Informativa Privacy

Il titolare del trattamento dei dati personali è Grata Oy, società di diritto finlandese con sede in Helsinki, Finland, Y-tunnus 0756383-4 (VAT EU FI07563834), operatrice della piattaforma tavolameet.com.

Per esercitare i diritti previsti dal GDPR o per qualsiasi questione relativa al trattamento dei dati, è possibile contattare il titolare scrivendo a privacy@tavolameet.com.

A seconda dell'interazione con la Piattaforma, TavolaMeet tratta le seguenti categorie di dati:

• Dati di registrazione: nome, cognome, email, password (cifrata con bcrypt), ruolo (Guest/Host/Admin), lingua preferita.
• Dati di profilo: foto profilo, città di operatività, descrizione, recapiti.
• Dati di pagamento: gestiti integralmente da Stripe Payments Europe Ltd. TavolaMeet non memorizza dati di carta. Memorizza solo identificativi Stripe (customer ID, charge ID).
• Dati Host aggiuntivi: indirizzo di svolgimento eventi, P.IVA (per Host Ristoratore), dati onboarding Stripe Connect, verifica identità Stripe Identity.
• Contenuti generati: descrizioni eventi, foto del cibo e della location, recensioni, segnalazioni.
• Dati tecnici: indirizzo IP, user-agent, timestamp di accesso, log di sicurezza, accettazioni dei termini con prova legale (versione + IP + UA).

3.1Esecuzione del contratto (art. 6.1.b GDPR): gestione account, prenotazioni, pagamenti, comunicazioni transazionali (conferme, ricevute, promemoria).

3.2Obbligo legale (art. 6.1.c GDPR): conservazione fatture e rendicontazioni fiscali (10 anni), audit trail consenso GDPR, KYC anti-riciclaggio per pagamenti.

3.3Legittimo interesse (art. 6.1.f GDPR): prevenzione frodi, sicurezza della Piattaforma, moderazione tramite sistema di segnalazioni, statistiche aggregate interne.

I dati possono essere comunicati ai seguenti soggetti, nominati responsabili del trattamento ex art. 28 GDPR:

• Stripe Payments Europe Ltd. (Irlanda) — elaborazione pagamenti, KYC Host, verifica identità.
• Resend, Inc. (USA) — invio email transazionali. Trasferimento con Standard Contractual Clauses.
• Cloudflare, Inc. (USA) — hosting foto e oggetti statici (R2). Trasferimento con Standard Contractual Clauses.
• Hostinger International Ltd. (Cipro) — hosting applicazione e database PostgreSQL.
• Autorità giudiziarie e di polizia — solo su richiesta legale formale.

• Dati account: per tutta la durata dell'account, più 12 mesi dalla cancellazione per ragioni di sicurezza.
• Dati di prenotazione e fatturazione: 10 anni (obbligo civile e fiscale italiano).
• Log di sicurezza e audit trail consensi: 5 anni.
• Recensioni e contenuti pubblici: rimangono visibili anche dopo cancellazione account, in forma anonimizzata.

L'interessato può esercitare in qualsiasi momento i diritti previsti dagli artt. 15-22 GDPR, scrivendo a privacy@tavolameet.com:

• diritto di accesso ai propri dati;
• diritto di rettifica;
• diritto alla cancellazione (oblio), compatibilmente con gli obblighi legali di conservazione;
• diritto di limitazione del trattamento;
• diritto alla portabilità;
• diritto di opposizione;
• diritto di proporre reclamo al Garante per la protezione dei dati personali (garanteprivacy.it).

Alcuni fornitori (Stripe Identity USA, Resend, Cloudflare) operano al di fuori dello Spazio Economico Europeo. I trasferimenti avvengono sulla base di Standard Contractual Clauses approvate dalla Commissione Europea (Decisione 2021/914).

TavolaMeet adotta misure tecniche e organizzative adeguate: cifratura delle password con bcrypt, HTTPS con TLS 1.3 ovunque, isolation di rete del database, accessi tramite chiave SSH, logging degli accessi amministrativi, backup giornalieri.

La presente Informativa può essere aggiornata in qualsiasi momento; eventuali modifiche sostanziali saranno notificate via email con preavviso di 15 giorni.