Apira Torna al sito

Informativa privacy

Privacy Policy

Ultimo aggiornamento: 3 giugno 2026 · Versione 1.2 · Resa ai sensi degli artt. 13 e 14 del Regolamento UE 2016/679 (GDPR)

In questa pagina

  • 1. Titolare del trattamento
  • 2. Tipologie di utenti e dati trattati
  • 3. Finalità e basi giuridiche
  • 4. Trattamento tramite intelligenza artificiale
  • 5. Destinatari e sub-responsabili
  • 6. Trasferimenti extra-UE
  • 7. Tempi di conservazione
  • 8. Diritti dell'interessato
  • 9. Misure di sicurezza
  • 10. Minori
  • 11. Modifiche alla policy
  • 12. Contatti e reclami

1. Titolare del trattamento

Il titolare del trattamento dei dati personali raccolti tramite il servizio Apira è:

  • Rocco Colonna, persona fisica
  • Email: info@apira.it
  • Sito web: https://apira.it

Il titolare opera attualmente come persona fisica in fase di pre-avvio dell'attività commerciale. Al momento dell'apertura della partita IVA o della costituzione di società, la presente sezione verrà aggiornata con la denominazione legale, la sede e gli ulteriori dati identificativi.

Responsabile della protezione dei dati (DPO). Apira non ha attualmente l'obbligo di nominare un DPO ai sensi dell'art. 37 GDPR, in quanto non effettua trattamento sistematico su larga scala né tratta categorie particolari di dati. Per qualsiasi questione relativa alla privacy è possibile contattare direttamente il titolare all'indirizzo info@apira.it.

2. Tipologie di utenti e dati trattati

Apira distingue due categorie di utenti, ciascuna soggetta a un trattamento dati differenziato.

2.1 Ristoratori (utenti registrati)

Sono i titolari di ristoranti che si registrano al servizio per gestire il proprio menu digitale. In fase di registrazione vengono richiesti i seguenti dati:

  • Indirizzo email
  • Password (memorizzata esclusivamente in forma cifrata, non recuperabile in chiaro)
  • Nome del ristorante
  • Indirizzo del ristorante

Durante l'utilizzo del servizio, il ristoratore può inserire ulteriori informazioni relative alla propria attività (orari di apertura, descrizione, immagini dei piatti, contenuti del menu). Tali informazioni costituiscono contenuto pubblico del menu digitale e sono destinate a essere visualizzate dai clienti finali.

Dati di pagamento. Apira non raccoglie né tratta dati di pagamento dei propri ristoratori. La fase di sottoscrizione a pagamento del servizio non è attualmente attiva (servizio in beta gratuita). Quando verrà introdotta, l'elaborazione dei pagamenti sarà delegata a un fornitore esterno specializzato (payment processor), che agirà come autonomo titolare del trattamento per i propri scopi specifici.

2.2 Clienti finali (visitatori del menu)

Sono le persone che consultano il menu digitale di un ristorante tramite QR code, senza dover effettuare alcuna registrazione.

Per la consultazione del menu e per l'utilizzo delle funzionalità di base (composizione di un ordine, scelta della lingua, indicazione del numero di coperti) Apira non raccoglie dati personali identificativi del cliente finale. Non vengono richiesti nome, email, telefono né alcun dato di pagamento.

Le informazioni relative al carrello, alla lingua e ai coperti vengono memorizzate esclusivamente sul dispositivo del cliente (archiviazione locale del browser), come descritto nella Cookie Policy.

2.3 Recensioni del ristorante

Il cliente finale può facoltativamente lasciare una recensione del ristorante. La recensione consiste in:

  • Una valutazione numerica (stelle)
  • Risposte a domande a scelta multipla predefinite
  • Un eventuale commento testuale libero, fornito su base esclusivamente volontaria

La recensione è anonima per impostazione predefinita: non viene richiesta l'identità del cliente. Qualora il cliente decida di includere informazioni personali nel commento testuale libero, tali informazioni verranno trattate come parte della recensione e potranno essere visualizzate dal ristoratore. Si invita pertanto a non inserire dati personali identificativi (propri o di terzi) nel campo libero della recensione.

L'indirizzo IP del dispositivo da cui viene inviata la recensione viene utilizzato in modo transitorio esclusivamente per finalità di prevenzione degli abusi (limitazione del numero di recensioni inviabili nell'unità di tempo). L'IP non viene memorizzato in forma persistente collegata alla singola recensione.

3. Finalità e basi giuridiche del trattamento

Finalità Base giuridica
Registrazione e gestione dell'account ristoratore, erogazione del servizio Apira Art. 6, par. 1, lett. b) GDPR — esecuzione del contratto di servizio
Invio di email transazionali al ristoratore (conferma registrazione, reimpostazione password, notifiche operative) Art. 6, par. 1, lett. b) GDPR — esecuzione del contratto
Adempimento di obblighi di legge (fiscali, tributari, di sicurezza, di risposta a richieste delle autorità) Art. 6, par. 1, lett. c) GDPR — obbligo legale
Erogazione del menu pubblico al cliente finale e funzionamento del carrello locale Art. 6, par. 1, lett. f) GDPR — interesse legittimo all'erogazione del servizio richiesto
Prevenzione di abusi, frodi e attività malevole sul servizio (rate limiting, controlli antibot) Art. 6, par. 1, lett. f) GDPR — interesse legittimo alla sicurezza del servizio
Pubblicazione delle recensioni dei clienti finali nell'area gestionale del ristoratore Art. 6, par. 1, lett. f) GDPR — interesse legittimo (servizio richiesto dal ristoratore)
Eventuale invio di comunicazioni commerciali non strettamente legate al contratto Art. 6, par. 1, lett. a) GDPR — consenso espresso e revocabile

4. Trattamento tramite intelligenza artificiale

Per offrire la funzionalità di traduzione automatica del menu in lingue diverse dall'italiano, Apira si avvale del fornitore AI specializzato Anthropic PBC, indicato nella sezione 5. Tale funzionalità è parte integrante del Servizio e si attiva quando il ristoratore richiede la generazione o l'aggiornamento delle traduzioni del proprio menu nelle lingue supportate.

Quando viene effettuata una traduzione, al fornitore AI vengono trasmessi esclusivamente i contenuti pubblici del menu oggetto dell'elaborazione (nome del ristorante, nomi e descrizioni di categorie, piatti e aggiunte). Non vengono mai trasmessi dati personali identificativi del ristoratore, dati di clienti finali, recensioni, contenuti del carrello, ordini o credenziali.

Apira ha sottoscritto con il fornitore AI un accordo di trattamento dei dati (DPA) e clausole contrattuali standard (SCC) approvate dalla Commissione Europea (Decisione di esecuzione UE 2021/914) per garantire la conformità del trasferimento di dati al di fuori dell'Unione Europea. Le impostazioni del rapporto contrattuale escludono in modo esplicito l'utilizzo dei contenuti trasmessi per l'addestramento di modelli, per finalità di feedback umano o per programmi di sviluppo del fornitore.

I contenuti trasmessi al fornitore AI sono conservati dal fornitore stesso per un periodo limitato (30 giorni) ai fini di sicurezza operativa e abuse prevention, dopodiché vengono eliminati automaticamente.

Decisione automatizzata. Il trattamento tramite AI di Apira non comporta alcuna decisione automatizzata ai sensi dell'art. 22 GDPR. L'output dell'AI (la traduzione) viene salvato a corredo del menu del ristoratore, che può modificarlo o sovrascriverlo liberamente intervenendo sui contenuti del menu. Non vi è alcun profilo automatico né processo decisionale che produca effetti giuridici o significativi nei confronti dell'interessato.

5. Destinatari e sub-responsabili del trattamento

Per l'erogazione del servizio, Apira si avvale di fornitori esterni qualificati, che agiscono in qualità di responsabili del trattamento ai sensi dell'art. 28 GDPR (sub-processors). Tutti i fornitori sono stati selezionati anche in base alle garanzie di sicurezza e conformità GDPR offerte, e sono stati formalizzati con appositi contratti di trattamento dati.

Fornitore Sede Finalità
Render Inc. Germania (Francoforte) — server di erogazione Hosting dell'applicazione e archiviazione dei dati di servizio
OVH Cloud / Zimbra Francia (Roubaix) Gestione dominio, DNS e casella di posta istituzionale
Sendinblue SAS (Brevo) Francia (Parigi) Recapito email transazionali (es. reimpostazione password)
Anthropic PBC Stati Uniti (San Francisco) Modello di linguaggio per funzionalità AI sui contenuti del menu (vedi sez. 4)

I dati personali possono inoltre essere comunicati ad autorità pubbliche, organi di vigilanza, forze dell'ordine o autorità giudiziarie, qualora previsto da obblighi di legge o in risposta a richieste legittime.

Apira non vende e non condivide i dati personali dei propri utenti per finalità commerciali di soggetti terzi.

6. Trasferimenti di dati al di fuori dell'Unione Europea

La maggior parte dei dati trattati da Apira è conservata su server situati nell'Unione Europea (Germania e Francia), come indicato nella sezione 5.

Il solo trasferimento al di fuori dell'UE riguarda l'utilizzo facoltativo del fornitore AI (Anthropic PBC, Stati Uniti) per le funzionalità di traduzione e generazione contenuti descritte nella sezione 4. Tale trasferimento è coperto dalle Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea (Decisione di esecuzione UE 2021/914) e da un accordo di trattamento dati (DPA) sottoscritto con il fornitore, che impone garanzie di sicurezza e limitazioni d'uso conformi al GDPR.

I dati trasferiti al fornitore AI sono limitati ai soli contenuti pubblici del menu (denominazione del ristorante, nomi e descrizioni di categorie, piatti e aggiunte). Non vengono trasferiti dati personali identificativi del ristoratore né alcun dato di clienti finali, recensioni o ordini.

7. Tempi di conservazione

Tipologia di dato Periodo di conservazione
Dati dell'account ristoratore (anagrafica, credenziali, ristorante) Per tutta la durata del rapporto contrattuale, ed entro 30 giorni dalla cancellazione dell'account dai sistemi attivi (eventuali copie di backup vengono sovrascritte ciclicamente)
Contenuti del menu pubblicati Per tutta la durata dell'account; eliminati alla chiusura
Recensioni dei clienti finali Per tutta la durata dell'account del ristorante a cui si riferiscono; eliminate alla chiusura
Email transazionali (log di recapito) Periodo di retention del fornitore di posta transazionale, generalmente non superiore a 30 giorni
Contenuti elaborati dal fornitore AI 30 giorni presso il fornitore, dopodiché eliminati automaticamente
Indirizzo IP utilizzato per il controllo degli abusi (rate limiting) Conservazione temporanea in memoria per la durata della finestra di controllo (al massimo un'ora). Eventuali log tecnici della piattaforma di hosting sono conservati secondo le politiche del fornitore.
Dati per cui sussistono obblighi di legge (es. fiscali, fatturazione futura) Per la durata prevista dalla normativa applicabile (generalmente 10 anni per la documentazione contabile, una volta avviata l'attività commerciale)

8. Diritti dell'interessato

In conformità agli artt. 15-22 del GDPR, l'interessato ha diritto di:

  • Accesso (art. 15): ottenere conferma dell'esistenza di un trattamento dei propri dati e ricevere copia degli stessi.
  • Rettifica (art. 16): ottenere la correzione di dati inesatti o l'integrazione di dati incompleti.
  • Cancellazione (art. 17): ottenere la cancellazione dei propri dati, nei casi previsti dalla normativa (diritto all'oblio).
  • Limitazione (art. 18): ottenere la limitazione del trattamento in determinate ipotesi.
  • Portabilità (art. 20): ricevere i propri dati in un formato strutturato, di uso comune e leggibile da dispositivo automatico, e trasmetterli ad altro titolare.
  • Opposizione (art. 21): opporsi al trattamento dei propri dati per motivi legati alla propria situazione particolare, qualora il trattamento si basi sull'interesse legittimo.
  • Revoca del consenso (art. 7, par. 3): revocare in qualsiasi momento il consenso prestato, senza pregiudizio della liceità del trattamento basato sul consenso prima della revoca.
  • Non essere sottoposto a decisioni automatizzate (art. 22): non essere sottoposto a una decisione basata unicamente su trattamento automatizzato (Apira non effettua tali decisioni — vedi sez. 4).

Per esercitare i propri diritti, l'interessato può scrivere all'indirizzo info@apira.it. Apira si impegna a rispondere entro i termini previsti dal GDPR (di norma 30 giorni, eventualmente prorogabili a 60 giorni in casi particolarmente complessi, con preavviso motivato).

L'esercizio dei diritti è gratuito. Apira può richiedere un contributo spese ragionevole o rifiutare di dar seguito alla richiesta solo nei casi espressamente previsti dal GDPR (richieste manifestamente infondate o eccessive).

9. Misure di sicurezza

Apira adotta misure tecniche e organizzative appropriate per garantire un livello di sicurezza adeguato al rischio, ai sensi dell'art. 32 GDPR. Tali misure includono, tra le altre:

  • Trasmissione dei dati esclusivamente tramite connessioni cifrate (HTTPS/TLS)
  • Conservazione delle password degli utenti in forma cifrata e non reversibile
  • Controlli di accesso basati su autenticazione e meccanismi anti brute-force
  • Limitazione dell'accesso ai dati ai soli soggetti autorizzati
  • Adozione di intestazioni di sicurezza HTTP (CSP, HSTS, X-Frame-Options e analoghe)
  • Selezione di fornitori (sub-processors) qualificati e contrattualizzazione di garanzie GDPR
  • Procedure di backup periodico dei dati di servizio

Nessuna misura di sicurezza è in grado di garantire l'inviolabilità assoluta. In caso di violazione di dati personali (data breach) che comporti un rischio per i diritti e le libertà degli interessati, Apira si impegna a notificare il fatto all'autorità di controllo entro 72 ore, e a comunicarlo agli interessati senza ingiustificato ritardo, nei casi previsti dall'art. 34 GDPR.

10. Minori

Il servizio Apira è destinato a utenti maggiorenni (ristoratori titolari di esercizi commerciali). Apira non raccoglie consapevolmente dati personali di minori di anni 14 (soglia italiana ai sensi dell'art. 2-quinquies del Codice Privacy).

Il menu pubblico è invece consultabile da chiunque acceda al QR code del ristorante. Per la consultazione del menu, come indicato, Apira non raccoglie dati personali identificativi del visitatore.

11. Modifiche alla presente policy

Apira si riserva il diritto di modificare la presente Privacy Policy in qualsiasi momento, ad esempio per adeguarla a evoluzioni normative, per riflettere modifiche al servizio o per aggiungere nuovi fornitori. La data di ultimo aggiornamento è sempre indicata in cima alla pagina.

In caso di modifiche sostanziali che impattino in modo significativo sui diritti degli interessati, gli utenti registrati verranno informati via email con congruo preavviso e, ove necessario, sarà richiesto un nuovo consenso.

12. Contatti e reclami

Per qualsiasi domanda, richiesta o esercizio dei diritti previsti dal GDPR, l'interessato può scrivere a:

  • Email: info@apira.it

L'interessato ha inoltre diritto di proporre reclamo al Garante per la protezione dei dati personali, autorità di controllo italiana competente, con sede in Piazza Venezia n. 11 — 00187 Roma, oppure tramite le modalità indicate sul sito www.garanteprivacy.it, qualora ritenga che il trattamento dei propri dati violi la normativa applicabile.

Per ogni eventuale controversia non risolvibile in via amichevole, è competente in via esclusiva il Foro di Torino.

Vuoi sapere quali tecnologie tecniche utilizziamo? Vai alla Cookie Policy →

© 2026 Apira. Tutti i diritti riservati.

  • Home
  • Privacy Policy
  • Cookie Policy
  • Termini di servizio