Documento legale
Informativa sulla Privacy
Versione aggiornata il · Conforme al Regolamento (UE) 2016/679 — GDPR
1. Titolare del trattamento
Il titolare del trattamento dei dati personali ai sensi dell'art. 13 GDPR è:
Kus-Kus ai Leoni
Piazza Leoni, 4 — 90143 Palermo (PA) — Italia
Tel: 091/229794 · Cell: 338/874 2475
Email: info@kus-kusaileoni.com
Sito: www.kus-kusaileoni.com
Per qualsiasi questione relativa al trattamento dei dati personali, incluse richieste di esercizio dei diritti, è possibile scrivere all'indirizzo email sopra indicato. Il titolare risponde entro 30 giorni dalla ricezione della richiesta, come previsto dall'art. 12 GDPR.
2. Dati raccolti e finalità del trattamento
2.1 Ordini asporto online
Quando effettui un ordine asporto tramite il sito, raccogliamo i seguenti dati:
| Dato | Finalità | Obbligatorio |
|---|---|---|
| Nome e cognome | Identificazione dell'ordine al ritiro | Sì |
| Indirizzo email | Invio conferma ordine e notifiche di stato | Sì |
| Numero di telefono | Contatto in caso di variazioni sull'ordine | Sì |
| Piatti ordinati e orario di ritiro | Esecuzione dell'ordine | Sì |
| Metodo di pagamento | Gestione della transazione (contanti o online) | Sì |
| Dati di pagamento online | Autorizzazione e addebito tramite Stripe (carta mai visibile né archiviata da noi) | Se pagamento online |
I dati di pagamento (numero di carta, CVV, scadenza) sono trattati esclusivamente da Stripe Inc. in conformità allo standard PCI DSS Level 1. Kus-Kus ai Leoni non ha mai accesso al numero di carta completo.
2.2 Prenotazioni tavolo
Le prenotazioni tavolo possono essere effettuate tramite due canali:
a) Modulo di prenotazione sul sito (widget interno): quando utilizzi il form di prenotazione presente sul sito, raccogliamo i seguenti dati e li archiviamo nel nostro database (Firebase Firestore, Google LLC, USA):
| Dato | Finalità | Obbligatorio |
|---|---|---|
| Nome e cognome | Identificazione della prenotazione | Sì |
| Numero di telefono | Contatto in caso di variazioni | Sì |
| Indirizzo email | Invio conferma prenotazione | Sì |
| Data, orario, numero di coperti | Gestione della prenotazione | Sì |
| Note (opzionali) | Esigenze particolari (allergie, occasioni speciali) | No |
I dati vengono archiviati su Firebase Firestore (Google LLC, USA) con le stesse garanzie indicate per gli ordini asporto (SCC + EU-US Data Privacy Framework). Riceviamo le notifiche via email tramite Brevo (Francia, UE).
b) TheFork (LaFourchette SAS): se prenoti tramite la piattaforma TheFork, i tuoi dati sono trattati da TheFork secondo la propria privacy policy. Riceviamo da TheFork solo i dati essenziali per gestire il tavolo (nome, numero persone, orario, eventuale recapito).
2.3 Consegna a domicilio (Glovo)
Gli ordini effettuati tramite Glovo sono trattati da Glovoapp23 SL secondo la propria privacy policy. I dati dell'ordine vengono trasmessi a Kus-Kus ai Leoni esclusivamente per l'evasione.
2.4 Email marketing e comunicazioni promozionali
Qualora tu abbia espresso il consenso, potremmo inviarti comunicazioni promozionali via email tramite la piattaforma Brevo (ex Sendinblue). In questo caso raccogliamo: nome e indirizzo email. Puoi cancellare l'iscrizione in qualsiasi momento tramite il link "Annulla iscrizione" presente in ogni email, o scrivendo a info@kus-kusaileoni.com.
2.5 Dati di navigazione
Il sito è ospitato su Firebase Hosting (Google LLC). Come tutti i siti web, i server raccolgono automaticamente in forma anonima: indirizzo IP (anonimizzato), tipo di browser, pagine visitate, data e ora di accesso. Tali dati sono usati esclusivamente per scopi tecnici e statistici aggregati.
3. Base giuridica del trattamento
| Finalità | Base giuridica (art. 6 GDPR) |
|---|---|
| Gestione ordini asporto | Esecuzione di un contratto (lett. b) |
| Pagamento online tramite Stripe | Esecuzione di un contratto (lett. b) |
| Invio email transazionali (conferma ordine, stato) | Esecuzione di un contratto (lett. b) |
| Gestione prenotazioni tavolo | Esecuzione di un contratto / interesse legittimo (lett. b / f) |
| Email marketing e promozioni | Consenso esplicito (lett. a) |
| Analisi statistica anonima del traffico | Interesse legittimo (lett. f) |
| Obblighi fiscali e contabili sugli ordini | Obbligo legale (lett. c) |
4. Responsabili del trattamento (sub-processor)
Per le finalità indicate, Kus-Kus ai Leoni si avvale dei seguenti responsabili del trattamento, con i quali sono stati stipulati accordi ai sensi dell'art. 28 GDPR (o equivalenti):
| Fornitore | Servizio | Sede legale | Garanzie trasferimento |
|---|---|---|---|
| Google LLC / Firebase | Hosting, database ordini (Firestore), autenticazione, storage file | USA | Standard Contractual Clauses (SCC); certificazione EU-US Data Privacy Framework |
| Stripe Inc. | Elaborazione pagamenti online, pre-autorizzazione e addebito | USA / Irlanda (Stripe Payments Europe) | SCC; PCI DSS Level 1; certificazione EU-US DPF |
| Brevo SAS (ex Sendinblue) | Invio email transazionali e marketing | Francia (UE) | Headquarter UE — nessun trasferimento extra-SEE per i dati trattati |
| LaFourchette SAS (TheFork) | Prenotazioni tavolo | Francia (UE) | Trattamento autonomo — vedi privacy policy TheFork |
| Glovoapp23 SL | Consegna a domicilio | Spagna (UE) | Trattamento autonomo — vedi privacy policy Glovo |
I dati non sono mai venduti a terzi né condivisi per finalità diverse da quelle indicate.
5. Conservazione dei dati
| Tipologia di dato | Periodo di conservazione | Motivazione |
|---|---|---|
| Dati ordini asporto (nome, email, telefono, piatti, importo) | 10 anni | Obbligo fiscale e contabile (D.P.R. 633/1972; art. 6 par. 1 lett. c GDPR) |
| ID transazione Stripe e dati di pagamento | 10 anni | Obbligo fiscale; conservati su sistemi Stripe per 7 anni (PCI DSS) |
| Log email transazionali (Brevo) | 60 giorni su Brevo, poi cancellazione automatica | Garanzia di consegna e supporto tecnico |
| Dati per email marketing (email + nome) | Fino alla revoca del consenso o cancellazione dall'iscrizione | Consenso (art. 6 par. 1 lett. a GDPR) |
| Token di sessione Firebase Auth (admin/tablet) | Sessione attiva + fino al logout | Funzionamento tecnico — nessun dato personale utente finale |
| Dati di navigazione (log server Firebase Hosting) | 90 giorni, poi rotazione automatica | Sicurezza e statistiche anonime |
6. Trasferimenti di dati extra-SEE
Alcuni dati vengono trasferiti verso paesi extra-SEE (in particolare gli USA) per effetto dell'utilizzo di Firebase e Stripe. Tali trasferimenti avvengono nel rispetto dell'art. 46 GDPR, mediante Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea e/o in forza dell'adesione al EU-US Data Privacy Framework, per cui la Commissione ha adottato una decisione di adeguatezza (decisione del 10 luglio 2023).
Puoi richiedere copia delle garanzie adottate scrivendo a info@kus-kusaileoni.com.
7. Diritti dell'interessato
Ai sensi degli artt. 15–22 GDPR, hai il diritto di:
| Diritto | Descrizione |
|---|---|
| Accesso (art. 15) | Ottenere conferma del trattamento e copia dei tuoi dati personali. |
| Rettifica (art. 16) | Correggere dati inesatti o incompleti. |
| Cancellazione (art. 17) | Richiedere la cancellazione dei dati, salvo obblighi legali di conservazione. |
| Limitazione (art. 18) | Limitare il trattamento in determinati casi previsti dalla norma. |
| Portabilità (art. 20) | Ricevere i tuoi dati in formato strutturato, di uso comune e leggibile da dispositivo automatico. |
| Opposizione (art. 21) | Opporsi al trattamento basato su legittimo interesse, incluso il marketing diretto. |
| Revoca del consenso (art. 7, par. 3) | Revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento pregresso. |
Per esercitare i tuoi diritti, invia una richiesta via email a info@kus-kusaileoni.com indicando: nome, cognome, indirizzo email usato in fase d'ordine, e la specifica richiesta. Risponderemo entro 30 giorni (art. 12 GDPR), proroga a 90 giorni per casi complessi.
Hai inoltre il diritto di proporre reclamo all'Autorità di controllo competente:
Garante per la protezione dei dati personali
Piazza Venezia, 11 — 00187 Roma · www.garanteprivacy.it
8. Cookie e tecnologie di storage locale
Questo sito utilizza le seguenti tecnologie di memorizzazione locale:
| Tecnologia | Nome / Pattern | Finalità | Durata |
|---|---|---|---|
| localStorage | kk_popup_* | Memorizzare se un popup promozionale è già stato visualizzato (non tracciamento) | Permanente (fino a cancellazione manuale) |
| localStorage / sessionStorage | Cookie tecnici Firebase | Gestione della sessione autenticata (solo pannello admin/tablet, non utenti finali) | Sessione |
| Cookie tecnici di terze parti | TheFork / Glovo (widget embed) | Funzionamento dei widget di prenotazione e ordine | Variabile — vedi privacy policy di ciascun servizio |
Non utilizziamo cookie di profilazione, tracking, o analytics di terze parti (es. Google Analytics non è installato). I servizi integrati (TheFork, Glovo) possono installare propri cookie tecnici necessari al funzionamento del widget.
Puoi gestire o eliminare i cookie e il localStorage tramite le impostazioni del tuo browser. La disattivazione dei cookie tecnici può compromettere il corretto funzionamento del sito.
9. Sicurezza dei dati
Adottiamo misure tecniche e organizzative adeguate ai sensi dell'art. 32 GDPR, tra cui:
- HTTPS / TLS 1.3 su tutte le pagine del sito — cifratura di tutti i dati in transito.
- Firebase Security Rules — lettura e scrittura dei dati degli ordini consentita solo al personale autenticato e alle Cloud Functions.
- Firebase Authentication — accesso al pannello di gestione protetto da email e password; nessuna credenziale archiviata in chiaro.
- Stripe PCI DSS Level 1 — i dati di pagamento non transitano mai sui nostri server; Stripe gestisce l'intera tokenizzazione.
- Chiavi API e segreti — le chiavi segrete (Stripe, Brevo) sono conservate esclusivamente nelle variabili d'ambiente delle Cloud Functions e mai nel codice sorgente pubblico.
- Minimize access — solo il personale autorizzato del locale ha accesso ai dati degli ordini tramite pannello dedicato con autenticazione.
In caso di violazione dei dati (data breach) che comporti rischi per i diritti e le libertà degli interessati, provvederemo alla notifica al Garante entro 72 ore dalla scoperta (art. 33 GDPR) e, se del caso, alla comunicazione agli interessati (art. 34 GDPR).
10. Modifiche alla presente policy
La presente informativa può essere aggiornata per riflettere modifiche normative, tecnologiche o operative. In caso di modifiche sostanziali che impattano i tuoi diritti, la data di aggiornamento in cima alla pagina sarà variata. Ti invitiamo a consultare periodicamente questa pagina. L'uso continuato del sito dopo la pubblicazione delle modifiche costituisce accettazione delle stesse.
Hai domande sulla privacy?
Scrivi a info@kus-kusaileoni.com
o chiama il 091/229794.
Risponderemo entro 30 giorni come previsto dal GDPR.