Privacy Policy

1. Titolare del Trattamento

Il Titolare del trattamento dei dati personali e':

Foolyx e' una piattaforma SaaS (Software as a Service) per la gestione intelligente della ristorazione, sviluppata e gestita da Sociallibreria Srl.

2. Dati Personali Raccolti

Foolyx raccoglie e tratta le seguenti categorie di dati personali, in funzione del ruolo dell'utente e delle funzionalita utilizzate:

2.1 Dati dell'Account Utente

• Nome e cognome
• Indirizzo email
• Numero di telefono
• Password (conservata in forma crittografata con hashing)
• Avatar/immagine profilo
• Preferenza lingua
• Data e ora dell'ultimo accesso

2.2 Dati dell'Azienda

• Ragione sociale, Partita IVA, Codice Fiscale
• Codice SDI e PEC
• Indirizzo sede legale (via, CAP, citta, provincia)
• Email e telefono aziendali
• Logo aziendale
• Dati del rappresentante legale (nome, cognome, codice fiscale, documento di identita)
• Piano di abbonamento e dati di fatturazione

2.3 Dati dei Collaboratori/Dipendenti

Inseriti dall'azienda nella gestione del personale:

• Dati anagrafici: nome, cognome, codice fiscale, data e luogo di nascita, nazionalita
• Dati di contatto: indirizzo, email, telefono
• Dati contrattuali: tipo contratto, data assunzione, mansione, livello, CCNL, ore settimanali
• Dati retributivi: stipendio lordo, buoni pasto, IBAN
• Dati di presenza: timbrature (entrata/uscita), ore lavorate, straordinari, ferie, permessi, malattia
• Buste paga: importi lordi/netti, trattenute INPS, IRPEF, addizionali
• TFR e CUD/Certificazione Unica

Email obbligatoria: l'indirizzo email del collaboratore e' un dato obbligatorio, necessario per l'accesso al sistema e per l'invio delle comunicazioni di servizio (buste paga, CUD, comunicazioni aziendali). Senza un indirizzo email valido non e' possibile creare un account collaboratore.

2.3.1 Dati GPS per Timbratura Presenze

Foolyx utilizza la geolocalizzazione (GPS) del dispositivo del collaboratore al momento della timbratura delle presenze, al fine di verificare che la timbratura avvenga entro il raggio autorizzato della sede del punto vendita.

• Il rilevamento GPS avviene esclusivamente al momento della timbratura (entrata e uscita) e non comporta un tracciamento continuo della posizione del collaboratore.
• I dati di posizione sono utilizzati per il monitoraggio delle presenze dello staff in tempo reale (verifica di chi e' in servizio e individuazione di eventuali anomalie).
• I dati GPS sono conservati esclusivamente per il tempo necessario alla verifica della timbratura e alla gestione delle presenze.
• Il trattamento avviene sulla base dell'art. 6(1)(f) del GDPR (legittimo interesse del datore di lavoro alla corretta gestione delle presenze) e in conformita con le disposizioni dello Statuto dei Lavoratori (L. 300/1970) e del D.Lgs. 151/2015.

2.4 Dati dei Clienti del Ristorante

• Nome, cognome, email, telefono (per prenotazioni)
• Storico prenotazioni
• Eventuali note inserite dal ristoratore

2.5 Dati Finanziari e Contabili

• Fatture di acquisto (XML e PDF), importi, stato pagamento
• Vendite giornaliere, scontrini (con eventuale OCR)
• Spese operative e relative ricevute
• Movimenti bancari (importati da CSV/PDF)
• Coordinate bancarie (IBAN) di fornitori e collaboratori

2.5.1 Analisi Scontrini tramite Intelligenza Artificiale

Le immagini degli scontrini caricate sulla piattaforma vengono analizzate tramite intelligenza artificiale (Claude di Anthropic) al fine di estrarre automaticamente i dati contenuti, tra cui: articoli venduti, prezzi, sconti applicati e aliquote IVA.

• Le immagini degli scontrini sono conservate su server sicuri situati nell'Unione Europea e non vengono condivise con soggetti terzi.
• I dati estratti (articoli, importi, IVA) sono utilizzati esclusivamente per la contabilita aziendale e la gestione operativa del punto vendita.
• Il trattamento avviene sulla base dell'art. 6(1)(b) del GDPR (esecuzione del contratto) e dell'art. 6(1)(f) (legittimo interesse alla corretta gestione contabile).

2.5.2 Notifiche Finanziarie Automatiche

Foolyx invia notifiche automatiche via email agli amministratori dell'azienda in caso di differenze rilevate tra la chiusura di cassa e gli scontrini registrati.

• Le notifiche contengono importi e dettagli suddivisi per categoria (somministrazione, bevande, vendita, ecc.).
• Tali notifiche hanno lo scopo di garantire la corretta gestione contabile e la tempestiva individuazione di eventuali anomalie.
• Il trattamento avviene sulla base dell'art. 6(1)(f) del GDPR (legittimo interesse alla corretta gestione finanziaria).

2.5.3 Notifiche Push

Foolyx utilizza notifiche push del browser per comunicazioni di servizio in tempo reale.

• Dati raccolti per le notifiche push: endpoint del dispositivo, chiavi di autenticazione (p256dh, auth).
• Tali dati sono utilizzati esclusivamente per l'invio di notifiche di servizio relative all'attivita dell'azienda (ordini, approvazioni, alert operativi).
• L'utente puo' disattivare le notifiche push in qualsiasi momento dalle impostazioni del proprio browser. La revoca del consenso comporta la cancellazione immediata dei dati di sottoscrizione.
• Il trattamento avviene sulla base dell'art. 6(1)(a) del GDPR (consenso dell'interessato).

2.5.4 Dashboard Analytics e Dati Aggregati di Vendita

Foolyx offre una dashboard analytics con visualizzazione di dati aggregati di vendita per analisi business.

• I dati includono: grafici vendite giornaliere/mensili, confronto tra mesi, classifica piatti piu' venduti, andamento ricavi per categoria.
• I dati visualizzati sono aggregati e anonimizzati e non contengono dati personali dei clienti del ristorante.
• L'accesso alla dashboard analytics e' riservato esclusivamente all'amministratore dell'azienda e agli utenti da lui autorizzati.
• Il trattamento avviene sulla base dell'art. 6(1)(f) del GDPR (legittimo interesse alla gestione e ottimizzazione dell'attivita commerciale).

2.6 Dati dei Fornitori

• Ragione sociale, P.IVA, Codice Fiscale, SDI, PEC
• Contatti e indirizzo
• Coordinate bancarie (IBAN)
• Condizioni di pagamento e rating

2.7 Dati Tecnici e di Navigazione

• Indirizzo IP
• User Agent del browser
• Dati di sessione
• Log di audit (azioni eseguite nella piattaforma)

3. Finalita del Trattamento

I dati personali sono trattati per le seguenti finalita:

4. Conservazione dei Dati

I dati personali sono conservati per il tempo strettamente necessario alle finalita per cui sono stati raccolti:

• Dati account: per tutta la durata del rapporto contrattuale, e fino a 30 giorni dopo la cancellazione dell'account.
• Dati contabili e fiscali (fatture, buste paga, CUD, TFR): 10 anni dalla data di emissione, in conformita con l'art. 2220 del Codice Civile e la normativa fiscale italiana.
• Dati dei collaboratori: per tutta la durata del rapporto di lavoro e fino a 5 anni dalla cessazione (termine di prescrizione dei crediti da lavoro).
• Log di audit e dati tecnici: 12 mesi dalla data di registrazione.
• Dati di navigazione (sessioni): fino alla scadenza della sessione o al logout.
• Dati dei clienti del ristorante: per tutta la durata dell'account aziendale, salvo richiesta di cancellazione.

5. Condivisione e Destinatari dei Dati

I dati personali possono essere comunicati a:

• Stripe, Inc. — per l'elaborazione dei pagamenti e la gestione degli abbonamenti. Stripe agisce come Responsabile del trattamento (Data Processor) ed e' conforme al GDPR. Privacy Policy di Stripe.
• Provider di hosting cloud — per l'archiviazione dei dati sui server. I server sono situati nell'Unione Europea.
• Provider SDI (Fatture in Cloud, Aruba, TeamSystem, Agenzia delle Entrate) — esclusivamente per la trasmissione e ricezione di fatture elettroniche, su configurazione dell'utente.
• Autorita competenti — quando richiesto dalla legge o da provvedimenti dell'autorita giudiziaria.

I dati personali NON sono venduti a terzi e NON sono utilizzati per profilazione commerciale esterna alla piattaforma.

6. Trasferimento dei Dati Extra-UE

I dati sono conservati su server situati nell'Unione Europea. In caso di utilizzo di servizi di terze parti che comportino il trasferimento di dati al di fuori dell'UE (es. Stripe), il trasferimento avviene in conformita con le garanzie previste dal GDPR, incluse le Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea e/o il EU-US Data Privacy Framework.

7. Diritti dell'Interessato

Ai sensi degli articoli 15-22 del Regolamento (UE) 2016/679 (GDPR), l'interessato ha diritto di:

Per esercitare i propri diritti, l'interessato puo' scrivere a GDPR-foolyx@sociallibreria.com o utilizzare l'apposito modulo di richiesta cancellazione dati disponibile all'interno della piattaforma.

L'interessato ha inoltre il diritto di proporre reclamo al Garante per la Protezione dei Dati Personali (www.garanteprivacy.it).

8. Misure di Sicurezza

Foolyx adotta misure tecniche e organizzative adeguate a garantire la sicurezza dei dati personali, tra cui:

• Crittografia delle password tramite algoritmo di hashing (bcrypt)
• Comunicazioni crittografate via HTTPS/TLS
• Controllo degli accessi basato su ruoli e permessi (RBAC) con Spatie Laravel Permission
• Audit logging completo di tutte le operazioni con tracciamento IP e user agent
• Soft delete per prevenire la cancellazione accidentale di dati
• Backup periodici dei dati
• Isolamento multi-tenant: ogni azienda accede esclusivamente ai propri dati
• Protezione CSRF su tutti i form
• Integrita dei file verificata tramite hash SHA-256

9. Privacy by Design e by Default

In conformita con l'art. 25 del GDPR, Foolyx e' progettato secondo i principi di Privacy by Design e Privacy by Default:

• Minimizzazione dei dati: raccogliamo solo i dati strettamente necessari per l'erogazione del servizio.
• Pseudonimizzazione: utilizziamo UUID come identificativi primari al posto di dati personali sequenziali.
• Accesso limitato: i collaboratori vedono solo i dati pertinenti al proprio ruolo attraverso il sistema di permessi.
• Cancellazione strutturata: ogni azienda puo' richiedere la cancellazione completa dei propri dati tramite l'apposito modulo integrato nella piattaforma.
• Separazione dei dati: l'architettura multi-tenant garantisce che i dati di un'azienda non siano mai accessibili da un'altra.
• Trasparenza: i log di audit consentono di sapere chi ha fatto cosa e quando.

10. Cookie

Foolyx utilizza esclusivamente cookie tecnici necessari al funzionamento della piattaforma:

• Cookie di sessione: per mantenere l'autenticazione dell'utente.
• Cookie CSRF: per la protezione dei form contro attacchi Cross-Site Request Forgery.
• Cookie di preferenza: per memorizzare la selezione del punto vendita attivo.

Non utilizziamo cookie di profilazione, cookie di terze parti per fini pubblicitari, ne' strumenti di tracciamento comportamentale.

11. Ruolo del Cliente come Titolare del Trattamento

Ai sensi del GDPR, per i dati dei collaboratori, clienti del ristorante e fornitori inseriti nella piattaforma, l'azienda cliente agisce come Titolare autonomo del trattamento, mentre Sociallibreria Srl agisce come Responsabile del trattamento (Data Processor) ai sensi dell'art. 28 del GDPR.

L'azienda cliente e' responsabile di:

• Informare i propri collaboratori e clienti del trattamento dei dati tramite Foolyx
• Ottenere le necessarie basi giuridiche per il trattamento
• Gestire le richieste di esercizio dei diritti dei propri interessati
• Utilizzare il modulo di cancellazione dati integrato per rispondere alle richieste di cancellazione

12. Modifiche alla Privacy Policy

Il Titolare si riserva il diritto di modificare la presente informativa in qualsiasi momento. Le modifiche saranno comunicate tramite notifica sulla piattaforma e/o via email. L'uso continuato del servizio dopo la pubblicazione delle modifiche costituisce accettazione delle stesse.