 32 GDPR)
  • Ricorso a sub-responsabili del trattamento
  • Assistenza nell'adempimento dei diritti degli interessati
  • Cancellazione o restituzione dei dati al termine del contratto

Separazione tecnica: Ogni ristorante dispone di un proprio database logicamente isolato. Cio' garantisce una rigorosa separazione dei dati dei clienti finali dei diversi ristoranti.

Avviso per i clienti finali: Se Lei, in qualita' di cliente finale, desidera ottenere informazioni sui Suoi dati personali o esercitare i Suoi diritti, La preghiamo di rivolgersi al ristorante presso il quale ha effettuato l'ordine. Quest'ultimo e' il Titolare del trattamento.

5.4 Modulo di contatto

Sul nostro sito web e' disponibile un modulo di contatto tramite il quale puo' inviarci richieste. In tale sede vengono raccolti i seguenti dati:

  • Nome
  • Indirizzo e-mail
  • Numero di telefono (facoltativo)
  • Nome del ristorante (facoltativo)
  • Oggetto selezionato
  • Contenuto del messaggio
  • Data e ora dell'invio
  • Indirizzo IP (per motivi tecnici e per la prevenzione di abusi)

Per l'invio della richiesta di contatto utilizziamo il servizio Resend (Resend Inc., USA). Con Resend e' stato stipulato un contratto di nomina a responsabile del trattamento. Il trasferimento dei dati negli USA avviene sulla base di clausole contrattuali tipo (art. 46, par. 2, lett. c), GDPR).

Base giuridica:

  • Qualora la Sua richiesta sia finalizzata alla conclusione di un contratto: art. 6, par. 1, lett. b), GDPR (misure precontrattuali).
  • Per il resto: art. 6, par. 1, lett. f), GDPR (legittimo interesse a rispondere alle richieste degli utenti).

Durata della conservazione: La Sua richiesta e i dati ad essa correlati vengono cancellati dopo la conclusione della gestione della pratica, salvo che obblighi di conservazione previsti dalla legge non vi si oppongano. Qualora si instauri un rapporto contrattuale, si applicano i termini di conservazione generali (cfr. Sezione 15).

5.5 Newsletter

Sul nostro sito web e' possibile iscriversi alla nostra newsletter. In tale sede viene raccolto esclusivamente il Suo indirizzo e-mail.

Base giuridica: Art. 6, par. 1, lett. a), GDPR (consenso). L'iscrizione e' facoltativa.

Invio e gestione: Per l'invio e la gestione degli iscritti alla newsletter utilizziamo il servizio Resend (Resend Inc., USA). Resend memorizza il Suo indirizzo e-mail e la data dell'iscrizione. Con Resend e' stato stipulato un contratto di nomina a responsabile del trattamento.

Cancellazione dell'iscrizione: Puo' cancellare l'iscrizione alla newsletter in qualsiasi momento. Un link di cancellazione e' presente in ogni e-mail della newsletter. Dopo la cancellazione, il Suo indirizzo e-mail viene rimosso dalla lista di distribuzione, salvo che non sussistano obblighi di conservazione previsti dalla legge.


6. Hosting e Content Delivery

6.1 Hosting

Il nostro sito web e la nostra piattaforma sono gestiti presso un fornitore di hosting professionale. I server si trovano esclusivamente nell'Unione Europea (UE).

Durante la visita del nostro sito web, il fornitore di hosting tratta i seguenti dati:

  • Dati di contenuto
  • Dati di utilizzo
  • Metadati/dati di comunicazione (cfr. Sezione 5.1)

L'utilizzo del fornitore di hosting avviene sulla base dell'art. 6, par. 1, lett. f), GDPR (legittimo interesse alla fornitura sicura ed efficiente della nostra offerta online) nonche' — laddove sia stato concluso un contratto — sulla base dell'art. 6, par. 1, lett. b), GDPR.

Con il fornitore di hosting e' stato stipulato un contratto di nomina a responsabile del trattamento ai sensi dell'art. 28 GDPR, che garantisce il trattamento conforme alla normativa sulla protezione dei dati.

Fornitore di hosting: Vercel Inc. 440 N Baxter St, Los Angeles, CA 90012, USA


7. Font (Google Fonts — self-hosted)

Sul nostro sito web utilizziamo font di Google (Google Fonts). Questi font sono installati localmente sul nostro server (self-hosting). Quando accede al nostro sito web, i font vengono caricati direttamente dal nostro server.

Non viene stabilita alcuna connessione ai server di Google. Nessun dato viene trasmesso a Google. In particolare, il Suo indirizzo IP non viene comunicato a Google.

L'utilizzo dei font self-hosted avviene nell'interesse di una presentazione uniforme e gradevole del nostro sito web. Una base giuridica specifica ai sensi della normativa sulla protezione dei dati non e' necessaria per il self-hosting, in quanto nessun dato personale viene trasmesso a terzi.


8. Servizi di tracciamento e analisi

Sul nostro sito web utilizziamo i seguenti servizi di tracciamento e analisi. L'impiego di tali servizi avviene esclusivamente previo Suo espresso consenso, che raccogliamo tramite un banner di consenso ai cookie (piattaforma di gestione del consenso).

Base giuridica: Art. 6, par. 1, lett. a), GDPR (consenso), in combinato disposto con l'art. 122 del Codice Privacy (consenso alla memorizzazione di informazioni nel dispositivo terminale dell'utente o all'accesso alle stesse).

Senza il Suo espresso consenso non vengono impostati cookie di tracciamento e non vengono caricati pixel di tracciamento. I cookie tecnicamente necessari (art. 122, comma 1, Codice Privacy) non richiedono il consenso.

8.1 Google Analytics 4 (Google Ireland Limited)

Utilizziamo Google Analytics 4, un servizio di analisi web fornito da Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irlanda (di seguito "Google").

Google Analytics utilizza cookie e tecnologie similari che consentono un'analisi dell'utilizzo del sito web da parte Sua. Le informazioni generate dal cookie relative al Suo utilizzo di questo sito web vengono di norma trasmesse a un server di Google e ivi memorizzate.

Anonimizzazione dell'IP: Google Analytics 4 anonimizza il Suo indirizzo IP in modo standard, cosicche' nessun indirizzo IP completo viene trasmesso a Google.

Dati trattati:

  • Identificatori online (ad es. ID cookie, ID dispositivo)
  • Indirizzo IP (anonimizzato)
  • Informazioni sul dispositivo terminale (tipo di dispositivo, sistema operativo, browser)
  • Dati di utilizzo (pagine visitate, durata della visita, interazioni)
  • Dati di localizzazione (sulla base dell'indirizzo IP anonimizzato, non precisi)
  • URL di provenienza

Finalita': Analisi del comportamento degli utenti per il miglioramento del nostro sito web e della nostra offerta, creazione di statistiche di utilizzo.

Destinatari/trasferimento dei dati: Google Ireland Limited; eventualmente Google LLC, USA. Il trasferimento negli USA avviene sulla base del EU-US Data Privacy Framework (decisione di adeguatezza della Commissione europea ai sensi dell'art. 45 GDPR) o delle clausole contrattuali tipo (art. 46, par. 2, lett. c), GDPR).

Ulteriori informazioni: https://policies.google.com/privacy

Opt-out: Puo' impedire la raccolta da parte di Google Analytics non prestando il Suo consenso o revocandolo. Inoltre, Google mette a disposizione un componente aggiuntivo del browser per la disattivazione: https://tools.google.com/dlpage/gaoptout

8.2 Google Ads Conversion Tracking (Google Ireland Limited)

Utilizziamo il Google Ads Conversion Tracking, un servizio di Google Ireland Limited.

Quando Lei fa clic su un annuncio pubblicato da Google, viene impostato un cookie per il conversion tracking sul Suo dispositivo terminale. Questo cookie perde la propria validita' dopo 30 giorni e non serve per l'identificazione personale. Se Lei visita determinate pagine del nostro sito web e il cookie non e' ancora scaduto, noi e Google possiamo rilevare che Lei ha fatto clic sull'annuncio e che e' stato reindirizzato al nostro sito.

Dati trattati:

  • Identificatori online (ID cookie)
  • Dati di conversione (ad es. se una determinata azione e' stata eseguita)
  • Indirizzo IP (troncato)
  • Informazioni sull'interazione con l'annuncio

Finalita': Misurazione dell'efficacia dei nostri annunci pubblicitari Google Ads, ottimizzazione delle nostre campagne pubblicitarie.

Destinatari/trasferimento dei dati: Google Ireland Limited; eventualmente Google LLC, USA (EU-US Data Privacy Framework / clausole contrattuali tipo).

Ulteriori informazioni: https://policies.google.com/privacy

8.3 Meta Pixel (Meta Platforms Ireland Limited)

Utilizziamo il Meta Pixel (gia' Facebook Pixel), un servizio di Meta Platforms Ireland Limited, Merrion Road, Dublin 4, D04 X2K5, Irlanda (di seguito "Meta").

Il Meta Pixel e' un frammento di codice JavaScript integrato nel nostro sito web. Ci consente di misurare l'efficacia dei nostri annunci pubblicitari su Facebook e Instagram, di creare gruppi target per gli annunci (Custom Audiences) e di effettuare attivita' di retargeting.

Dati trattati:

  • Identificatori online (ID cookie, ID Pixel)
  • Dati di utilizzo (pagine visitate, azioni/eventi eseguiti)
  • Informazioni sul dispositivo (browser, sistema operativo, risoluzione dello schermo)
  • Indirizzo IP
  • URL di provenienza

Al momento dell'accesso al nostro sito web, il Meta Pixel stabilisce una connessione diretta al server di Meta. Meta riceve l'informazione che Lei ha visitato il nostro sito web. Se Lei ha effettuato l'accesso a Facebook/Instagram, Meta puo' associare la visita al Suo account.

Finalita': Misurazione dell'efficacia pubblicitaria, creazione di gruppi target, retargeting.

Destinatari/trasferimento dei dati: Meta Platforms Ireland Limited; eventualmente Meta Platforms, Inc., USA (EU-US Data Privacy Framework / clausole contrattuali tipo).

Contitolarita': Per la raccolta e la trasmissione dei dati a Meta sussiste tra noi e Meta una contitolarita' ai sensi dell'art. 26 GDPR. L'accordo al riguardo e' consultabile al seguente indirizzo: https://www.facebook.com/legal/controller_addendum

Ulteriori informazioni: https://www.facebook.com/privacy/policy/

8.4 TikTok Pixel (TikTok Technology Limited)

Utilizziamo il TikTok Pixel, un servizio di TikTok Technology Limited, 10 Earlsfort Terrace, Dublin, D02 T380, Irlanda (di seguito "TikTok").

Il TikTok Pixel ci consente di misurare l'efficacia dei nostri annunci pubblicitari su TikTok e di registrare eventi di conversione.

Dati trattati:

  • Identificatori online (ID cookie, ID Pixel)
  • Dati di utilizzo (pagine visitate, azioni/eventi eseguiti)
  • Informazioni sul dispositivo
  • Indirizzo IP

Finalita': Misurazione dell'efficacia pubblicitaria su TikTok, conversion tracking, retargeting.

Destinatari/trasferimento dei dati: TikTok Technology Limited, Irlanda; eventualmente altre entita' del gruppo TikTok. Il trasferimento verso Paesi terzi avviene sulla base di clausole contrattuali tipo (art. 46, par. 2, lett. c), GDPR).

Ulteriori informazioni: https://www.tiktok.com/legal/privacy-policy

8.5 Twitter/X Pixel (X Corp.)

Utilizziamo il Twitter/X Conversion Tracking (Universal Website Tag), un servizio di X Corp., 1355 Market Street, Suite 900, San Francisco, CA 94103, USA (di seguito "X").

Il Twitter/X Pixel ci consente di misurare il successo dei nostri annunci pubblicitari su Twitter/X.

Dati trattati:

  • Identificatori online (ID cookie)
  • Dati di utilizzo (pagine visitate, eventi di conversione)
  • Informazioni sul dispositivo
  • Indirizzo IP

Finalita': Misurazione dell'efficacia pubblicitaria su Twitter/X, conversion tracking.

Destinatari/trasferimento dei dati: X Corp., USA. Il trasferimento negli USA avviene sulla base di clausole contrattuali tipo (art. 46, par. 2, lett. c), GDPR) e — ove applicabile — del EU-US Data Privacy Framework.

Ulteriori informazioni: https://twitter.com/en/privacy

Revoca del consenso ai servizi di tracciamento e analisi

Lei puo' revocare il consenso prestato all'utilizzo dei suddetti servizi di tracciamento e analisi in qualsiasi momento con effetto per il futuro. A tal fine ha le seguenti possibilita':

  • Impostazioni cookie: Modifichi il Suo consenso tramite il link "Impostazioni cookie" nel footer del nostro sito web. Qui puo' disattivare singoli o tutti i servizi.
  • Impostazioni del browser: Puo' configurare il Suo browser in modo che rifiuti i cookie in generale, consenta solo determinati cookie o La avvisi quando un cookie sta per essere impostato.
  • Link opt-out dei fornitori: I singoli fornitori mettono parzialmente a disposizione propri meccanismi di opt-out (cfr. le rispettive sezioni sopra).

La revoca del consenso non pregiudica la liceita' del trattamento effettuato sulla base del consenso prima della revoca (art. 7, par. 3, secondo periodo, GDPR).


9. Servizi di autenticazione di terzi

9.1 Google OAuth (Google Ireland Limited)

Le offriamo la possibilita' di registrarsi e accedere alla nostra piattaforma tramite il Suo account Google (OAuth 2.0).

Fornitore: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irlanda.

Dati trasmessi: Al momento dell'accesso tramite Google vengono trasmessi da Google a noi i seguenti dati:

  • Nome (nome e cognome)
  • Indirizzo e-mail
  • Immagine del profilo
  • ID utente Google univoco

La trasmissione avviene tramite l'interfaccia sicura OAuth 2.0. Vengono trasmessi solo i dati da Lei autorizzati. Google riceve l'informazione che Lei si e' registrato al nostro servizio. Non otteniamo accesso alla Sua password Google.

Base giuridica: Art. 6, par. 1, lett. b), GDPR (esecuzione del contratto — la registrazione e' presupposto per l'utilizzo della nostra piattaforma).

Ulteriori informazioni: https://policies.google.com/privacy

9.2 Sign in with Apple (Apple Distribution International Ltd.)

Le offriamo la possibilita' di registrarsi e accedere alla nostra piattaforma tramite il Suo Apple ID.

Fornitore: Apple Distribution International Ltd., Hollyhill Industrial Estate, Hollyhill, Cork, Irlanda.

Dati trasmessi: Al momento dell'accesso tramite Apple vengono trasmessi da Apple a noi i seguenti dati:

  • Nome (nome e cognome)
  • Indirizzo e-mail

Apple offre la possibilita', tramite la funzione "Nascondi la mia e-mail", di utilizzare un indirizzo di inoltro privato generato casualmente al posto del Suo indirizzo e-mail reale. I messaggi inviati a tale indirizzo vengono inoltrati da Apple al Suo indirizzo e-mail reale, senza che noi veniamo a conoscenza del Suo indirizzo e-mail reale.

Base giuridica: Art. 6, par. 1, lett. b), GDPR (esecuzione del contratto).

Ulteriori informazioni: https://www.apple.com/legal/privacy/


10. Fornitori di servizi di pagamento

Per la gestione dei pagamenti nell'ambito della nostra piattaforma SaaS ci avvaliamo di fornitori esterni di servizi di pagamento. L'elaborazione del pagamento avviene direttamente tra l'utente e il rispettivo fornitore di servizi di pagamento. Noi riceviamo dal fornitore di servizi di pagamento unicamente una conferma dell'avvenuto pagamento o un ID di transazione.

10.1 Stripe (Stripe Payments Europe, Ltd.)

Fornitore: Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin 2, Irlanda.

Dati trattati: Nell'ambito della transazione di pagamento, Stripe tratta i dati necessari per l'elaborazione del pagamento, in particolare:

  • Nome del titolare della carta
  • Numero della carta di credito o di debito (Omiser non ha accesso al numero completo della carta)
  • Data di scadenza
  • Codice di verifica (CVC/CVV)
  • Importo della transazione
  • Indirizzo e-mail
  • Indirizzo IP

Base giuridica: Art. 6, par. 1, lett. b), GDPR (esecuzione del contratto).

Stripe, in qualita' di fornitore di servizi di pagamento, e' titolare autonomo del trattamento per le attivita' di trattamento dei dati che rientrano nella propria sfera di responsabilita'. Abbiamo concluso con Stripe un contratto di nomina a responsabile del trattamento, nella misura in cui Stripe opera per nostro conto.

Ulteriori informazioni: https://stripe.com/it/privacy

10.2 Mollie (Mollie B.V.)

Fornitore: Mollie B.V., Keizersgracht 126, 1015 CW Amsterdam, Paesi Bassi.

Dati trattati: Nell'ambito della transazione di pagamento, Mollie tratta i dati necessari per l'elaborazione del pagamento, in particolare:

  • Nome del pagatore
  • Dati di pagamento (a seconda del metodo di pagamento scelto)
  • Importo e valuta della transazione
  • Indirizzo e-mail
  • Indirizzo IP

Base giuridica: Art. 6, par. 1, lett. b), GDPR (esecuzione del contratto).

Mollie, in qualita' di fornitore di servizi di pagamento, e' titolare autonomo del trattamento per le attivita' di trattamento dei dati che rientrano nella propria sfera di responsabilita'.

Ulteriori informazioni: https://www.mollie.com/it/privacy


11. Servizi cartografici

Utilizziamo servizi cartografici per la visualizzazione di mappe e per la configurazione delle zone di consegna dei ristoranti sulla nostra piattaforma.

Fornitore: Google Maps (Google Ireland Limited) Gordon House, Barrow Street, Dublin 4, Irlanda

Dati trattati: Al caricamento della visualizzazione della mappa viene stabilita una connessione ai server del fornitore del servizio cartografico. In tale occasione possono essere trasmessi i seguenti dati:

  • Indirizzo IP
  • Dati di localizzazione (se condivisi dall'utente)
  • Informazioni sul dispositivo e sul browser
  • Dati di utilizzo (ad es. porzione di mappa visualizzata, livello di zoom)

Finalita': Visualizzazione di mappe, configurazione e visualizzazione delle zone di consegna dei ristoranti.

Base giuridica: Art. 6, par. 1, lett. b), GDPR (esecuzione del contratto), nella misura in cui la visualizzazione della mappa sia necessaria per l'erogazione della prestazione contrattualmente dovuta (configurazione delle zone di consegna); per il resto, art. 6, par. 1, lett. f), GDPR (legittimo interesse a una presentazione user-friendly).

Qualora i dati vengano trasferiti verso Paesi terzi, cio' avviene sulla base di clausole contrattuali tipo (art. 46, par. 2, lett. c), GDPR) o del EU-US Data Privacy Framework.

Ulteriori informazioni: https://policies.google.com/privacy


12. Sicurezza dei dati

Adottiamo misure tecniche e organizzative complete ai sensi dell'art. 32 GDPR per garantire un livello di sicurezza adeguato al rischio per i dati personali trattati. Tra queste rientrano in particolare:

Misure tecniche:

  • Crittografia AES-256 per i dati dei clienti memorizzati (Encryption at Rest)
  • Crittografia TLS/SSL per l'intero trasferimento dei dati tra client e server (Encryption in Transit)
  • Database isolati per ciascun ristorante — ogni ristorante dispone di un proprio database logicamente separato. Cio' esclude tecnicamente l'accesso ai dati di altri ristoranti.
  • Memorizzazione sicura delle password mediante hashing bcrypt. Le password non vengono mai memorizzate o trasmesse in chiaro.
  • Aggiornamenti di sicurezza regolari e patch per tutti i sistemi e le dipendenze
  • Backup automatizzati con crittografia
  • Firewall e sistemi di rilevamento delle intrusioni per la protezione dell'infrastruttura

Misure organizzative:

  • Controllo degli accessi basato sui ruoli (RBAC): L'accesso ai dati personali e' strettamente limitato ai collaboratori che ne hanno bisogno per lo svolgimento della propria attivita' (principio del need-to-know).
  • Obbligo di riservatezza per tutti i collaboratori e fornitori di servizi ai sensi dell'art. 28, par. 3, lett. b), GDPR
  • Sensibilizzazione regolare dei collaboratori in materia di protezione dei dati e sicurezza informatica
  • Procedura documentata per gli incidenti relativi alla protezione dei dati ai sensi degli artt. 33 e 34 GDPR

Hosting nell'UE: Tutti i server e i database si trovano in data center all'interno dell'Unione Europea.

Precisiamo che, nonostante tutte le misure di sicurezza adottate, non e' possibile garantire una sicurezza assoluta nella trasmissione dei dati tramite Internet.


13. Comunicazione a terzi e responsabili del trattamento

La comunicazione di dati personali a terzi avviene solo se:

  • Lei ha prestato espresso consenso (art. 6, par. 1, lett. a), GDPR),
  • cio' sia necessario per l'esecuzione di un contratto (art. 6, par. 1, lett. b), GDPR),
  • sussista un obbligo legale (art. 6, par. 1, lett. c), GDPR), o
  • cio' sia necessario per il perseguimento di legittimi interessi e non vi sia motivo di ritenere che prevalga il Suo interesse meritevole di tutela all'esclusione della comunicazione (art. 6, par. 1, lett. f), GDPR).

Responsabili del trattamento e fornitori di servizi impiegati

Collaboriamo con le seguenti categorie di fornitori di servizi, con i quali — ove necessario — sono stati stipulati contratti di nomina a responsabile del trattamento ai sensi dell'art. 28 GDPR:

| Fornitore / Categoria | Finalita' | Sede | |---|---|---| | Vercel Inc. | Hosting, infrastruttura server | USA (certificato DPF) | | Stripe Payments Europe, Ltd. | Elaborazione pagamenti | Irlanda (UE) | | Mollie B.V. | Elaborazione pagamenti | Paesi Bassi (UE) | | Google Ireland Limited | Google Analytics 4, Google Ads, Google OAuth | Irlanda (UE) | | Meta Platforms Ireland Limited | Meta Pixel (Facebook/Instagram) | Irlanda (UE) | | TikTok Technology Limited | TikTok Pixel | Irlanda (UE) | | X Corp. | Twitter/X Pixel | USA | | Apple Distribution International Ltd. | Sign in with Apple | Irlanda (UE) | | Google Ireland Limited | Servizio cartografico (Google Maps) / Zone di consegna | Irlanda (UE) | | Resend Inc. | Invio di e-mail dal modulo di contatto e newsletter | USA (SCC) |

Questo elenco viene aggiornato in caso di modifiche. L'elenco completo e aggiornato dei sub-responsabili del trattamento puo' essere reso disponibile su richiesta.


14. Trasferimento dei dati verso Paesi terzi

Alcuni dei fornitori di servizi da noi impiegati hanno sede al di fuori dell'Unione Europea o dello Spazio Economico Europeo (SEE), in particolare negli USA. Nella misura in cui avvenga un trasferimento di dati personali verso tali fornitori, ci assicuriamo che sia garantito un livello adeguato di protezione dei dati.

Basi giuridiche per il trasferimento dei dati:

  • EU-US Data Privacy Framework (DPF): Per le imprese con sede negli USA certificate nell'ambito del EU-US Data Privacy Framework, sussiste una decisione di adeguatezza della Commissione europea ai sensi dell'art. 45 GDPR (Decisione di esecuzione (UE) 2023/1795 della Commissione del 10 luglio 2023). Cio' riguarda in particolare Google LLC e Meta Platforms, Inc.

  • Clausole contrattuali tipo (Standard Contractual Clauses — SCC): Per i trasferimenti verso Paesi terzi per i quali non sussiste una decisione di adeguatezza, utilizziamo le clausole contrattuali tipo approvate dalla Commissione europea ai sensi dell'art. 46, par. 2, lett. c), GDPR (Decisione di esecuzione (UE) 2021/914 della Commissione del 4 giugno 2021) quale garanzia di un livello adeguato di protezione dei dati.

  • Misure supplementari: In aggiunta alle clausole contrattuali tipo, adottiamo — ove necessario — misure tecniche e organizzative supplementari per garantire la protezione dei dati personali in caso di trasferimento verso Paesi terzi (ad es. crittografia, pseudonimizzazione).

Per domande sulle garanzie specifiche per un determinato trasferimento di dati, puo' contattarci (cfr. Sezione 1).


15. Durata della conservazione

Conserviamo i dati personali solo per il tempo necessario alle rispettive finalita' del trattamento o finche' sussistano obblighi di conservazione previsti dalla legge. In dettaglio si applicano i seguenti termini di conservazione:

| Categoria di dati | Durata della conservazione | Base giuridica | |---|---|---| | File di log del server | Massimo 30 giorni | Art. 6, par. 1, lett. f), GDPR | | Dati contrattuali (clienti B2B) | Durata del rapporto contrattuale piu' i termini di conservazione previsti dalla legge | Art. 6, par. 1, lett. b) e c), GDPR | | Corrispondenza commerciale e d'affari | 6 anni dalla cessazione del contratto | Art. 2220 c.c.; normativa fiscale applicabile | | Documenti fiscalmente rilevanti | 10 anni dalla cessazione del contratto | Art. 2220 c.c.; D.P.R. 600/1973; D.P.R. 633/1972 | | Richieste di contatto | Dopo la conclusione della gestione, salvo obblighi di conservazione previsti dalla legge | Art. 6, par. 1, lett. b) e f), GDPR | | Prove del consenso (log del consenso) | 3 anni dall'ultimo consenso / revoca | Art. 7, par. 1, GDPR | | Dati dei clienti finali (in qualita' di responsabile del trattamento) | Secondo le istruzioni del titolare (ristorante) | Art. 28 GDPR |

Periodo di esportazione dopo la cessazione del contratto: Dopo la cessazione del rapporto contrattuale, il cliente commerciale (ristorante) dispone di un periodo di 30 giorni per esportare i propri dati, compresi i dati dei clienti finali trattati per suo conto. Decorso tale termine, i dati — salvo obblighi di conservazione previsti dalla legge — vengono irrevocabilmente cancellati.


16. Diritti dell'interessato

In qualita' di interessato, Le spettano i seguenti diritti nei nostri confronti in qualita' di Titolare del trattamento. Per esercitare i Suoi diritti, La preghiamo di contattarci ai recapiti indicati nella Sezione 1 o tramite e-mail all'indirizzo: office@omiser.com.

Esamineremo la Sua richiesta senza ingiustificato ritardo e comunque entro un mese dal ricevimento (art. 12, par. 3, GDPR). In casi motivati, tale termine puo' essere prorogato di ulteriori due mesi, di cui La informeremo.

16.1 Diritto di accesso (art. 15 GDPR)

Lei ha il diritto di ottenere dal titolare la conferma che sia o meno in corso un trattamento di dati personali che La riguardano. In caso affermativo, ha il diritto di accedere ai dati personali e alle seguenti informazioni:

  • le finalita' del trattamento
  • le categorie di dati personali trattati
  • i destinatari o le categorie di destinatari
  • il periodo di conservazione previsto
  • l'esistenza del diritto di rettifica, cancellazione, limitazione o opposizione
  • l'esistenza del diritto di proporre reclamo a un'autorita' di controllo
  • l'origine dei dati, qualora non siano stati raccolti presso l'interessato
  • l'esistenza di un processo decisionale automatizzato, compresa la profilazione

Lei ha il diritto di ottenere una copia dei dati personali oggetto del trattamento (art. 15, par. 3, GDPR).

16.2 Diritto di rettifica (art. 16 GDPR)

Lei ha il diritto di ottenere, senza ingiustificato ritardo, la rettifica dei dati personali inesatti che La riguardano. Tenuto conto delle finalita' del trattamento, ha il diritto di ottenere l'integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa.

16.3 Diritto alla cancellazione (art. 17 GDPR)

Lei ha il diritto di ottenere dal titolare la cancellazione dei dati personali che La riguardano senza ingiustificato ritardo, qualora sussista uno dei seguenti motivi:

  • I dati personali non sono piu' necessari rispetto alle finalita' per le quali sono stati raccolti.
  • Lei ha revocato il consenso e non sussiste altra base giuridica per il trattamento.
  • Lei si oppone al trattamento ai sensi dell'art. 21, par. 1, GDPR e non sussistono motivi legittimi prevalenti.
  • I dati personali sono stati trattati illecitamente.
  • La cancellazione e' necessaria per adempiere un obbligo legale.

Il diritto alla cancellazione non sussiste nella misura in cui il trattamento sia necessario per l'adempimento di un obbligo legale (ad es. obblighi di conservazione ai sensi della normativa fiscale e contabile) o per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria.

16.4 Diritto alla limitazione del trattamento (art. 18 GDPR)

Lei ha il diritto di ottenere la limitazione del trattamento dei Suoi dati personali quando:

  • contesta l'esattezza dei dati (per il periodo necessario alla verifica),
  • il trattamento e' illecito e Lei si oppone alla cancellazione chiedendo invece la limitazione dell'uso,
  • il titolare non ha piu' bisogno dei dati, ma Lei ne ha bisogno per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria, o
  • Lei si e' opposto al trattamento ai sensi dell'art. 21, par. 1, GDPR, in attesa della verifica in merito all'eventuale prevalenza dei motivi legittimi del titolare.

16.5 Diritto alla portabilita' dei dati (art. 20 GDPR)

Lei ha il diritto di ricevere i dati personali che La riguardano, che ha fornito al titolare, in un formato strutturato, di uso comune e leggibile da dispositivo automatico. Ha inoltre il diritto di trasmettere tali dati a un altro titolare senza impedimenti da parte nostra, qualora:

  • il trattamento si basi sul consenso (art. 6, par. 1, lett. a), GDPR) o su un contratto (art. 6, par. 1, lett. b), GDPR), e
  • il trattamento sia effettuato con mezzi automatizzati.

Ove tecnicamente fattibile, ha il diritto di ottenere la trasmissione diretta dei dati personali da noi a un altro titolare.

16.6 Diritto di opposizione (art. 21 GDPR)


AVVISO IMPORTANTE — DIRITTO DI OPPOSIZIONE AI SENSI DELL'ART. 21 GDPR:

Lei ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla Sua situazione particolare, al trattamento dei dati personali che La riguardano basato sull'art. 6, par. 1, lett. f), GDPR (legittimi interessi).

Qualora Lei si opponga, non tratteremo piu' i Suoi dati personali, salvo che possiamo dimostrare l'esistenza di motivi legittimi cogenti per il trattamento che prevalgono sui Suoi interessi, diritti e liberta', oppure il trattamento serva per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria.

Qualora i Suoi dati personali siano trattati per finalita' di marketing diretto, Lei ha il diritto di opporsi in qualsiasi momento al trattamento per tali finalita'. Cio' vale anche per la profilazione, nella misura in cui sia connessa a tale marketing diretto. Qualora Lei si opponga al trattamento per finalita' di marketing diretto, i Suoi dati personali non saranno piu' trattati per tali finalita'.

Per esercitare il Suo diritto di opposizione puo' contattarci ai recapiti indicati nella Sezione 1.


16.7 Diritto alla revoca del consenso (art. 7, par. 3, GDPR)

Qualora il trattamento dei Suoi dati personali si basi sul consenso (art. 6, par. 1, lett. a), GDPR; art. 122 Codice Privacy), Lei ha il diritto di revocare tale consenso in qualsiasi momento con effetto per il futuro. La revoca puo' avvenire in forma libera, ad es. tramite e-mail all'indirizzo office@omiser.com o tramite le impostazioni cookie del nostro sito web.

Importante: La revoca del consenso non pregiudica la liceita' del trattamento basato sul consenso effettuato prima della revoca (art. 7, par. 3, secondo periodo, GDPR).


17. Processo decisionale automatizzato e profilazione (art. 13, par. 2, lett. f), GDPR)

Non viene effettuato alcun processo decisionale automatizzato ai sensi dell'art. 22 GDPR. Non adottiamo decisioni basate unicamente su un trattamento automatizzato — compresa la profilazione — che producano effetti giuridici che La riguardano o che incidano in modo analogo significativamente sulla Sua persona.

Qualora cio' dovesse cambiare in futuro, La informeremo ai sensi dell'art. 13, par. 2, lett. f), GDPR e adotteremo le misure necessarie a tutela dei Suoi diritti, delle Sue liberta' e dei Suoi legittimi interessi.


18. Obbligo di fornire dati personali

Nell'ambito del rapporto commerciale, Lei e' tenuto a fornire i dati personali necessari per l'instaurazione, l'esecuzione e la cessazione del rapporto contrattuale e per l'adempimento dei relativi obblighi contrattuali, o la cui raccolta e' per noi prescritta dalla legge.

Dati obbligatori in fase di registrazione:

  • Nome, indirizzo e-mail, indirizzo dell'attivita' e ragione sociale sono indispensabili per la conclusione e l'esecuzione del contratto. Senza tali dati non possiamo concludere il contratto ne' erogare i nostri servizi.

Dati facoltativi:

  • I dati ulteriori (ad es. numero di telefono nel modulo di contatto, immagine del profilo) sono facoltativi. I campi non obbligatori sono contrassegnati come tali.
  • Il consenso ai servizi di tracciamento e analisi (Sezione 8) e' del tutto facoltativo e non influisce sulla fruibilita' della nostra piattaforma.

19. Diritto di proporre reclamo a un'autorita' di controllo (art. 77 GDPR)

Fatto salvo ogni altro ricorso amministrativo o giurisdizionale, Lei ha il diritto di proporre reclamo a un'autorita' di controllo, in particolare nello Stato membro della Sua residenza abituale, del Suo luogo di lavoro o del luogo della presunta violazione, qualora ritenga che il trattamento dei Suoi dati personali violi il GDPR.

Autorita' di controllo competente per l'Italia:

Garante per la protezione dei dati personali Piazza Venezia, 11 — 00187 Roma Telefono: +39 06 696771 E-mail: garante@gpdp.it PEC: protocollo@pec.gpdp.it https://www.garanteprivacy.it

Autorita' di controllo competente per la sede del Titolare (Germania):

Landesbeauftragte fuer Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) Postfach 20 04 44, 40102 Duesseldorf Telefono: +49 211 38424-0 https://www.ldi.nrw.de


20. Modifiche alla presente informativa sulla privacy

Ci riserviamo il diritto di modificare la presente informativa sulla privacy per adeguarla a mutamenti normativi, novita' tecniche o modifiche dei nostri servizi. La versione attuale entra in vigore dal momento della sua pubblicazione sul nostro sito web.

Le modifiche sostanziali che riguardino i Suoi diritti o le modalita' del trattamento dei dati Le saranno comunicate tempestivamente — ad esempio tramite e-mail o mediante un avviso ben visibile sul nostro sito web. Le raccomandiamo di consultare regolarmente la presente informativa sulla privacy per essere informato sulla tutela dei Suoi dati.


Ultimo aggiornamento: aprile 2026