English version below

Norme sulla privacy relative alle APP Zucchetti

ai sensi dell’art. 13 Regolamento Europeo per la protezione dei dati personali 2016/679 (GDPR)


Zucchetti Hospitality rende la presente Informativa Privacy solo ed esclusivamente ai fini del download dell’applicazione "Zucchetti" Pienissimo Mobile; inoltre, la stessa non riguarda l’utilizzo di altri eventuali siti web attraverso i quali ad esempio l’Utente dovesse accedere a/o utilizzare l’applicazione. L’App è dedicata ai gestori delle attività ristorative che hanno acquistato l’applicativo Pienissimo Pro e agli utenti delle predette.


Titolare del Trattamento

Titolare del trattamento dei dati personali, solo ed esclusivamente ai fini del download dell’applicazione, ai sensi dell’art. 4 punto 7) del GDPR è Zucchetti Hospitality S.r.l con sede legale in Lodi, Via Solferino, n. 1, 26900 – e-mail ufficio.privacy@zucchetti.it.


Responsabile della protezione dei dati

Il responsabile per la protezione dei dati è il dott. Mario Brocca a cui potrà rivolgersi scrivendo una e-mail a dpo@zucchetti.it.


Sviluppatore

Lo Sviluppatore dell’applicazione è Zucchetti Hospitality srl, con sede legale in Lodi, Via Solferino n. 1, 26900 - ufficio.privacy@zucchetti.it.


Dati personali raccolti

L’app Pienissimo Mobile raccoglie i seguenti dati:


  • Geolocalizzazione*: per selezionare il punto vendita più vicino all’utente.
  • Identità dell'utente*: nome, cognome, telefono, e-mail, necessari per creare l’account sulla piattaforma e per inviare notifiche all’utente.
  • Indirizzo fisico*: necessario in caso di ordini delivery per effettuare le consegne.
  • Log applicativo: utilizzato per individuare eventuali errori dell’applicativo.

* si precisa che per ogni tipo di dato raccolto, il sistema operativo richiede l’espressa autorizzazione all’utente, il quale può negare l’accesso al dato.


I trattamenti avvengono in formato elettronico e durante l’utilizzo dell’app i dati personali sono reindirizzati attraverso connessioni sicure al prodotto gestionale Pienissimo installato dal centro che detiene la titolarità dei dati dei clienti ed utenti della app. I dati sopra riportati sono salvati in via definitiva sui server di Pienissimo. L’utente può cancellare i dati sopra riportati su app utilizzando la funzione elimina account presente dentro l’app.


Natura obbligatoria o facoltativa del conferimento dei dati e conseguenze di un eventuale rifiuto

Il conferimento dei dati è facoltativo ma sono necessari per la creazione dell’account e l’erogazione del servizio. Il rifiuto al conferimento non consente l’erogazione del servizio e l’utilizzo dell’app.


Modalità del trattamento

I trattamenti avvengono in formato elettronico e durante l’utilizzo dell’app i dati personali sono reindirizzati attraverso connessioni sicure al prodotto gestionale Pienissimo installato dal centro che detiene la titolarità dei dati dei clienti ed utenti della app. I dati sopra riportati non sono mai salvati in via definitiva né sulla app né sul dispositivo. L’utente può cancellare i dati sopra riportati su app utilizzando la funzione di logout o disinstallando l’app.


Procedure sicure di trattamento dei dati utente personali e sensibili

Lo sviluppatore ha implementato procedure sicure di trattamento dei dati costituite da misure di sicurezza a livello tecnico organizzativo, sia a livello di servizi di assistenza. In particolare, le misure di sicurezza configurabili a livello applicativo da parte del Titolare del trattamento Cliente sono: 


Gestione credenziali di accesso

  • Username: l’accesso al sistema avviene solo attraverso l’identificazione univoca del soggetto che vi accede. Viene consegnata inoltre al Titolare una credenziale “Amministrativa” da utilizzare per parametrizzare il sistema. Consigliamo al Titolare di predisporre una procedura organizzativa affinché tale utenza sia assegnata ad un unico incaricato e sia gestita in conformità alle buone regole di gestione.
  • Password: le password sono configurabili solo da Pienissimo Software.

Minimizzazione

  • Profili di autorizzazione: il Titolare può configurare l’accesso ai dati personali trattati nel sistema a seconda delle attività svolte dagli utenti.

Identificazione di chi ha accesso al sistema.

  • Sono attivati automaticamente i log di accesso al sistema. Il log viene conservato nel sistema per almeno 365 giorni.

Tecniche di crittografia

  • Crittografia delle password. La cifratura delle password avviene attraverso il protocollo SHA 256bit.
  • Non salviamo dati delle carte di credito degli utenti.

Privacy by default

  • Attivazione profilo utente: gli utenti del sistema sono attivati secondo una logica di non assegnare alcun profilo autorizzato sui dati trattati. Sarà il Titolare in autonomia a scegliere la profilazione utente idonea e ad attribuire le autorizzazioni in funzione dell’area omogenea di cui fa parte l’utente o del profilo di autorizzazione individuale.

Diritti degli interessati

  • Opt-out dal marketing: la piattaforma Pienissimo Pro e le sue integrazioni permettono di effettuare attività di marketing e di profilazione della clientela (mailing, messaggi sms e whatsapp, analisi di consumo, anticipazione delle aspettative, ecc.). È responsabilità del Titolare usare correttamente questi strumenti e verificarne il lecito utilizzo nelle integrazioni esterne alla piattaforma ed il rispetto delle scelte di opt-out.
  • Dati trattati: al fine di trasmettere la tipologia dei dati trattati e la portabilità, è stata implementata una funzionalità di estrazione in formato intelligibile della singola anagrafica corredata dei dati attinenti (soggiorni, profilazione, ecc.).
  • Gestione dei consensi: la piattaforma Pienissimo Pro è in grado di gestire il consenso al trattamento dati per molteplici finalità. La gestione dei consensi nella piattaforma è integrata nelle funzioni del programma ed in grado autonomamente di inibire la raccolta e conservazione di tipologie dati per le quali l’interessato non ha prestato il consenso. Fatti salvo i dati anagrafici la cui conservazione limitata nel tempo è obbligatoria per finalità fiscali.
  • Tempi di conservazione dei dati personali degli interessati: la piattaforma permette al Titolare di configurare il tempo di conservazione dei dati in funzione delle prescrizioni di legge e delle diverse finalità del trattamento.
  • Diritto all’oblio: a seguito richiesta dell’interessato, il Titolare dopo le opportune valutazioni, potrà disporre la cancellazione dei dati richiesta direttamente dal gestionale, anonimizzando l’anagrafica all’interno di ogni applicativo. Non sarà più reperibile alcuna informazione, neppure indiretta, su quell’interessato. Nei singoli applicativi saranno presenti quindi solo informazioni anonime non riconducibili neppure indirettamente ad alcun interessato. La funzione di cancellazione avviene per anagrafica soggetto.
  • Luoghi di conservazione dei dati dell’interessato: I dati sono conservati presso il Datacenter di proprietà di AWS nella regione di Francoforte sul quale si affida Pienissimo Software.

1. RESPONSABILE DEL TRATTAMENTO: MISURE DI SICUREZZA IMPLEMENTATE PER I SERVIZI DI ASSISTENZA


Assistenza telefonica

Non presenta problemi da un punto di vista di trattamento di dati personali. Non sono trasmessi dati o archivi e la comunicazione rimane verbale


Assistenza tramite e-mail

Nell’assistenza tramite e-mail scrivendo direttamente ad assistenza@pienissimo.pro il cliente sottopone al personale dell’assistenza Pienissimo, richieste di informazioni, migliorie o problematiche tecniche. L’addetto Pienissimo non è autorizzato a farsi mandare le credenziali di accesso del Titolare via e-mail né tantomeno potrà salvarle sullo strumento di ticketing. Qualora un Titolare invii le credenziali di accesso al suo ambiente senza richiesta del tecnico Zucchetti è necessario che lo stesso risponda che non è autorizzato ad accedere ai sistemi con credenziali di altri utenti in quanto questa modalità viola il GDPR. Quindi il tecnico Pienissimo dovrà richiedere credenziali individuali oppure collegamento tramite strumenti a ciò dedicati.


Assistenza tramite ticket web

L’assistenza tramite tickets web, che avviene durante le ore di chiusura dell’azienda, avviene tramite portale CRM. Il cliente per poter aprire il ticket si dovrà loggare (se già registrato) oppure registrare al portale del CRM inserendo il suo nominativo, la sua mail e il suo numero di telefono. Qualora i dati inseriti corrispondano ad un cliente già censito sul CRM, in automatico, l’assistenza di Pienissmo, saprà con quale cliente è in corso l’assistenza.


Assistenza tramite chat

L’assistenza Pienissimo risponde alla chat live dalle ore 9 alle ore 19, dal lunedì al venerdì. La chat è raggiungibile all’interno del backoffice di Pienissimo PRO, a seguito di login che il cliente (ristoratore) fa all’interno del suo backoffice, tramite le proprie credenziali ricevute in mail all’attivazione di Pienissimo PRO. Il CRM integra al suo interno un sistema di assistenza remota, dove è il cliente a richiedere l’assistenza remota. Gli operatori dell’assistenza di Pienissimo non possono in autonomia in alcun modo, accedere al sistema del cliente se non previa la sua autorizzazione.


Assistenza attraverso collegamento da remoto attraverso strumenti a ciò dedicati

Questa modalità di collegamento sugli strumenti dei clienti garantisce la privacy in quanto:

  • Il collegamento è sempre richiesto dal cliente
  • e credenziali di accesso sono sempre individuali
  • Il cliente ci fa accedere ad un ambiente con profilo di autorizzazione da lui scelto per farci eseguire le attività di assistenza
  • Il cliente può sconnetterci quando desidera.

È essenziale utilizzare i nostri strumenti in quanto licenziati e personalizzati con tutta la documentazione che deve essere prodotta dalla legge sul trattamento dei dati personali. Solo in casi eccezionali e dopo attenta valutazione del responsabile è possibile utilizzare altri strumenti di connessione che si comportano in modo uguale.


1. RESPONSABILE DEL TRATTAMENTO: MISURE DI SICUREZZA INTERNE


Il personale di Pienissimo Software che accede al pannello di controllo di AWS e ai servizi da esso erogati (database, server virtuali, logs, ecc…) accede con il proprio account con una sessione che dura circa 8 ore, al termine della sessione l’utente deve rieffettuare il login. Ogni account accede con username, password e 2FA.


1. Sicurezza Fisica e Infrastrutturale

  • Data Center Sicuri: AWS gestisce data center con controlli fisici rigorosi, tra cui sorveglianza 24/7, controllo degli accessi e monitoraggio ambientale, per proteggere l'infrastruttura da accessi non autorizzati e minacce fisiche.

2. Sicurezza di Rete

  • Isolamento delle Risorse: Utilizzo di Amazon Virtual Private Cloud (VPC) per isolare le risorse in reti virtuali dedicate.
  • Controlli di Accesso: Implementazione di gruppi di sicurezza e liste di controllo degli accessi (ACL) per gestire il traffico in entrata e in uscita

3. Gestione delle Identità e degli Accessi (IAM)

  • Controllo Granulare degli Accessi: AWS Identity and Access Management (IAM) consente di definire chi può accedere a quali risorse e in che modo, supportando l'autenticazione a più fattori (MFA) e l'integrazione con directory aziendali.

4. Protezione dei Dati

  • Crittografia dei Dati: AWS offre la crittografia dei dati sia a riposo che in transito. Servizi come AWS Key Management Service (KMS) e AWS CloudHSM permettono la gestione sicura delle chiavi di crittografia.
  • Classificazione dei Dati: Possibilità di classificare i dati in base alla sensibilità, applicando controlli adeguati per ciascuna categoria.

5. Monitoraggio e Logging

  • Audit e Tracciabilità: AWS CloudTrail registra le chiamate API per l'account, fornendo un audit trail dettagliato delle attività degli utenti.
  • Monitoraggio delle Minacce: Servizi come Amazon GuardDuty, Amazon Inspector e Amazon Macie aiutano a rilevare attività sospette, vulnerabilità e dati sensibili esposti.

6. Conformità e Certificazioni

  • Standard Internazionali: AWS è conforme a numerosi standard e certificazioni di sicurezza, tra cui ISO 27001, PCI-DSS, HIPAA, FedRAMP e GDPR, supportando i clienti nel soddisfare requisiti normativi globali.

7. Sovranità dei Dati

  • AWS European Sovereign Cloud: Per rispondere alle esigenze di sovranità dei dati in Europa, AWS ha lanciato una cloud indipendente gestita esclusivamente da personale residente nell'UE, garantendo che tutti i metadati e i dati rimangano all'interno dell'Unione Europea.

Periodo di conservazione dei dati personali

I termini della cancellazione sono gestiti dal cliente che, tramite apposite funzioni può cancellare dati presenti nel software al raggiungimento/esaurimento delle finalità perseguite. Alla cessazione del contratto, in caso di mancato rinnovo, l’applicativo si blocca dopo 60 giorni. Il database SQL server non viene eliminato da nessuna procedura automatica e rimane nell’esclusiva disponibilità del cliente.


Finalità del trattamento cui sono destinati i dati personali

L’app viene utilizzata per:

  1. ordini di delivery e asporto
  2. ricezione, monitoraggio e riscatto offerte e coupon
  3. prenotazione tavolo
  4. controllo stato fidelity, punti, e riscatto premi

Il download dell’app è volontario ed in ogni momento l’utente può disinstallarla o modificare i permessi e le autorizzazioni affinché non siano più registrati dati personali.


Ambito di conoscenza dei Suoi dati

I dati trattati dell’app sono trasmessi al prodotto gestionale Pienissimo, software di prenotazione online ristoranti


Ambito territoriale del trattamento

I dati forniti saranno trattati in Italia


Diritti degli interessati

Limitatamente al trattamento dei dati nell’ambito del download dell’App, l’utente, potrà esercitare i Suoi diritti in-viando una email a ufficio.privacy@zucchetti.it, in particolare si potrà richiedere l’accesso ai dati personali che la riguardano, la rettifica o la cancellazione o potrà richiedere la limitazione al trattamento e potrà opporsi al trat-tamento. Inoltre, avrà diritto alla portabilità dei dati e qualora volesse proporre reclamo potrà presentarlo anche all’autorità Garante per la protezione dei dati personali. Per tutto ciò che concerne il trattamento dei dati nell’ambito dell’utilizzo del gestionale l’utente dovrà rivolgersi al Titolare del predetto Trattamento.




Privacy Policy concerning Zucchetti APPs

provided pursuant to art. 13 of the European General Data Protection Regulation 2016/679 (GDPR)



Zucchetti Hospitality makes this Privacy Policy solely and exclusively for the purposes of downloading the "Zucchetti" Pienissimo Mobile application; furthermore, it does not concern the use of any other websites through which, for example, the User may access/or use the application.



Data Controller

The Data Controller, only for the purposes of downloading the app, pursuant to art. 4 paragraph 7 of the GDPR is Zucchetti Hospitality srl with registered office in Lodi, Via Solferino, 1, 26900 – e-mail zprivacy.officer@zucchetti.com;


Responsible for data protection

The data protection officer is Dr. Mario Brocca, whom you can contact by writing an e-mail to dpo@zucchetti.it.


Developer

The developer of the application is Zucchetti Hospitality, with registered office in Lodi, Via Solferino No. 1, 26900 - ufficio.privacy@zucchetti.it.


Personal data collected

The services provided by the App, as well as its features and functions, do not require any form of User registration. However, we point out that the computer systems and software procedures used to operate the App (such as Apple Store, Google Play or App Gallery) acquire, during their normal operation, some data in any case referable to the User whose transmission is implicit. in the use of internet communication protocols, smartphones and devices used. This category of data includes, by way of example but not limited to, the geographical position, the identity of the telephone, the User's contacts, e-mails, credit card data. The User can consult the Privacy information available on the following sites:


Support procedures

Support procedures security are implementend for each one as follows.


Onsite Support

Zucchetti Hospitality employees access the client's facility to perform training or technical maintenance activities. In this case, Zucchetti employees work as if they were part of the client's facility and adopt all security proce-dures implemented by the client. Holders may generate individual users for access to their systems, or they may have side-by-side access to train their staff. If, during the service activity, the Zucchetti Hospitality employee needs to retrieve archives or db's that he/she needs to re-solve the highlighted issues, it is necessary that he/she informs the Holders and records this activity on the Inter-vention Note: upon completion of the activity at the Zucchetti Hospitality offices the client will be informed about the solution adopted and the subsequent deletion of the archive. If there is a need to keep the archives for the time necessary for the testing of the adopted solution, the client must be informed about the maximum retention time of these archives.


Telephone support

It presents no problems from a personal data processing point of view. No data or archives are transmitted and communication remains verbal.


Assistance via e-mail/web tickets

In email assistance, Zucchetti Hospitality technicians will always include in the text of the message the disclaimer to make the Holder aware of the summary information and the contact details he or she can contact to exercise his or her rights or the rights of his or her data subjects. The Zucchetti Hospitality employee is not authorized to have the client's login credentials emailed to him or her, nor will he or she be able to save them on the ticketing tool. If a client sends login credentials to his or her environment without a request from the Zucchetti Hospitality technician, it is necessary for the Zucchetti Hospitality technician to respond that he or she is not authorized to access the systems with oth-er users' credentials because this mode violates the GDPR. So the Zucchetti Hospitality technician will have to request indi-vidual credentials or connection via Team Viewer. Zucchetti Hospitality technicians will sign each email with first and last name and the information will be saved in ticketing.


Assistance Through Receipt Of Customer Data Base

If, in order to solve the problem reported by the client, it is necessary to have the database or other files or que-ries containing personal data sent to him/her, it is necessary to notify the client either of the ftp area to which he/she will have to upload the files or for clients with the environment installed on our data center, request permission to have our system engineers make the copy.


Assistance through the need to have clients back up a data center service

If the client's personal data is on a Zucchetti/Data center system, under no circumstances will 1-level support be able to request backups from Data center systemists unless authorized by the Holder himself. Systematists will not be able to extract any backups from Holders for needs and purposes other than providing support to Holders; for example, no backups directed to production for testing purposes may be made.


Assistance through remote connection TeamViewer

This mode of connection on the Holders' tools ensures privacy in that:


  • the connection is always requested by the Holder;
  • the access credentials are always individual;
  • the client gives Zucchetti Hospitality technicians access to an environment with an authorization profile chosen by the Holder to have support activities performed;
  • the Holder can disconnect the technician whenever he/she wishes.

Through Team Viewer it is also possible to have 2-level assistance access the same open session. In this case the Holder has the evidence because it is provided by the tool and therefore implicitly accepts this mode It is essential to use the Zucchetti Team Viewer as it is licensed and customized with all the documentation that must be produced by the law on the processing of personal data. Only in exceptional cases and after careful evaluation by the manager and the privacy office is it possible to use other connection tools that behave in the same way.


Assistance through remote connection on public IP or via VPN

If the assistance activity is to be carried out on cloud systems over public IPs or via VPN or private access, it is necessary for Zucchetti employees to enter the systems of the Holders:

  • upon customer authorization;
  • upon receipt of individual credentials and the credentials have been activated for the time necessary to perform the required activities;
  • upon completion of the activity the credentials are deactivated by the Holder.

Territorial scope of processing

The data provided will be processed in Italy.


Rights of Data Subjects

Relating to the processing of data in the context of downloading the App only, the user may exercise his rights by sending an email to ufficio.privacy@zucchetti.it, in in particular, you may request access to personal data concerning you, rectification or cancellation or you may re-quest limitation of processing and you may object to processing. Furthermore, you will have the right to data portability and if you wish to lodge a complaint you can also present it to the Guarantor authority for the protec-tion of personal data. For everything concerning the processing of data in the context of the use of the HR Portal application, the user must contact the Data Controller of the aforementioned Data Processing (Employer). Any re-quests of this type, received by Zucchetti, will be forwarded to the Data Controller.