TRATTAMENTO DATI PERSONALI
Informativa relativa al trattamento dei dati personali ai sensi e per gli effetti del Regolamento (UE) n. 679/2016
(versione n. 1 del 25 maggio 2018)
L’informativa di seguito riportata (d’ora innanzi “Informativa”), è resa da “Diana S.r.l.”, nella sua veste di Titolare del trattamento (di seguito, anche solo, “Titolare”), all’interessato, in adempimento di quanto prescritto dal Regolamento (UE) n. 679/2016 (d’ora innanzi, anche solo, “Regolamento”). Il Titolare intende, con la presente, informare tutti gli interessati in merito al trattamento dei dati personali che li riguardano, sottolineando il proprio impegno e attenzione con riferimento alla tutela dei diritti dell’interessato. Il Titolare si riserva il diritto di modificare l’Informativa in qualsiasi momento e a sua insindacabile discrezione. Qualunque cambiamento avrà effetto dalla data di pubblicazione della versione emendata dell’Informativa sul Sito. Precisazioni sulle finalità di trattamento e sulle altre informazioni utili potranno essere fornite nelle eventuali ulteriori informative predisposte per specifici servizi. In ogni caso, il Titolare assicura che il trattamento dei dati personali sarà improntato ai principi di correttezza, liceità e trasparenza, di tutela della riservatezza e dei diritti dell’Interessato.
Titolare del trattamento e dati di contatto
Denominazione: Diana S.r.l.
P.I.V.A.: 00543650378; Sede legale: Bologna, Via Volturno, n. 5; email: info@ristorante-diana.it
Per richieste relative ai trattamenti di dati personali ed all’esercizio dei diritti dell’interessato utilizzare i seguenti recapiti
email: info@ristorante-diana.it
Vengono trattati i seguenti dati personali: nome, cognome, dati della prenotazione, indirizzo email.
Modalità del trattamento
I dati vengono trattati con strumenti elettronici presso i sistemi informatici nella disponibilità del Titolare e/o dai Responsabili del trattamento designati dal Titolare per curare il sito web, nonché eventualmente su supporto cartaceo.
Finalità del trattamento
Le finalità del trattamento sono: erogazione di un servizio su richiesta dell’interessato e svolgimento delle attività previste dalla natura del Titolare nonché per adempiere gli obblighi di legge.
Tempi di conservazione e/o criteri per determinare i tempi di conservazione
I dati personali vengono conservati per il tempo strettamente necessario al conseguimento delle finalità del trattamento sopra delineate, fatto salvo quanto prescritto da obblighi di legge o in caso di difesa di diritti in giudizio. Successivamente i dati personali verranno cancellati o trasformati in forma anonima.
Base giuridica del trattamento
La base giuridica del trattamento dei dati è costituita dai seguenti concomitanti e/o alternativi, criteri: (i) accordo fra le parti per la prestazione del servizio richiesto dall’interessato; (ii) la necessità di adempiere ad un obbligo legale quale ad esempio quanto prescritto in materia fiscale; (iv) il legittimo interesse del titolare a rendere note e promuovere le proprie attività istituzionali ai richiedenti il servizio in maniera corrispondente alle ragionevoli aspettative dell’interessato.
Facoltatività del conferimento dei dati personali
Il conferimento dei dati personali da parte dell’interessato è facoltativo e non obbligatorio, tuttavia il loro mancato conferimento potrà comportare l’impossibilità, in tutto o in parte, di avviare, di mantenere e/o di gestire il rapporto relativo al servizio richiesto dall’interessato.
Destinatari e categorie di destinatari dei dati personali, nonché ambito di conoscibilità dei medesimi
Per il perseguimento delle finalità descritte, i dati personali dell’interessato saranno conosciuti dal Titolare e/o dai Responsabili del trattamento designati dal Titolare nonché dai dipendenti, dal personale assimilato e dai collaboratori del Titolare, che opereranno in qualità di soggetti autorizzati al trattamento.
L’elenco completo e aggiornato dei responsabili del trattamento può essere richiesto presso la sede legale del Titolare o tramite i recapiti indicati nella presente informativa per contattarlo.
Trasferimento dei dati personali
Il Titolare del trattamento non effettua trasferimento di dati al di fuori dell’Unione Europea.
L’interessato potrà, alle condizioni previste dal Regolamento, esercitare i diritti sanciti dagli articoli da 15 a 21 del medesimo e, in particolare:
– il diritto di accesso ai sensi dell’articolo 15 del Regolamento, che prevede il diritto di ottenere conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e, in tal caso, ottenere l’accesso ai suoi dati personali – con diritto di ottenere una copia degli stessi – e la comunicazione, tra le altre, delle seguenti informazioni: a) finalità del trattamento; b) categorie di dati personali trattati; c) destinatari cui questi sono stati o saranno comunicati; d) periodo di conservazione dei dati o i criteri utilizzati; e) diritti dell’interessato (rettifica, cancellazione dei dati personali, limitazione del trattamento e diritto di opposizione al trattamento); f) diritto di proporre un reclamo; g) diritto di ricevere informazioni sulla origine dei suoi dati personali, qualora essi non siano stati raccolti presso l’interessato; h) l’esistenza di un processo decisionale automatizzato, compresa la profilazione ove venisse effettuata;
– il diritto di rettifica ai sensi dell’articolo 16 del Regolamento, che prevede il diritto di ottenere, senza ingiustificato ritardo, la rettifica dei dati personali inesatti che riguardano l’Interessato e/o l’integrazione dei dati personali incompleti;
– il diritto alla cancellazione (c.d. diritto all’oblio) ai sensi dell’articolo 17 del Regolamento, che prevede il diritto di ottenere, senza ingiustificato ritardo, la cancellazione dei dati personali che riguardano l’Interessato, quando: a) i dati non sono più necessari rispetto alle finalità per cui sono stati raccolti o altrimenti trattati; b) l’Interessato ha revocato il consenso e non sussiste alcun altro fondamento giuridico per il trattamento; c) l’Interessato si è opposto con successo al trattamento dei dati personali; d) i dati sono stati trattati illecitamente; e) i dati devono essere cancellati per adempiere un obbligo legale; f) i dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione di cui all’articolo 8, paragrafo 1, del Regolamento. Il diritto alla cancellazione non si applica nella misura in cui il trattamento sia necessario per l’adempimento di un obbligo legale o per l’esecuzione di un compito svolto nel pubblico interesse o per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;
– il diritto di limitazione di trattamento ai sensi dell’articolo 18 del Regolamento, che prevede il diritto di ottenere la limitazione del trattamento, quando: a) l’interessato contesta l’esattezza dei dati personali; b) il trattamento è illecito e l’interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l’utilizzo; c) i dati personali sono necessari all’interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria; d) l’interessato si è opposto al trattamento in attesa della verifica in merito all’eventuale prevalenza dei motivi legittimi del titolare del trattamento rispetto a quelli dell’interessato;
– il diritto alla portabilità dei dati ai sensi dell’articolo 20 del Regolamento, che prevede il diritto di ricevere, in un formato strutturato, di uso comune e leggibile da un dispositivo automatico, i dati personali che riguardano l’Interessato forniti al Titolare e il diritto di trasmetterli a un altro titolare senza impedimenti, qualora il trattamento si basi sul consenso e sia effettuato con mezzi automatizzati. Il diritto di ottenere, inoltre, che i dati personali siano trasmessi direttamente ad altro Titolare, qualora ciò sia tecnicamente fattibile;
– il diritto di opposizione ai sensi dell’articolo 21 del Regolamento, che prevede il diritto di opporsi, in qualsiasi momento, al trattamento dei dati personali che riguardano l’Interessato basati sulla condizione di legittimità del legittimo interesse, compresa la profilazione ove venisse effettuata, salvo che sussistano motivi legittimi per il Titolare di continuare il trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell’interessato oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;
– il diritto a non essere sottoposto a un processo decisionale automatizzato ai sensi dell’articolo 22 del Regolamento, che prevede il diritto dell’interessato di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione ove venisse effettuata, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona, salvo che ciò sia necessario per la conclusione o esecuzione di un contratto o l’Interessato abbia rilasciato il suo consenso. In ogni caso, un processo decisionale automatizzato non potrà riguardare i dati personali dell’Interessato e l’Utente potrà in ogni momento ottenere l’intervento umano da parte del titolare del trattamento, esprimere la propria opinione e contestare la decisione;
– il diritto di revocare il consenso prestato in ogni occasione e con la stessa facilità con cui è stato fornito, senza che ciò pregiudichi la liceità del trattamento basato sul consenso prestato prima della revoca.
L’interessato ha, altresì, il diritto di proporre reclamo all’Autorità Garante per la protezione dei dati personali, Piazza di Montecitorio n. 121, 00186, Roma (RM), o di adire le opportune sedi giudiziarie.
I diritti di cui sopra potranno essere esercitati, nei confronti del Titolare, contattando i contatti indicati.
L’esercizio da parte dell’interessato dei suoi diritti è gratuito ai sensi dell’articolo 12 del Regolamento. Tuttavia, nel caso di richieste manifestamente infondate o eccessive, anche per la loro ripetitività, il Titolare potrebbe addebitare un contributo spese ragionevole, alla luce dei costi amministrativi sostenuti per gestire la richiesta, o negare la soddisfazione della stessa.
Si precisa che il Titolare, anche tramite le strutture designate, provvederà a prendere carico della richiesta e a fornire senza ingiustificato ritardo – e comunque, al più tardi, entro un mese dal ricevimento della stessa – le informazioni relative all’azione intrapresa riguardo alla richiesta. Tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste.
Si informa, da ultimo, che qualora il Titolare nutra dubbi circa l’identità della persona fisica che presenta la richiesta, potrà richiedere ulteriori informazioni necessarie a confermare l’identità dell’interessato.
Specifiche riguardanti la gestione delle carte di credito a garanzia:
Finalità e base giuridica
In occasione di alcune prenotazioni, il ristorante può richiedere il salvataggio di uno strumento di pagamento (carta di credito o di debito) a titolo di garanzia contro il mancato rispetto della politica di cancellazione (c.d. “no-show”). La base giuridica del trattamento è il consenso esplicito dell’interessato, prestato al momento della prenotazione ai sensi dell’art. 6, par. 1, lett. a) del Regolamento UE 2016/679 (GDPR).
Modalità di raccolta e protezione dei dati
I dati dello strumento di pagamento vengono raccolti e custoditi esclusivamente attraverso la piattaforma Stripe (Stripe Inc. / Stripe Payments Europe Ltd.), certificata PCI DSS di livello 1, il più elevato standard di sicurezza nel settore dei pagamenti. I dati completi della carta , numero, CVV, non transitano nè vengono memorizzati sui server del ristorante nè su quelli della piattaforma di prenotazione, e non sono in alcun modo accessibili nè al personale del ristorante nè a quello della piattaforma di prenotazione. Il ristorante riceve unicamente un identificativo anonimo (token) che consente, esclusivamente nei casi previsti, di eseguire l’addebito tramite Stripe.
Quando può essere effettuato l’addebito
La carta fornita a garanzia verrà addebitata esclusivamente nel caso in cui il cliente non si presenti alla prenotazione (no-show) o cancelli in violazione della politica di cancellazione comunicata al momento della prenotazione.
Conservazione e cancellazione automatica
In conformità al principio di limitazione della conservazione sancito dall’art. 5, par. 1, lett. e) del GDPR, la possibilità di addebitare la carta viene eliminata automaticamente poco dopo la data della prenotazione, tramite un processo automatizzato che rimuove il metodo di pagamento dal sistema. Trascorso tale termine, la possibilità di addebito viene eliminata automaticamente per tutte le prenotazioni per le quali non sia stato necessario esercitare la funzione di garanzia.
Trasferimento dei dati a terzi
Stripe agisce in qualità di responsabile del trattamento ai sensi dell’art. 28 GDPR. Il trasferimento dei dati verso Stripe, ove avvenga al di fuori dello Spazio Economico Europeo, è disciplinato dalle Clausole Contrattuali Standard approvate dalla Commissione Europea. L’informativa privacy di Stripe è consultabile all’indirizzo: https://stripe.com/it/privacy
Diritti dell’interessato
L’interessato può in qualsiasi momento, e prima della data della prenotazione, richiedere la cancellazione del metodo di pagamento salvato contattando direttamente il ristorante. Decorsa la data della prenotazione, la cancellazione avviene automaticamente come descritto sopra. L’interessato ha inoltre diritto di accesso, rettifica, cancellazione dei propri dati ai sensi degli artt. 15-22 GDPR, esercitabili contattando il ristorante ai recapiti indicati nella conferma di prenotazione.