Informativa sulla privacy
Informazioni generali
1. Panoramica e ambito di applicazione
La presente informativa sulla privacy si applica al sito web di Westios UG (haftungsbeschränkt) (di seguito "Westios"), ai siti dimostrativi del prodotto forniti da Westios, nonché al nostro software "Vintner", inclusa l’app cassa mobile "Vintner POS". Trattiamo i dati personali nel rispetto del Regolamento generale sulla protezione dei dati (GDPR) e della legge federale tedesca sulla protezione dei dati (BDSG).
2. Titolare del trattamento
Westios UG (haftungsbeschränkt)
Baaderstr. 50, 80469 Monaco di Baviera, Germania
Rappresentata da: Tim Westhoff
E-mail: datenschutz@westios.com
3. Diritti degli interessati
Lei ha il diritto di accesso (art. 15 GDPR), rettifica (art. 16), cancellazione (art. 17), limitazione del trattamento (art. 18), portabilità dei dati (art. 20) e opposizione al trattamento (art. 21). Può revocare in qualsiasi momento un consenso prestato, con effetto per il futuro. È sufficiente una comunicazione informale a datenschutz@westios.com.
Ha inoltre il diritto di proporre reclamo a un’autorità di controllo. L’autorità competente è l’Ufficio statale bavarese per la vigilanza sulla protezione dei dati (BayLDA), Promenade 18, 91522 Ansbach, Germania (www.lda.bayern.de).
Sito web e contatto
4. Hosting e file di log del server (Vercel)
Il nostro sito web è ospitato dal fornitore Vercel Inc. (340 S Lemon Ave #4133, Walnut, CA 91789, USA); l’applicazione è gestita prevalentemente nella regione UE (Irlanda). A ogni accesso vengono registrati, per motivi tecnici, dati di log del server (tra cui tipo e versione del browser, sistema operativo, URL di provenienza, indirizzo IP, data e ora dell’accesso). Il trattamento si basa sul nostro legittimo interesse a un funzionamento sicuro e stabile (art. 6, par. 1, lett. f GDPR). Con Vercel è in essere un accordo sul trattamento dei dati; nella misura in cui i dati vengono trasferiti negli USA, ciò avviene sulla base delle Clausole contrattuali tipo dell’UE.
5. Modulo di contatto
Se ci contatta tramite il modulo di contatto, trattiamo i Suoi dati (nome, indirizzo e-mail, eventualmente azienda e messaggio) per gestire la Sua richiesta. Per l’invio utilizziamo il servizio e-mail Azure Communication Services (ACS) di Microsoft Corporation, gestito tramite la regione europea di Azure. Con Microsoft è in essere un accordo sul trattamento dei dati ai sensi dell’art. 28 GDPR.
La base giuridica è il nostro legittimo interesse a rispondere (art. 6, par. 1, lett. f GDPR) oppure l’art. 6, par. 1, lett. b GDPR se la richiesta è finalizzata a un contratto. I dati vengono cancellati quando non sono più necessari e non sussistono obblighi legali di conservazione.
Amministrazione Vintner (web) – Accesso con Google
6. Accesso con Google (Sign in with Google)
L’area di amministrazione del nostro software "Vintner" consente agli amministratori e al personale della cantina di accedere con il proprio account Google ("Sign in with Google"). L’uso di questa funzione è facoltativo; in alternativa è disponibile l’accesso con indirizzo e-mail e password.
Dati utente Google a cui accediamo (Data Accessed): quando accede con Google, tramite gli ambiti di accesso standard "openid", "email" e "profile" accediamo ai seguenti dati del Suo account Google: il Suo indirizzo e-mail, il Suo nome, la Sua immagine del profilo e l’identificativo univoco del Suo account Google. Non accediamo a Gmail, Google Drive, contatti, calendario o ad altri servizi Google.
Come utilizziamo i dati utente Google (Data Usage): questi dati sono utilizzati esclusivamente per l’autenticazione, ossia per stabilire la Sua identità, associarLa all’account utente autorizzato per la relativa area di amministrazione e concederLe l’accesso. Il Suo indirizzo e-mail e il Suo nome sono conservati nell’account amministratore associato. Non utilizziamo questi dati a fini pubblicitari, non creiamo profili, non li vendiamo e non li condividiamo con terzi; vengono trasmessi unicamente al nostro fornitore di autenticazione Supabase (vedi sezione 11) nella misura tecnicamente necessaria per l’accesso. L’uso delle informazioni ottenute tramite le API di Google è conforme alla Google API Services User Data Policy, inclusi i relativi requisiti di Limited Use.
La base giuridica è l’art. 6, par. 1, lett. b GDPR (fornitura dell’accesso all’area di amministrazione) oppure l’art. 6, par. 1, lett. f GDPR (legittimo interesse a un accesso sicuro). Il fornitore è Google Ireland Limited, Gordon House, Barrow Street, Dublino 4, Irlanda.
Vintner POS (app cassa mobile)
7. Vintner POS (app cassa)
Vintner POS è la nostra app cassa mobile con cui il personale di una cantina gestisce le vendite in loco. Durante l’uso trattiamo: (a) dati di accesso del personale (indirizzo e-mail, autenticazione) per proteggere l’accesso; (b) dati di vendita e d’ordine (articoli, importi, data e ora); (c) dati del cliente inseriti per uno scontrino o una fattura (nome e, se forniti, indirizzo e-mail, codice fiscale e codice lotteria).
Per i dati del cliente raccolti in vendita, la cantina interessata è il titolare del trattamento; Westios agisce come responsabile del trattamento ai sensi dell’art. 28 GDPR. Non riceviamo né conserviamo in alcun momento i dati completi della carta.
8. Gestione dei pagamenti (Stripe)
I pagamenti con carta e contactless (incluso Tap to Pay su iPhone e Android) sono gestiti tramite Stripe. Il conto Stripe utilizzato per un pagamento appartiene alla cantina interessata; la cantina è il beneficiario del pagamento (merchant of record) e Stripe è il suo prestatore di servizi di pagamento indipendente. Westios fornisce esclusivamente il software e non è parte del pagamento.
Stripe tratta direttamente i dati della carta; noi riceviamo solo l’esito del pagamento (riuscito o non riuscito, un riferimento ed eventualmente le ultime cifre della carta). Il fornitore è Stripe Payments Europe, Ltd. (Irlanda) o Stripe, Inc. (USA); si applica l’informativa sulla privacy di Stripe: https://stripe.com/privacy.
9. Documenti commerciali e fatture elettroniche
Per l’emissione del documento commerciale o della fattura elettronica previsti dalla legge, i dati della transazione e — se forniti — i dati fiscali del cliente vengono trasmessi all’amministrazione finanziaria competente tramite il nostro fornitore openapi.it. La base giuridica è l’adempimento di un obbligo legale (art. 6, par. 1, lett. c GDPR).
10. Diagnostica dell’app, report sui crash e identificatori del dispositivo (app mobile)
Per garantire la stabilità della nostra app mobile "Vintner POS" e correggere gli errori, raccogliamo dati diagnostici e di crash. A tal fine utilizziamo il servizio Sentry (Functional Software, Inc.). Vengono trattate informazioni tecniche quali log dei crash, messaggi di errore, versione dell’app, informazioni sul sistema operativo e sul dispositivo (tipo/modello del dispositivo) e uno o più identificatori del dispositivo. Questi dati sono utilizzati esclusivamente per rilevare, diagnosticare e correggere gli errori e per migliorare l’affidabilità dell’app; non sono utilizzati a fini pubblicitari e non sono venduti.
Inoltre, dati di crash e diagnostici possono essere raccolti automaticamente dal gestore dello store (Google Play) e dal sistema operativo del dispositivo. Per motivi di sicurezza e di prevenzione delle frodi nei pagamenti con carta, anche l’SDK di pagamento di Stripe può trattare identificatori del dispositivo (vedi sezione 8). La trasmissione di questi dati avviene tramite connessione crittografata (SSL/TLS).
La base giuridica è il nostro legittimo interesse a un funzionamento stabile, sicuro e privo di errori dell’app (art. 6, par. 1, lett. f GDPR). Sentry è gestito, ove possibile, nella regione UE; nella misura in cui i dati vengono trasferiti negli USA, ciò avviene sulla base delle Clausole contrattuali tipo dell’UE.
Servizi condivisi e sicurezza
11. Archiviazione dei dati (Supabase)
I dati della piattaforma e dell’app sono archiviati in un database e in un archivio file del fornitore Supabase, Inc.; i dati sono conservati all’interno dell’Unione Europea. Con Supabase è in essere un accordo sul trattamento dei dati ai sensi dell’art. 28 GDPR.
12. Panoramica dei responsabili del trattamento
- Google Ireland Limited — autenticazione tramite "Sign in with Google" (solo openid/email/profile; accesso facoltativo all’area di amministrazione)
- Sentry (Functional Software, Inc.) — report sui crash e diagnostica dell’app mobile (monitoraggio degli errori; regione UE ove possibile, Clausole contrattuali tipo dell’UE)
- Vercel Inc. — hosting (società statunitense, trattamento preferenziale nell’UE; Clausole contrattuali tipo dell’UE)
- Microsoft / Azure Communication Services — invio e-mail per il modulo di contatto (regione UE; Clausole contrattuali tipo dell’UE)
- Supabase, Inc. — database e archivio file (dati conservati nell’UE; Clausole contrattuali tipo dell’UE)
- Stripe Payments Europe, Ltd. / Stripe, Inc. — gestione dei pagamenti quale prestatore di servizi di pagamento indipendente della cantina
- openapi.it — emissione di documenti commerciali e fatture elettroniche (Italia/UE)
13. Crittografia SSL/TLS
Per motivi di sicurezza questo sito web utilizza la crittografia SSL/TLS, riconoscibile dal simbolo del lucchetto nella barra degli indirizzi del browser e da "https://".
14. Conservazione
I dati personali vengono cancellati quando viene meno la finalità del trattamento e non sussistono obblighi legali di conservazione. I file di log del server vengono generalmente cancellati dopo un breve periodo (di norma 30 giorni).