Accordo sul trattamento dei dati (DPA)
Versione 2026-07-10 — in vigore dal 10 luglio 2026
Il presente Accordo sul trattamento dei dati personali ("DPA") integra i Termini e Condizioni di Servizio ed è concluso tra:
- il Cliente (il ristoratore che ha sottoscritto il Servizio), in qualità di Titolare del trattamento dei dati personali dei propri clienti finali; e
- Dario Aversente, P.IVA 03792480786 ("EatAssistant" o il "Fornitore"), in qualità di Responsabile del trattamento ai sensi dell'art. 28 GDPR.
Il DPA è accettato dal Cliente contestualmente ai Termini e Condizioni in fase di registrazione e resta in vigore per tutta la durata del contratto.
1. Oggetto, natura e finalità del trattamento
EatAssistant tratta i dati personali degli Utenti finali del Cliente esclusivamente per erogare il Servizio: pubblicazione del menù digitale, funzionamento dell'assistente conversazionale AI, gestione di ordini e prenotazioni ai tavoli, traduzioni automatiche, statistiche di utilizzo aggregate per il Cliente.
2. Categorie di interessati e di dati
- Interessati: clienti finali del ristorante del Cliente; eventuali collaboratori del Cliente invitati sulla piattaforma.
- Categorie di dati: contenuto dei messaggi inviati all'assistente AI (che può includere, su iniziativa dell'interessato, preferenze alimentari, intolleranze o allergie — dati che possono rivelare informazioni sulla salute ex art. 9 GDPR); dati relativi a ordini e prenotazioni (nome, tavolo, orario); dati tecnici di navigazione del menù digitale; lingua selezionata.
Il Cliente si impegna a non richiedere agli Utenti finali, tramite il Servizio, dati personali ulteriori rispetto a quelli necessari alle finalità sopra indicate.
3. Istruzioni documentate
EatAssistant tratta i dati solo su istruzione documentata del Cliente, quale risulta dal contratto e dalla configurazione del Servizio effettuata dal Cliente. Qualora EatAssistant ritenga che un'istruzione violi il GDPR, ne informa immediatamente il Cliente.
4. Riservatezza
EatAssistant garantisce che le persone autorizzate al trattamento si sono impegnate alla riservatezza o hanno un adeguato obbligo legale di riservatezza.
5. Misure di sicurezza (art. 32 GDPR)
EatAssistant adotta misure tecniche e organizzative adeguate, tra cui: cifratura dei dati in transito (TLS); autenticazione degli accessi tramite provider gestito (Firebase Authentication); segregazione logica dei dati per ristorante; controllo degli accessi basato sui ruoli; backup periodici; monitoraggio degli errori e della sicurezza applicativa; minimizzazione dei dati trattati dai modelli AI.
6. Sub-responsabili
6.1 Il Cliente autorizza in via generale EatAssistant a ricorrere ai sub-responsabili elencati nell'Annex A.
6.2 EatAssistant informa il Cliente di ogni modifica prevista (aggiunta o sostituzione di sub-responsabili) tramite aggiornamento dell'Annex A e comunicazione al Cliente, che può opporsi per motivi legittimi entro 15 giorni; in caso di opposizione e impossibilità di soluzione alternativa, il Cliente può recedere dal contratto.
6.3 EatAssistant impone a ciascun sub-responsabile, mediante contratto, obblighi di protezione dei dati equivalenti a quelli del presente DPA e resta interamente responsabile verso il Cliente dell'operato dei sub-responsabili.
7. Assistenza al Titolare
Tenuto conto della natura del trattamento, EatAssistant assiste il Cliente con misure tecniche e organizzative adeguate: (a) nel dare seguito alle richieste di esercizio dei diritti degli interessati (artt. 15-22 GDPR); (b) nel garantire il rispetto degli obblighi di cui agli artt. 32-36 GDPR (sicurezza, notifica delle violazioni, valutazioni d'impatto), tenendo conto delle informazioni a propria disposizione.
8. Violazioni di dati personali (data breach)
EatAssistant notifica al Cliente, senza ingiustificato ritardo dopo esserne venuto a conoscenza, ogni violazione di dati personali che riguardi i dati trattati per suo conto, fornendo le informazioni necessarie per consentire al Cliente di adempiere agli obblighi di notifica ex artt. 33-34 GDPR.
9. Audit
EatAssistant mette a disposizione del Cliente le informazioni necessarie a dimostrare il rispetto degli obblighi dell'art. 28 GDPR e consente, con ragionevole preavviso scritto e al massimo una volta l'anno, verifiche documentali; eventuali audit in loco sono limitati a quanto strettamente necessario e condotti in modo da non pregiudicare la sicurezza degli altri clienti della piattaforma.
10. Cancellazione e restituzione
Alla cessazione del contratto, EatAssistant — a scelta del Cliente — cancella o restituisce i dati personali trattati per suo conto e ne cancella le copie esistenti, salvo obblighi legali di conservazione. L'eliminazione self-service dell'account dal pannello CRM comporta la cancellazione immediata dei dati della piattaforma.
11. Informativa agli Utenti finali
Resta a carico del Cliente, in qualità di Titolare, rendere agli Utenti finali l'informativa ex art. 13 GDPR relativa al trattamento dei loro dati tramite il menù digitale e l'assistente AI. A tal fine EatAssistant mette a disposizione del Cliente un modello di informativa, utilizzabile così com'è o come base da integrare con i dati del proprio ristorante.
Annex A — Elenco dei sub-responsabili
| Sub-responsabile | Finalità | Sede | Garanzie per trasferimenti extra-UE |
|---|---|---|---|
| OpenAI | Generazione delle risposte dell'assistente AI | USA | EU-U.S. Data Privacy Framework / SCC |
| Mistral AI | Generazione delle risposte dell'assistente AI | UE (Francia) | — |
| DeepL | Traduzione automatica dei contenuti del menù | UE (Germania) | — |
| Cloudflare, Inc. (R2) | Archiviazione di immagini e file | USA | EU-U.S. Data Privacy Framework |
| MongoDB Atlas | Database applicativo (messaggi chat, ordini, log) | UE / USA | SCC |
| Google (Firebase) | Autenticazione degli account collaboratori | USA | EU-U.S. Data Privacy Framework |
| Hostinger International Ltd. | Hosting dell'applicazione | UE (Francia) | — |
Ultimo aggiornamento dell'Annex A: 2026-07-10.