English version below

Norme sulla privacy relative alle APP Zucchetti

ai sensi dell’art. 13 Regolamento Europeo per la protezione dei dati personali 2016/679 (GDPR)


Zucchetti Hospitality rende la presente Informativa Privacy solo ed esclusivamente ai fini del download dell’applicazione "Zucchetti" Pienissimo Mobile; inoltre, la stessa non riguarda l’utilizzo di altri eventuali siti web attraverso i quali ad esempio l’Utente dovesse accedere a/o utilizzare l’applicazione. L’App è dedicata ai gestori delle attività ristorative che hanno acquistato l’applicativo Pienissimo Pro e agli utenti delle predette.


Titolare del Trattamento

Titolare del trattamento dei dati personali, solo ed esclusivamente ai fini del download dell’applicazione, ai sensi dell’art. 4 punto 7) del GDPR è Zucchetti Hospitality S.r.l con sede legale in Lodi, Via Solferino, n. 1, 26900 – e-mail ufficio.privacy@zucchetti.it.


Responsabile della protezione dei dati

Il responsabile per la protezione dei dati è il dott. Mario Brocca a cui potrà rivolgersi scrivendo una e-mail a dpo@zucchetti.it.


Sviluppatore

Lo Sviluppatore dell’applicazione è Zucchetti Hospitality srl, con sede legale in Lodi, Via Solferino n. 1, 26900 - ufficio.privacy@zucchetti.it.


Dati personali raccolti

L’app Pienissimo Mobile raccoglie i seguenti dati:


  • Geolocalizzazione*: per selezionare il punto vendita più vicino all’utente.
  • Identità dell'utente*: nome, cognome, telefono, e-mail, necessari per creare l’account sulla piattaforma e per inviare notifiche all’utente.
  • Indirizzo fisico*: necessario in caso di ordini delivery per effettuare le consegne.
  • Log applicativo: utilizzato per individuare eventuali errori dell’applicativo.

* si precisa che per ogni tipo di dato raccolto, il sistema operativo richiede l’espressa autorizzazione all’utente, il quale può negare l’accesso al dato.


I trattamenti avvengono in formato elettronico e durante l’utilizzo dell’app i dati personali sono reindirizzati attraverso connessioni sicure al prodotto gestionale Pienissimo installato dal centro che detiene la titolarità dei dati dei clienti ed utenti della app. I dati sopra riportati sono salvati in via definitiva sui server di Pienissimo. L’utente può cancellare i dati sopra riportati su app utilizzando la funzione elimina account presente dentro l’app.


Natura obbligatoria o facoltativa del conferimento dei dati e conseguenze di un eventuale rifiuto

Il conferimento dei dati è facoltativo ma sono necessari per la creazione dell’account e l’erogazione del servizio. Il rifiuto al conferimento non consente l’erogazione del servizio e l’utilizzo dell’app.


Modalità del trattamento

I trattamenti avvengono in formato elettronico e durante l’utilizzo dell’app i dati personali sono reindirizzati attraverso connessioni sicure al prodotto gestionale Pienissimo installato dal centro che detiene la titolarità dei dati dei clienti ed utenti della app. I dati sopra riportati non sono mai salvati in via definitiva né sulla app né sul dispositivo. L’utente può cancellare i dati sopra riportati su app utilizzando la funzione di logout o disinstallando l’app.


Procedure sicure di trattamento dei dati utente personali e sensibili

Lo sviluppatore ha implementato procedure sicure di trattamento dei dati costituite da misure di sicurezza a livello tecnico organizzativo, sia a livello di servizi di assistenza. In particolare, le misure di sicurezza configurabili a livello applicativo da parte del Titolare del trattamento Cliente sono: 


Gestione credenziali di accesso

  • Username: l’accesso al sistema avviene solo attraverso l’identificazione univoca del soggetto che vi accede. Viene consegnata inoltre al Titolare una credenziale “Amministrativa” da utilizzare per parametrizzare il sistema. Consigliamo al Titolare di predisporre una procedura organizzativa affinché tale utenza sia assegnata ad un unico incaricato e sia gestita in conformità alle buone regole di gestione.
  • Password: le password sono configurabili solo da Pienissimo Software.

Minimizzazione

  • Profili di autorizzazione: il Titolare può configurare l’accesso ai dati personali trattati nel sistema a seconda delle attività svolte dagli utenti.

Identificazione di chi ha accesso al sistema.

  • Sono attivati automaticamente i log di accesso al sistema. Il log viene conservato nel sistema per almeno 365 giorni.

Tecniche di crittografia

  • Crittografia delle password. La cifratura delle password avviene attraverso il protocollo SHA 256bit.
  • Non salviamo dati delle carte di credito degli utenti.

Privacy by default

  • Attivazione profilo utente: gli utenti del sistema sono attivati secondo una logica di non assegnare alcun profilo autorizzato sui dati trattati. Sarà il Titolare in autonomia a scegliere la profilazione utente idonea e ad attribuire le autorizzazioni in funzione dell’area omogenea di cui fa parte l’utente o del profilo di autorizzazione individuale.

Diritti degli interessati

  • Opt-out dal marketing: la piattaforma Pienissimo Pro e le sue integrazioni permettono di effettuare attività di marketing e di profilazione della clientela (mailing, messaggi sms e whatsapp, analisi di consumo, anticipazione delle aspettative, ecc.). È responsabilità del Titolare usare correttamente questi strumenti e verificarne il lecito utilizzo nelle integrazioni esterne alla piattaforma ed il rispetto delle scelte di opt-out.
  • Dati trattati: al fine di trasmettere la tipologia dei dati trattati e la portabilità, è stata implementata una funzionalità di estrazione in formato intelligibile della singola anagrafica corredata dei dati attinenti (soggiorni, profilazione, ecc.).
  • Gestione dei consensi: la piattaforma Pienissimo Pro è in grado di gestire il consenso al trattamento dati per molteplici finalità. La gestione dei consensi nella piattaforma è integrata nelle funzioni del programma ed in grado autonomamente di inibire la raccolta e conservazione di tipologie dati per le quali l’interessato non ha prestato il consenso. Fatti salvo i dati anagrafici la cui conservazione limitata nel tempo è obbligatoria per finalità fiscali.
  • Tempi di conservazione dei dati personali degli interessati: la piattaforma permette al Titolare di configurare il tempo di conservazione dei dati in funzione delle prescrizioni di legge e delle diverse finalità del trattamento.
  • Diritto all’oblio: a seguito richiesta dell’interessato, il Titolare dopo le opportune valutazioni, potrà disporre la cancellazione dei dati richiesta direttamente dal gestionale, anonimizzando l’anagrafica all’interno di ogni applicativo. Non sarà più reperibile alcuna informazione, neppure indiretta, su quell’interessato. Nei singoli applicativi saranno presenti quindi solo informazioni anonime non riconducibili neppure indirettamente ad alcun interessato. La funzione di cancellazione avviene per anagrafica soggetto.
  • Luoghi di conservazione dei dati dell’interessato: I dati sono conservati presso il Datacenter di proprietà di AWS nella regione di Francoforte sul quale si affida Pienissimo Software.

1. RESPONSABILE DEL TRATTAMENTO: MISURE DI SICUREZZA IMPLEMENTATE PER I SERVIZI DI ASSISTENZA


Assistenza telefonica

Non presenta problemi da un punto di vista di trattamento di dati personali. Non sono trasmessi dati o archivi e la comunicazione rimane verbale


Assistenza tramite e-mail

Nell’assistenza tramite e-mail scrivendo direttamente ad assistenza@pienissimo.pro il cliente sottopone al personale dell’assistenza Pienissimo, richieste di informazioni, migliorie o problematiche tecniche. L’addetto Pienissimo non è autorizzato a farsi mandare le credenziali di accesso del Titolare via e-mail né tantomeno potrà salvarle sullo strumento di ticketing. Qualora un Titolare invii le credenziali di accesso al suo ambiente senza richiesta del tecnico Zucchetti è necessario che lo stesso risponda che non è autorizzato ad accedere ai sistemi con credenziali di altri utenti in quanto questa modalità viola il GDPR. Quindi il tecnico Pienissimo dovrà richiedere credenziali individuali oppure collegamento tramite strumenti a ciò dedicati.


Assistenza tramite ticket web

L’assistenza tramite tickets web, che avviene durante le ore di chiusura dell’azienda, avviene tramite portale CRM. Il cliente per poter aprire il ticket si dovrà loggare (se già registrato) oppure registrare al portale del CRM inserendo il suo nominativo, la sua mail e il suo numero di telefono. Qualora i dati inseriti corrispondano ad un cliente già censito sul CRM, in automatico, l’assistenza di Pienissmo, saprà con quale cliente è in corso l’assistenza.


Assistenza tramite chat

L’assistenza Pienissimo risponde alla chat live dalle ore 9 alle ore 19, dal lunedì al venerdì. La chat è raggiungibile all’interno del backoffice di Pienissimo PRO, a seguito di login che il cliente (ristoratore) fa all’interno del suo backoffice, tramite le proprie credenziali ricevute in mail all’attivazione di Pienissimo PRO. Il CRM integra al suo interno un sistema di assistenza remota, dove è il cliente a richiedere l’assistenza remota. Gli operatori dell’assistenza di Pienissimo non possono in autonomia in alcun modo, accedere al sistema del cliente se non previa la sua autorizzazione.


Assistenza attraverso collegamento da remoto attraverso strumenti a ciò dedicati

Questa modalità di collegamento sugli strumenti dei clienti garantisce la privacy in quanto:

  • Il collegamento è sempre richiesto dal cliente
  • e credenziali di accesso sono sempre individuali
  • Il cliente ci fa accedere ad un ambiente con profilo di autorizzazione da lui scelto per farci eseguire le attività di assistenza
  • Il cliente può sconnetterci quando desidera.

È essenziale utilizzare i nostri strumenti in quanto licenziati e personalizzati con tutta la documentazione che deve essere prodotta dalla legge sul trattamento dei dati personali. Solo in casi eccezionali e dopo attenta valutazione del responsabile è possibile utilizzare altri strumenti di connessione che si comportano in modo uguale.


2. RESPONSABILE DEL TRATTAMENTO: MISURE DI SICUREZZA INTERNE


Il personale di Pienissimo Software che accede al pannello di controllo di AWS e ai servizi da esso erogati (database, server virtuali, logs, ecc…) accede con il proprio account con una sessione che dura circa 8 ore, al termine della sessione l’utente deve rieffettuare il login. Ogni account accede con username, password e 2FA.


1. Sicurezza Fisica e Infrastrutturale

  • Data Center Sicuri: AWS gestisce data center con controlli fisici rigorosi, tra cui sorveglianza 24/7, controllo degli accessi e monitoraggio ambientale, per proteggere l'infrastruttura da accessi non autorizzati e minacce fisiche.

2. Sicurezza di Rete

  • Isolamento delle Risorse: Utilizzo di Amazon Virtual Private Cloud (VPC) per isolare le risorse in reti virtuali dedicate.
  • Controlli di Accesso: Implementazione di gruppi di sicurezza e liste di controllo degli accessi (ACL) per gestire il traffico in entrata e in uscita

3. Gestione delle Identità e degli Accessi (IAM)

  • Controllo Granulare degli Accessi: AWS Identity and Access Management (IAM) consente di definire chi può accedere a quali risorse e in che modo, supportando l'autenticazione a più fattori (MFA) e l'integrazione con directory aziendali.

4. Protezione dei Dati

  • Crittografia dei Dati: AWS offre la crittografia dei dati sia a riposo che in transito. Servizi come AWS Key Management Service (KMS) e AWS CloudHSM permettono la gestione sicura delle chiavi di crittografia.
  • Classificazione dei Dati: Possibilità di classificare i dati in base alla sensibilità, applicando controlli adeguati per ciascuna categoria.

5. Monitoraggio e Logging

  • Audit e Tracciabilità: AWS CloudTrail registra le chiamate API per l'account, fornendo un audit trail dettagliato delle attività degli utenti.
  • Monitoraggio delle Minacce: Servizi come Amazon GuardDuty, Amazon Inspector e Amazon Macie aiutano a rilevare attività sospette, vulnerabilità e dati sensibili esposti.

6. Conformità e Certificazioni

  • Standard Internazionali: AWS è conforme a numerosi standard e certificazioni di sicurezza, tra cui ISO 27001, PCI-DSS, HIPAA, FedRAMP e GDPR, supportando i clienti nel soddisfare requisiti normativi globali.

7. Sovranità dei Dati

  • AWS European Sovereign Cloud: Per rispondere alle esigenze di sovranità dei dati in Europa, AWS ha lanciato una cloud indipendente gestita esclusivamente da personale residente nell'UE, garantendo che tutti i metadati e i dati rimangano all'interno dell'Unione Europea.

Periodo di conservazione dei dati personali

I termini della cancellazione sono gestiti dal cliente che, tramite apposite funzioni può cancellare dati presenti nel software al raggiungimento/esaurimento delle finalità perseguite. Alla cessazione del contratto, in caso di mancato rinnovo, l’applicativo si blocca dopo 60 giorni. Il database SQL server non viene eliminato da nessuna procedura automatica e rimane nell’esclusiva disponibilità del cliente.


Finalità del trattamento cui sono destinati i dati personali

L’app viene utilizzata per:

  1. ordini di delivery e asporto
  2. ricezione, monitoraggio e riscatto offerte e coupon
  3. prenotazione tavolo
  4. controllo stato fidelity, punti, e riscatto premi

Il download dell’app è volontario ed in ogni momento l’utente può disinstallarla o modificare i permessi e le autorizzazioni affinché non siano più registrati dati personali.


Ambito di conoscenza dei Suoi dati

I dati trattati dell’app sono trasmessi al prodotto gestionale Pienissimo, software di prenotazione online ristoranti


Ambito territoriale del trattamento

I dati forniti saranno trattati in Italia


Diritti degli interessati

Limitatamente al trattamento dei dati nell’ambito del download dell’App, l’utente, potrà esercitare i Suoi diritti in-viando una email a ufficio.privacy@zucchetti.it, in particolare si potrà richiedere l’accesso ai dati personali che la riguardano, la rettifica o la cancellazione o potrà richiedere la limitazione al trattamento e potrà opporsi al trat-tamento. Inoltre, avrà diritto alla portabilità dei dati e qualora volesse proporre reclamo potrà presentarlo anche all’autorità Garante per la protezione dei dati personali. Per tutto ciò che concerne il trattamento dei dati nell’ambito dell’utilizzo del gestionale l’utente dovrà rivolgersi al Titolare del predetto Trattamento.




Privacy Policy concerning Zucchetti APPs

provided pursuant to art. 13 of the European General Data Protection Regulation 2016/679 (GDPR)



Zucchetti Hospitality makes this Privacy Policy solely and exclusively for the purposes of downloading the "Zucchetti" Pienissimo Mobile application; furthermore, it does not concern the use of any other websites through which, for example, the User may access/or use the application.



Data Controller

The data controller, solely and exclusively for the purpose of downloading the application, pursuant to Article 4, point 7 of the GDPR, is Zucchetti Hospitality S.r.l., with registered office in Lodi, Via Solferino, no. 1, 26900 – e-mail zprivacy.officer@zucchetti.com;


Data Protection Officer

The data protection officer is Dr. Mario Brocca, who can be contacted by writing to dpo@zucchetti.it.


Developer

The developer of the application is Zucchetti Hospitality S.r.l., with registered office in Lodi, Via Solferino no. 1, 26900 - email: ufficio.privacy@zucchetti.it.


Personal data collected

The Pienissimo app collects the following data:

  • Geolocation*: to select the point of sale closest to the user.
  • User identity*: name, surname, phone number, email – necessary to create an account on the platform and to send notifications to the user.
  • Physical address*: required in case of delivery orders to carry out deliveries.
  • Application logs: used to identify any errors in the application.

Please note that for each type of data collected, the operating system requires explicit authorization from the us-er, who may deny access to the data.


Data Processing

Data is processed electronically, and during the use of the app, personal data is redirected through secure con-nections to the Pienissimo management system installed at the center that holds ownership of the customer and app user data. The above-mentioned data is permanently stored on Pienissimo servers. The user can delete the above-mentioned data from the app using the "delete account" function available within the app.


Mandatory or Optional Nature of Data Provision and Consequences of Refusal

Providing data is optional but necessary for account creation and service provision. Refusal to provide data will prevent the provision of the service and the use of the app.


Processing Methods

Data is processed electronically, and during the use of the app, personal data is redirected through secure con-nections to the Pienissimo management system installed at the center that holds ownership of the customer and app user data. The above-mentioned data is never permanently stored on the app or the device. The user can delete the above-mentioned data from the app by logging out or uninstalling the app.


Secure Procedures for Processing Personal and Sensitive User Data

The developer has implemented secure data processing procedures consisting of technical and organizational security measures, including support services. In particular, the security measures configurable at the application level by the Customer Data Controller are:


Access Credential Management
  • Username : Access to the system is granted only through the unique identification of the individual accessing it. An “Administrative” credential is also provided to the Data Controller for system configuration. We recom-mend that the Controller establish an organizational procedure to ensure that this credential is assigned to a single designated individual and managed in accordance with best practices.
  • Password : Passwords can only be configured by Pienissimo Software.
Data Minimization
  • Authorization Profiles : The Controller can configure access to personal data processed in the system based on the activities performed by users.
Identification of System Access
  • System access logs are automatically activated. Logs are retained in the system for at least 365 days.
Encryption Techniques
  • Password Encryption : Passwords are encrypted using the SHA 256-bit protocol.
  • Credit Card Data : User credit card data is not stored.
Privacy by Default
  • User Profile Activation : System users are activated with no default authorization profile assigned to pro-cessed data. The Controller independently selects the appropriate user profiling and assigns permissions based on the user’s functional area or individual authorization profile.
Data Subject Rights
  • Marketing Opt-Out : The Pienissimo Pro platform and its integrations allow for marketing and customer pro-filing activities (mailing, SMS and WhatsApp messages, consumption analysis, expectation forecasting, etc.). It is the Controller’s responsibility to use these tools correctly, ensure lawful use in external integrations, and re-spect opt-out choices.
  • Processed Data : To communicate the types of data processed and ensure portability, a feature has been implemented to extract individual records in an intelligible format, including related data (stays, profiling, etc.).
  • Consent Management : The Pienissimo Pro platform can manage consent for data processing for multiple purposes. Consent management is integrated into the program’s functions and can autonomously prevent the collection and storage of data types for which consent has not been given. This excludes personal data, which must be retained for a limited time for tax purposes.
  • Data Retention Periods : The platform allows the Controller to configure data retention periods based on legal requirements and the various purposes of processing.
  • Right to Erasure : Upon request by the data subject, and following appropriate evaluations, the Controller may delete the requested data directly from the management system by anonymizing the record in all applica-tions. No information, even indirect, will be retrievable about that data subject. Only anonymous, non-identifiable information will remain in the individual applications. Deletion is performed per subject record.
  • Data Storage Locations : Data is stored at the AWS-owned Datacenter located in the Frankfurt region, which is used by Pienissimo Software.

1. DATA PROCESSOR: SECURITY MEASURES IMPLEMENTED FOR SUPPORT SERVICES


Telephone Support 

No issues arise in terms of personal data processing. No data or files are transmitted, and communication re-mains verbal.

Email Support
When contacting support via email at assistenza@pienissimo.pro, the client submits requests for information, improvements, or technical issues to Pienissimo support staff. Support staff are not authorised to request login credentials from the Data Controller via email, nor are they permitted to save such credentials in the ticketing system.If a Data Controller sends access credentials to their environment without a request from Zucchetti technical staff, the technician must reply stating they are not authorised to access systems using other users’ credentials, as this practice violates GDPR. Therefore, Pienissimo technicians must request individual credentials or access via dedicated tools.

Web ticket support 
Web Ticket Support, available during company closing hours, is provided via the CRM portal. To open a ticket, the client must log in (if already registered) or register by entering their name, email, and phone number. If the entered data matches an existing client in the CRM, Pienissimo support will automatically identify the client receiving assistance.

Live Chat Support 
Pienissimo support responds to live chat from 9:00 to 19:00, Monday to Friday. The chat is accessible within the Pienissimo PRO back office, following login by the client (restaurant operator) using credentials received via email upon activation of Pienissimo PRO. The CRM includes a remote support system, which must be initiated by the client. Support staff cannot access the client’s system without prior authorisation.

Remote Access Support via Dedicated Tools
This method ensures privacy because:

  • Access is always requested by the client.
  • Credentials used are always individual.
  • The client grants access to an environment with a chosen authorisation profile for support activities.
  • The client can disconnect at any time.

It is essential to use our licensed and customised tools, which include all documentation required by data pro-tection laws. Only in exceptional cases, and after careful evaluation by the responsible party, may other tools with equiva-lent behaviour be used.


2. DATA PROCESSOR: INTERNAL SECURITY MEASURES


Pienissimo Software staff accessing the AWS control panel and its services (databases, virtual servers, logs, etc.) do so using their own accounts, with sessions lasting approximately 8 hours. After the session ends, users must log in again. Each account uses a username, password, and two-factor authentication (2FA).

Security Measures


1.Physical and Infrastructure Security Secure Data Centres: AWS operates data centres with strict physical controls, including 24/7 surveil-lance, access control, and environmental monitoring to protect against unauthorised access and physi-cal threats.

2.Network Security - Resource Isolation: Use of Amazon Virtual Private Cloud (VPC) to isolate resources in dedicated virtual networks. - Access Controls: Implementation of security groups and access control lists (ACLs) to manage inbound and outbound traffic.

3.Identity and Access Management (IAM) - Granular Access Control: AWS IAM allows definition of who can access which resources and how, supporting multi-factor authentication (MFA) and integration with corporate directories.

4.Data Protection - Data Encryption: AWS provides encryption for data at rest and in transit. Services such as AWS KMS and AWS CloudHSM enable secure key management. - Data Classification: Ability to classify data by sensitivity and apply appropriate controls.

5.Monitoring and Logging - Audit and Traceability: AWS CloudTrail logs API calls, providing a detailed audit trail of user activities. - Threat Monitoring: Services like Amazon GuardDuty, Inspector, and Macie help detect suspicious ac-tivity, vulnerabilities, and exposed sensitive data.

6.Compliance and Certifications - International Standards: AWS complies with numerous security standards and certifications, including ISO 27001, PCI-DSS, HIPAA, FedRAMP, and GDPR, supporting clients in meeting global regulatory re-quirements.

7.Data Sovereignty AWS European Sovereign Cloud: To meet European data sovereignty requirements, AWS has launched an independent cloud managed exclusively by EU-resident personnel, ensuring all metadata and data remain within the EU.



Retention Period of Personal Data

Data deletion terms are managed by the client, who can delete data from the software once the intended pur-poses are fulfilled. Upon contract termination or non-renewal, the application is blocked after 60 days. The SQL Server database is not deleted by any automatic procedure and remains under the exclusive control of the client.


Purpose of Data Processing

The app is used for:

  1. Delivery and takeaway orders
  2. Receiving, monitoring, and redeeming offers and coupons
  3. Table reservations
  4. Checking loyalty status, points, and redeeming rewards
Downloading the app is voluntary, and users may uninstall it or modify permissions at any time to prevent fur-ther personal data collection.

Scope of Data Access

Data processed by the app is transmitted to the Pienissimo management software, an online restaurant book-ing system.

Territorial Scope of Processing

The data provided will be processed in Italy.

Data Subject Rights

Regarding data processing for the purpose of downloading the app, users may exercise their rights by sending an email to ufficio.privacy@zucchetti.it. In particular, users may request access to their personal data, rectification or deletion, restriction of processing, or object to processing. They also have the right to data portability and may lodge a complaint with the Data Protection Authority. For all matters related to data processing within the management system, users must contact the relevant Da-ta Controller.