Informativa sulla Privacy e sul Trattamento dei Dati Personali per Finalità di Marketing

Ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 (GDPR)

Ultimo aggiornamento: 29 aprile 2026

1. Titolari e Responsabile del Trattamento

1.1 Titolare del Trattamento

Il Titolare del trattamento dei dati personali è il gestore del locale che utilizza la piattaforma ByteOS CRM (di seguito "Locale" o "Titolare").

A titolo esemplificativo, i Locali aderenti alla piattaforma includono:

RISTORANCH S.R.L.

Partita IVA: 03366230161

Sede legale: Via Giosuè Carducci 6, 24060 Carobbio degli Angeli (BG)

Il Locale è il soggetto che raccoglie i dati personali dei clienti tramite prenotazioni, captive portal WiFi, registrazioni in sala e altre modalità operative, determinando le finalità e i mezzi del trattamento nell'ambito della propria attività commerciale.

1.2 Responsabile del Trattamento

Il Responsabile del trattamento, ai sensi dell'art. 28 del GDPR, è:

Secret Universe S.R.L.S.

Partita IVA: 17469361004

Sede legale: Via del Casaletto 151, 00151 Roma (RM)

Email privacy: privacy@byteos.it

*(di seguito "ByteOS")*

Secret Universe S.R.L.S. fornisce la piattaforma tecnologica ByteOS CRM con cui il Locale gestisce i dati dei propri clienti. ByteOS tratta i dati personali esclusivamente per conto e su istruzione del Titolare, sulla base di un accordo di trattamento dati (DPA) ai sensi dell'art. 28 GDPR.

1.3 Riconoscimento tra sedi dello stesso Titolare

Qualora il Titolare gestisca più sedi (locali) sotto la medesima ragione sociale e Partita IVA, i dati dei clienti possono essere condivisi tra le diverse sedi per facilitare le prenotazioni e offrire un'esperienza coerente. In tal caso il Titolare del trattamento resta unico e non si configura alcuna comunicazione a terzi.

I dati non vengono mai condivisi tra Locali appartenenti a società diverse.

1.4 Rapporto tra Locale e ByteOS — Nessuna vendita di dati

I dati personali raccolti dal Locale non vengono mai venduti, ceduti o comunicati a terzi per finalità autonome di marketing. ByteOS accede ai dati esclusivamente in qualità di Responsabile del trattamento per l'erogazione del servizio tecnologico.

2. Dati Personali Raccolti

2.1 Dati forniti direttamente dall'interessato

Categoria	Dati	Obbligatorio
Dati identificativi	Nome, cognome	Sì
Dati di contatto	Indirizzo email, numero di telefono	Almeno uno
Dati anagrafici	Data di nascita	No
Preferenze	Preferenze alimentari, richieste speciali, preferenza area seduta	No
Consensi	Consenso marketing email, consenso WhatsApp, data del consenso	Sì (per la relativa finalità)

2.2 Dati generati dall'utilizzo del servizio

Categoria	Dati	Finalità
Dati di frequentazione	Numero visite, data ultima visita, spesa totale	Profilazione e segmentazione clienti
Dati di prenotazione	Data, ora, numero ospiti, stato prenotazione	Gestione del servizio
Stato cliente	Classificazione (attivo, VIP, nuovo)	Segmentazione marketing
Tag e note	Categorizzazioni e note operative	Personalizzazione servizio

2.3 Dati di interazione marketing

Categoria	Dati	Finalità
Invii campagne	Canale (email/WhatsApp), stato consegna, data invio	Monitoraggio campagne
Engagement	Stato lettura, bounce, reclami	Miglioramento comunicazioni

2.4 Dati tecnici

Indirizzo IP: raccolto esclusivamente per finalità di rate limiting anti-spam durante la prenotazione online. Non viene conservato in modo persistente.

2.5 Dati NON raccolti

ByteOS non raccoglie:

Dati biometrici

Dati relativi alla salute (salvo eventuali allergie alimentari indicate volontariamente)

Dati di navigazione web, cookie di profilazione, pixel di tracciamento di terze parti

Dati di geolocalizzazione

Dati da social media

3. Fonti dei Dati Personali

I dati personali possono essere raccolti dal Locale attraverso le seguenti modalità:

Prenotazione online: tramite il widget di prenotazione ByteOS integrato nel sito web del Locale.

Captive Portal WiFi: al momento della connessione alla rete WiFi del Locale, previa informativa e consenso.

Registrazione in sala: da parte dello staff del Locale durante il servizio.

Comunicazione diretta: dati forniti spontaneamente dal cliente al Locale (telefono, email, di persona).

In nessun caso i dati vengono acquistati da broker, raccolti tramite scraping, o ottenuti da fonti diverse da quelle sopra indicate.

4. Finalità e Base Giuridica del Trattamento

4.1 Gestione del servizio di prenotazione e ristorazione

Finalità: Gestire le prenotazioni, accogliere i clienti, gestire le preferenze e le richieste speciali.

Base giuridica: Esecuzione di un contratto o misure precontrattuali (art. 6.1.b GDPR).

Titolare: Il Locale.

Conservazione: Per la durata del rapporto commerciale e per i successivi 24 mesi dall'ultima interazione.

4.2 Marketing diretto via email

Finalità: Invio di comunicazioni promozionali, offerte personalizzate, auguri di compleanno, follow-up post visita, campagne di riattivazione, promozioni VIP.

Base giuridica: Consenso esplicito dell'interessato (art. 6.1.a GDPR).

Titolare: Il Locale.

Consenso: Raccolto tramite apposito flag con registrazione della data di acquisizione. Il consenso è revocabile in qualsiasi momento.

4.3 Marketing diretto via WhatsApp

Finalità: Invio di messaggi promozionali, promemoria prenotazioni, comunicazioni di servizio tramite WhatsApp Business.

Base giuridica: Consenso esplicito dell'interessato (art. 6.1.a GDPR).

Titolare: Il Locale.

Consenso: Raccolto tramite apposito flag separato, con registrazione della data. Il consenso è revocabile in qualsiasi momento e indipendente dal consenso email.

4.4 Comunicazioni automatizzate

ByteOS consente l'invio di comunicazioni automatizzate basate su eventi, sempre per conto del Locale e solo verso clienti con consenso attivo:

Tipo automazione	Trigger	Canale
Auguri di compleanno	Data di nascita del cliente	Email / WhatsApp
Riattivazione cliente inattivo	30 o 60 giorni dall'ultima visita	Email / WhatsApp
Follow-up post visita	24 ore dopo il checkout	Email / WhatsApp
Promemoria prenotazione	2 ore prima della prenotazione	Email / WhatsApp
Anniversario VIP	Anniversario annuale	Email / WhatsApp
Recupero no-show	3 giorni dopo mancata presentazione	Email / WhatsApp

4.5 Profilazione e segmentazione

Finalità: Classificazione dei clienti in segmenti (VIP, attivo, nuovo, inattivo) per personalizzare le comunicazioni marketing e il servizio.

Base giuridica: Legittimo interesse del Titolare (art. 6.1.f GDPR), bilanciato con i diritti dell'interessato. La profilazione non produce effetti giuridici né decisioni automatizzate significative.

Titolare: Il Locale.

Dati utilizzati: Frequenza visite, spesa totale, data ultima visita, tag assegnati.

4.6 Gestione pagamenti e depositi

Finalità: Elaborazione dei depositi per prenotazione e acquisto crediti marketing (token).

Base giuridica: Esecuzione contrattuale (art. 6.1.b GDPR).

Nota: I dati di pagamento (numero carta, CVV) sono gestiti esclusivamente da Stripe e non transitano né vengono conservati sui server di ByteOS.

4.7 Riconoscimento tra sedi dello stesso Titolare

Finalità: Riconoscimento del cliente presso diverse sedi gestite dallo stesso Titolare (stessa ragione sociale e Partita IVA), per facilitare le prenotazioni future ed evitare la re-immissione dei dati.

Base giuridica: Legittimo interesse del Titolare (art. 6.1.f GDPR), in quanto il trattamento avviene all'interno della medesima organizzazione.

Titolare: Il Locale (unico Titolare per tutte le sue sedi).

Dati trattati: Nome, cognome, email, telefono, data di nascita, stato del consenso marketing.

Nota: Questa funzionalità è limitata ai soli locali della stessa società. I dati non vengono mai condivisi con locali di società terze.

5. Modalità del Trattamento

I dati personali sono trattati con strumenti elettronici e procedure automatizzate, nel rispetto dei principi di liceità, correttezza, trasparenza, minimizzazione, esattezza, limitazione della conservazione, integrità e riservatezza.

Le misure di sicurezza adottate includono:

Isolamento dati multi-tenant: Ogni Locale accede esclusivamente ai dati dei propri clienti tramite politiche di sicurezza a livello di riga (Row Level Security). Nessun Locale può accedere ai dati di un altro Locale.

Autenticazione: Accesso al CRM tramite credenziali email/password con gestione sessioni sicure.

Controllo accessi basato su ruoli: Distinzione tra proprietario, manager e staff con permessi differenziati.

Crittografia in transito: Tutte le comunicazioni avvengono tramite protocollo HTTPS/TLS.

Hosting EU: I dati sono conservati su infrastruttura cloud con data center nell'Unione Europea.

6. Destinatari e Sub-responsabili del Trattamento

I dati personali possono essere comunicati ai seguenti soggetti, nominati Sub-responsabili del trattamento da parte di ByteOS, ai sensi dell'art. 28 GDPR:

Soggetto	Sede	Finalità	Dati trattati
Supabase Inc.	USA (con opzione hosting EU)	Database e autenticazione	Tutti i dati raccolti
Amazon Web Services (AWS SES)	UE (eu-south-1, Milano)	Invio email marketing e transazionali	Indirizzo email, contenuto comunicazione
Twilio Inc.	USA	Invio messaggi WhatsApp	Numero di telefono, contenuto messaggio
Stripe Inc.	USA	Elaborazione pagamenti	Dati di pagamento (gestiti direttamente da Stripe)

Per i trasferimenti verso gli USA, i soggetti sopra indicati aderiscono al EU-US Data Privacy Framework e/o sono vincolati da Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea, in conformità al Capo V del GDPR.

I dati personali non vengono mai venduti, ceduti o comunicati a terzi per finalità autonome di marketing o profilazione.

7. Periodo di Conservazione

Tipo di dato	Periodo di conservazione
Dati identificativi e di contatto	Durata del rapporto commerciale + 24 mesi dall'ultima interazione
Consensi marketing	Fino alla revoca + 12 mesi per finalità probatorie
Dati di prenotazione	24 mesi dalla data della prenotazione
Log campagne marketing	24 mesi dall'invio
Dati di pagamento (riferimenti Stripe)	Secondo obblighi fiscali (10 anni)
Dati di profilazione	Durata del rapporto commerciale
Dati condivisi tra sedi dello stesso Titolare	Durata del rapporto commerciale
Indirizzo IP (rate limiting)	Non conservato (solo in memoria volatile)

Al termine del periodo di conservazione, i dati vengono cancellati o anonimizzati in modo irreversibile.

8. Diritti dell'Interessato

Ai sensi degli artt. 15-22 del GDPR, l'interessato ha diritto di:

Diritto	Descrizione
Accesso (art. 15)	Ottenere conferma del trattamento e copia dei propri dati
Rettifica (art. 16)	Correggere dati inesatti o incompleti
Cancellazione (art. 17)	Richiedere la cancellazione dei propri dati ("diritto all'oblio")
Limitazione (art. 18)	Limitare il trattamento in determinate circostanze
Portabilità (art. 20)	Ricevere i propri dati in formato strutturato, leggibile da dispositivo automatico
Opposizione (art. 21)	Opporsi al trattamento per legittimo interesse o marketing diretto
Revoca del consenso (art. 7)	Revocare il consenso in qualsiasi momento, senza pregiudicare la liceità del trattamento precedente

8.1 Come esercitare i diritti

L'interessato può esercitare i propri diritti:

Portale self-service: attraverso la pagina "I miei dati" accessibile all'indirizzo cascinaprivacy.secretsrls.it, dove è possibile visualizzare, scaricare e cancellare i propri dati, nonché gestire i consensi.

Per il marketing via email: cliccando sul link di disiscrizione presente in ogni comunicazione.

Per il marketing via WhatsApp: rispondendo "STOP" a qualsiasi messaggio ricevuto.

Per tutti gli altri diritti: contattando il Locale ai recapiti forniti, oppure scrivendo a privacy@byteos.it.

La richiesta verrà evasa entro 30 giorni dal ricevimento, prorogabili di ulteriori 60 giorni in caso di complessità, con comunicazione motivata all'interessato.

8.2 Reclamo all'Autorità di Controllo

L'interessato ha il diritto di proporre reclamo al Garante per la Protezione dei Dati Personali:

Sito web: www.garanteprivacy.it

Email: protocollo@gpdp.it

PEC: protocollo@pec.gpdp.it

9. Processo di Disiscrizione (Opt-out)

9.1 Disiscrizione dal marketing email

Ogni email di marketing contiene un link di disiscrizione nel footer.

La disiscrizione è immediata e comporta l'aggiornamento automatico del flag di consenso.

In caso di segnalazione di spam (complaint), il sistema disiscrive automaticamente il cliente e disattiva il consenso marketing.

9.2 Disiscrizione dal marketing WhatsApp

Il cliente può revocare il consenso rispondendo "STOP" o contattando il Locale.

La revoca del consenso WhatsApp è indipendente dal consenso email.

9.3 Effetti della disiscrizione

La disiscrizione dal marketing non comporta:

La cancellazione dell'account o dei dati del cliente presso il Locale.

L'impossibilità di effettuare prenotazioni.

La perdita dei dati di frequentazione.

La disiscrizione comporta esclusivamente la cessazione delle comunicazioni promozionali attraverso il canale interessato.

10. Captive Portal e WiFi

Qualora il Locale offra un servizio di connettività WiFi con accesso tramite Captive Portal, i dati forniti dall'interessato per accedere alla rete (nome, cognome, email e/o telefono) potranno essere sincronizzati con il CRM ByteOS del Locale, previo consenso dell'interessato.

I dati così raccolti sono trattati con le medesime finalità e garanzie descritte nella presente informativa. Il Titolare del trattamento per questi dati è il Locale che fornisce il servizio WiFi.

11. Modifiche alla Privacy Policy

Il Titolare si riserva il diritto di modificare la presente informativa in qualsiasi momento. Le modifiche saranno pubblicate sulla pagina dedicata e, ove significative, comunicate agli interessati tramite i canali disponibili.

La data di ultimo aggiornamento è indicata in testa al documento.

12. Legge Applicabile e Foro Competente

La presente informativa è regolata dalla legge italiana e dal Regolamento (UE) 2016/679 (GDPR). Per qualsiasi controversia è competente il foro del luogo di residenza o domicilio dell'interessato, se situato nel territorio dell'Unione Europea.

13. Contatti

Per qualsiasi richiesta relativa alla presente informativa o al trattamento dei dati personali:

Responsabile del Trattamento (ByteOS): privacy@byteos.it

Secret Universe S.R.L.S. — P.IVA 17469361004 — Via del Casaletto 151, 00151 Roma (RM)

Per richieste specifiche relative ad un singolo Locale, contattare direttamente il Locale stesso ai recapiti forniti in sede di registrazione o presenti sul sito web del Locale.

*Documento redatto ai sensi del Regolamento (UE) 2016/679 (GDPR) e del D.Lgs. 196/2003, come modificato dal D.Lgs. 101/2018.*