Informativa sulla privacy
Ultimo aggiornamento: 30 maggio 2026
La traduzione è fornita a titolo di cortesia. In caso di discrepanza con la versione inglese, prevale il testo inglese.
1. Chi siamo
OneScan ("noi", "nostro") è gestita da OneScan, società registrata a Varna, Bulgaria (numero società / EIK e partita IVA disponibili su richiesta). Siamo il titolare del trattamento dei dati personali dei titolari di account trattati tramite la piattaforma OneScan all'indirizzo onescan.menu (il "Servizio").
Per qualsiasi domanda sulla presente Informativa sulla privacy o sui tuoi dati personali, contattaci a onescan.menu@outlook.com. Non abbiamo nominato un Responsabile della Protezione dei Dati in quanto non vi siamo tenuti per legge ai sensi dell'art. 37 GDPR (non siamo un'autorità pubblica, le nostre attività principali non consistono in monitoraggio sistematico su larga scala e non trattiamo categorie particolari di dati su larga scala).
2. Il nostro ruolo e il tuo
Per i titolari di account (tu): agiamo in qualità di titolare del trattamento dei dati personali descritti all'articolo 3, in quanto decidiamo le finalità e le modalità del trattamento (gestione del tuo account, fatturazione, sicurezza, assistenza clienti).
Per i contenuti che pubblichi: i menu, le descrizioni degli articoli, le immagini e le informazioni aziendali che carichi sono tuoi contenuti. Se scegli di includere dati personali di terzi in tali contenuti (ad esempio, citando un dipendente in un menu o caricando una foto di una persona identificabile), sei il titolare del trattamento di tali dati personali e noi agiamo unicamente come responsabile per tuo conto, archiviandoli e mostrandoli secondo le istruzioni. Sei responsabile di disporre di una base giuridica per pubblicarli. I clienti commerciali che richiedono un Accordo sul trattamento dei dati (DPA) scritto ai sensi dell'art. 28 GDPR possono richiederlo a onescan.menu@outlook.com.
Per i commensali che scansionano un menu QR: deliberatamente non raccogliamo dati personali dei commensali. Le visualizzazioni di pagina sono registrate solo come contatore, senza indirizzo IP, fingerprint del dispositivo, cookie o altri identificatori.
3. Quali dati raccogliamo
Raccogliamo le seguenti categorie di dati personali:
Dati dell'account
- Nome, indirizzo e-mail e password con hash (o dati del profilo Google OAuth)
- Stato di verifica dell'e-mail
- Preferenze dell'account (lingua, tema, piano)
Contenuti aziendali
- Nomi aziendali, descrizioni e indirizzi inseriti
- Nomi di menu, articoli, prezzi, categorie e descrizioni
- Immagini caricate per gli articoli di menu (i metadati EXIF vengono rimossi al caricamento)
- Traduzioni fornite per i contenuti dei menu
Dati tecnici
- Indirizzo IP e stringa user-agent (raccolti automaticamente al login per la sicurezza della sessione e la prevenzione degli abusi)
- Token di sessione (archiviati in un cookie httpOnly e sicuro)
- Log del server contenenti i dati di cui sopra, per un breve periodo di conservazione
Dati di pagamento
- ID cliente e di abbonamento Stripe (memorizzati sul nostro server)
- I dati della carta di pagamento sono raccolti e trattati interamente da Stripe - non vediamo né memorizziamo mai il numero della tua carta
Dati di utilizzo
- Conteggi anonimi di visualizzazioni delle pagine per i menu pubblici (registriamo che è avvenuta una visualizzazione, non chi l'ha effettuata - per le visualizzazioni non vengono memorizzati IP, cookie o dati del dispositivo)
4. Come utilizziamo i tuoi dati
| Finalità | Base giuridica (art. 6 GDPR) |
|---|---|
| Fornire e gestire il Servizio (gestione account, hosting dei menu, codici QR) | Esecuzione del contratto |
| Elaborare i pagamenti e gestire gli abbonamenti | Esecuzione del contratto |
| Inviare e-mail transazionali (benvenuto, reimpostazione della password, verifica e-mail, notifiche di fatturazione) | Esecuzione del contratto |
| Mantenere la sicurezza delle sessioni e prevenire abusi (indirizzo IP, user-agent, limitazione delle richieste) | Interesse legittimo (sicurezza) |
| Mostrare conteggi anonimi di visualizzazioni nel pannello | Interesse legittimo (analisi) |
| Migliorare il Servizio e sviluppare nuove funzionalità tramite dati aggregati e anonimizzati che non possono essere ricondotti a te | Interesse legittimo (sviluppo del prodotto) |
| Citare il nome della tua attività o la tua pagina pubblica del menu come esempio di cliente, salvo opposizione via e-mail | Interesse legittimo (marketing) |
| Adempiere agli obblighi di legge (registrazioni fiscali, prevenzione delle frodi, richieste legittime) | Obbligo di legge |
Non effettuiamo processi decisionali automatizzati o profilazione che producano effetti giuridici o similmente significativi su di te ai sensi dell'art. 22 GDPR.
5. Servizi di terze parti (sub-responsabili)
Condividiamo dati personali con i seguenti servizi di terze parti, esclusivamente per fornire il Servizio:
| Servizio | Finalità | Ubicazione dei dati |
|---|---|---|
| Hetzner Online GmbH | Hosting server, database, archiviazione immagini | Germania (UE) |
| Stripe Payments Europe Ltd. | Elaborazione dei pagamenti, fatturazione abbonamenti | UE / USA (con CCS UE) |
| Resend, Inc. | Consegna di e-mail transazionali | USA (con CCS UE) |
| Google LLC (OAuth, opzionale) | Accesso con Google, se scegli questo metodo | USA (con CCS UE) |
Non vendiamo, noleggiamo né scambiamo i tuoi dati personali. Non utilizziamo servizi pubblicitari o di analisi di terze parti. Potremo coinvolgere ulteriori sub-responsabili man mano che il Servizio si evolverà; un elenco aggiornato è disponibile su richiesta e non coinvolgeremo alcun sub-responsabile che non offra garanzie equivalenti di protezione dei dati. Non condividiamo dati con altre parti, salvo che ciò sia richiesto dalla legge o da un'ordinanza giudiziaria.
6. Trasferimenti internazionali di dati
I tuoi dati sono archiviati principalmente su server in Germania (UE). Quando i dati vengono trasferiti a responsabili al di fuori dell'UE/SEE (Stripe, Resend, Google), ci basiamo sulle Clausole Contrattuali Standard (CCS, Decisione 2021/914) della Commissione europea come meccanismo di trasferimento, unitamente alle misure tecniche e organizzative imposte a tali responsabili. Una copia delle CCS in vigore con ciascun responsabile è disponibile su richiesta.
7. Cookie
OneScan utilizza solo cookie strettamente necessari:
- Un cookie di sessione di autenticazione (httpOnly, sicuro) che ti mantiene connesso fino a 7 giorni.
- Un cookie di preferenza del tema che memorizza la tua scelta di modalità chiara/scura fino a 1 anno.
Non utilizziamo cookie di tracciamento, pubblicità o analisi. Poiché tutti i nostri cookie sono strettamente necessari al funzionamento del Servizio, non è richiesto alcun banner di consenso ai cookie ai sensi della Direttiva ePrivacy (2002/58/CE, art. 5.3).
8. Conservazione dei dati
- Dati dell'account e contenuti: conservati finché il tuo account è attivo. Possiamo eliminare gli account gratuiti inattivi e i relativi contenuti dopo 12 mesi di inattività, previa notifica via e-mail. Eliminati entro 30 giorni dalla richiesta valida di cancellazione, salvo dove la conservazione sia richiesta dalla legge.
- Dati di sessione (IP, user-agent): conservati per la durata della sessione (fino a 7 giorni). I log di accesso del server contenenti indirizzi IP sono conservati fino a 90 giorni per finalità di sicurezza e prevenzione degli abusi.
- Registri di pagamento: gli ID cliente e di abbonamento Stripe, le fatture e i registri di fatturazione correlati sono conservati per il tempo richiesto dalle leggi fiscali e contabili (di norma 10 anni in base al diritto bulgaro).
- Conteggi anonimi e analisi aggregate: conservati a tempo indeterminato (alle visualizzazioni non sono associati dati personali).
- Backup: i dati possono persistere in backup cifrati fino a 30 giorni dopo l'eliminazione dal sistema live, dopodiché vengono eliminati a rotazione.
9. I tuoi diritti (GDPR)
In qualità di interessato ai sensi del Regolamento generale sulla protezione dei dati (GDPR), hai i seguenti diritti:
- Diritto di accesso: richiedere una copia dei dati personali che deteniamo su di te.
- Diritto di rettifica: correggere dati inesatti (puoi aggiornare nome e e-mail direttamente nell'app).
- Diritto alla cancellazione: richiedere la cancellazione dell'account e di tutti i dati associati, fatti salvi gli obblighi legali di conservazione.
- Diritto alla portabilità: richiedere l'esportazione dei tuoi dati in formato strutturato e leggibile da macchina.
- Diritto di limitazione del trattamento: richiedere che ne limitiamo l'utilizzo mentre è pendente un reclamo o una rettifica.
- Diritto di opposizione: al trattamento basato sul legittimo interesse, incluso l'uso a fini di marketing del nome della tua attività (vedi articolo 4).
- Diritto di revoca del consenso: quando il trattamento si basa sul consenso, puoi revocarlo in qualsiasi momento senza pregiudicare la liceità del trattamento precedente.
- Diritto di proporre reclamo: puoi proporre reclamo alla Commissione bulgara per la protezione dei dati personali (CPDP / Комисия за защита на личните данни, www.cpdp.bg) o all'autorità di controllo locale dell'UE.
Per esercitare uno qualsiasi di questi diritti, contattaci a onescan.menu@outlook.com. Risponderemo entro un mese (prorogabile di ulteriori due mesi per richieste complesse ai sensi dell'art. 12.3 GDPR). Potremo chiederti di verificare la tua identità prima di agire su una richiesta e potremo rifiutare o addebitare un corrispettivo ragionevole per richieste manifestamente infondate o eccessive.
10. Sicurezza dei dati e notifica di violazioni
Adottiamo misure tecniche e organizzative adeguate per proteggere i tuoi dati personali, tra cui: connessioni cifrate (TLS/HTTPS) per tutti i dati in transito; password sottoposte a hashing (mai memorizzate in chiaro); cookie di sessione httpOnly e sicuri; database ospitato in data center UE con controlli di accesso; limitazione delle richieste e monitoraggio degli abusi; e aggiornamenti regolari di sicurezza della nostra infrastruttura. Nessun sistema è sicuro al 100 %, ma adottiamo precauzioni ragionevoli per proteggere i tuoi dati.
In caso di violazione dei dati personali che possa comportare un rischio per i tuoi diritti e libertà, notificheremo la CPDP bulgara entro 72 ore dalla conoscenza del fatto ove possibile e informeremo senza ingiustificato ritardo gli utenti interessati quando la violazione possa comportare un rischio elevato, in conformità con gli articoli 33 e 34 GDPR.
11. Minori
Il Servizio non è destinato a persone di età inferiore ai 18 anni ed è inteso per uso aziendale. Non raccogliamo consapevolmente dati personali da minori. Se ritieni che un minore ci abbia fornito dati personali, contattaci e li elimineremo tempestivamente.
12. Modifiche alla presente informativa
Possiamo aggiornare la presente Informativa sulla privacy di tanto in tanto. Ti informeremo delle modifiche sostanziali via e-mail o tramite un avviso ben visibile nel Servizio. La data "Ultimo aggiornamento" in alto riflette la revisione più recente. Le modifiche non sostanziali (chiarimenti, formattazione, aggiornamenti dell'elenco dei sub-responsabili) possono essere apportate senza preavviso.